モバイルアプリ セキュリティ評価

概要

モバイル セキュリティへの投資は、数十億人もの Google Play ユーザーが利用するアプリの安全性を確保するうえで不可欠です。OWASP(Open Web Application Security Project)は、モバイルアプリ セキュリティの業界標準として高く評価されています。彼らが公開している一連のセキュリティ要件である Mobile Application Security Verification Standard(MASVS)は、デベロッパー向けのベースライン セキュリティ基準のセットを提供します。OWASP は、公開されている一連のテスト基準である MASTG(モバイル アプリケーション セキュリティ テストガイド)とともに、デベロッパーがアプリを共通基準に照らして評価するための客観的な手段を提供します。デベロッパーは Google の認定ラボ パートナーと直接連携して、セキュリティ評価を開始できます。Google は MASA を通じて、MASVS レベル 1 の要件に照らしてアプリを独自に検証したデベロッパーを認定します。

CASA フレームワーク
図 1: MASA フレームワーク

利点

デベロッパーは定期的にセキュリティ テストを行うことで、アプリの主な脆弱性を特定できます。Google Play では、独立した検証を完了しているデベロッパーが、データ セーフティ セクションでこの事実を公開できます。これにより、ユーザーはセキュリティとプライバシーに対するアプリの取り組みについて、確信を持てるようになります。

仕組み

デベロッパーの方で参加に関心をお持ちの場合は、テストプロセスを開始するために、以下の認定ラボのいずれかに直接お問い合わせください。料金や必要な事務処理については、ラボとデベロッパーの間で直接処理されます。このラボでは、Play ストアで入手可能なアプリの公開版をテストし、評価に関するフィードバックをデベロッパーに直接提供します。報告された問題をデベロッパーが修正できるように、ラボでは修正手順が提供されます。アプリがすべての要件を満たすと、ラボから確認レポートが Google に直接送信されます。これにより、デベロッパーはデータ セーフティ フォームでセキュリティ バッジを宣言できるようになります。このプロセスは、最初の評価からバッジが使用できるようになるまでに平均で 2 ~ 3 週間かかります。

免責条項

MASA は、アプリのセキュリティ アーキテクチャの透明性を高めることを目的としていますが、テストが限定的であるため、アプリの完全な安全性が保証されるわけではありません。この独立した審査は、デベロッパーによるデータ セーフティの申告の正確性と完全性を検証する範囲に限定されない場合があります。デベロッパーは、アプリの Play ストアの掲載情報で完全かつ正確な宣言を行うことについて、単独で責任を負います。

よくある質問

MASA の詳細と一般的な質問の回答については、こちらをクリックしてください。

Google のパートナー

Google はアプリの評価を行う一連の認定ラボをオンボーディングしています。 すべての認定ラボは包括的なセキュリティ テストを提供しており、公開されている標準に対する検証を取得する手段をデベロッパーに提供しています。Linux Foundation への移行に伴い、新しいラボのオンボーディングを一時停止しています。

認定 Labs パートナー

MASA の評価を開始するには、ラボのパートナーに連絡してテストを開始します。