モバイルアプリ セキュリティ評価

概要

Google Play の数十億のユーザーのためにアプリの安全性を確保するうえで、モバイル セキュリティへの投資は欠かせません。OWASP(Open Web Application Security Project)は、モバイルアプリ セキュリティにおいて非常に高く評価されている業界標準としての地位を確立しています。彼らが公開している一連のセキュリティ要件である Mobile Application Security Verification Standard(MASVS)は、デベロッパーに一連のベースライン セキュリティ基準を提供しています。OWASP では、公開されている一連のテスト基準とともに、MASTG(Mobile Application Security Testing Guide)とともに、デベロッパーが共通の基準に照らしてアプリを評価するための客観的な手段も提供しています。デベロッパーは、Google の認定ラボパートナーと直接連携して、セキュリティ評価を開始できます。Google は MASA を通じて、一連の MASVS レベル 1 要件に照らしてアプリを独立して検証したデベロッパーを認定します。

CASA フレームワーク
図 1: MASA フレームワーク

利点

定期的にセキュリティ テストを実施することで、デベロッパーはアプリの重大な脆弱性を特定できます。独立した検証を受けたデベロッパーは、Google Play のデータ セーフティ セクションでこれを明示できます。これにより、ユーザーはセキュリティとプライバシーに対するアプリの取り組みについて自信を持てるようになります。

仕組み

参加をご希望のデベロッパーの方は、下記の認定ラボのいずれかに直接お問い合わせのうえ、テストプロセスを開始してください。料金や必要な書類の処理は、ラボとデベロッパーの間で直接行われます。ラボでは、Play ストアで入手可能なアプリの公開版をテストし、評価のフィードバックをデベロッパーに直接提供します。ラボでは、報告された問題を修正するための修正手順が提供されます。アプリがすべての要件を満たすと、ラボは確認として検証レポートを直接 Google に送信します。デベロッパーはデータ セーフティ フォームでセキュリティ バッジを宣言できます。このプロセスでは、最初の評価からバッジの取得まで平均で 2 ~ 3 週間かかります。

免責条項

MASA は、アプリのセキュリティ アーキテクチャの透明性を高めることを目的としていますが、テストは限定的であるため、アプリの完全な安全性を保証するものではありません。この独立審査は、デベロッパーのデータ セーフティの申告の正確性と完全性を検証するものではありません。デベロッパーは、アプリの Play ストアの掲載情報で完全かつ正確な申告を行うことについて、単独で責任を負います。

よくある質問

MASA の詳細とよくある質問については、こちらをご覧ください。

Google のパートナー

Google はアプリの評価を実施する複数の認定ラボをオンボーディングしています。 すべての認定ラボは包括的なセキュリティ テストを提供しており、公開されている標準に基づいて検証を行うことができます。Linux Foundation への移行に伴い、新しいラボのオンボーディングを一時停止しました。

認定 Labs パートナー

MASA 評価を開始するには、ラボ パートナーに連絡してテストを開始します。