モバイルアプリ セキュリティ評価

概要

Google Play を利用する何十億人ものユーザーのためにアプリの安全性を確保するうえで、モバイル セキュリティへの投資は非常に重要です。 OWASP(Open Web Application Security Project)は、モバイルアプリ セキュリティ業界で高い評価を受けている業界基準となっています。公開された一連のセキュリティ要件であるモバイルアプリ セキュリティ検証標準(MASVS)は、デベロッパーに一連のベースライン セキュリティ基準を提供します。OWASP は、公開されている一連のテスト基準である MSTG(モバイル セキュリティ テストガイド)に加えて、アプリを共通の標準と照らし合わせて評価するための客観的な手段を提供しています。デベロッパーは、Google 認定ラボ パートナーと直接連携して、セキュリティ評価を開始できます。MASA を通じて、Google は一連の MASVS レベル 1 要件に照らして、アプリを独自に検証したデベロッパーを認定します。

CASA フレームワーク
図 1: MASA フレームワーク

利点

定期的なセキュリティ テストは、デベロッパーがアプリの主要な脆弱性を特定するのに役立ちます。 Google Play により、独立した検証を受けたデベロッパーは、こちらのデータ セーフティ セクションにこの情報を表示できます。これにより、ユーザーはセキュリティとプライバシーに対するアプリの取り組みに自信を持つことができます。

仕組み

Google は少人数のデベロッパー グループと協力して、フィードバックを収集し、このプログラムを発展させています。デベロッパーの方で、参加に関心をお持ちの場合は、こちらのフォームにご記入ください。 プログラムがより広く提供されるようになりましたら、担当チームから詳細情報をご連絡いたします。 独立したセキュリティ審査の前にアプリを良好な状態にしておくには、GitHub ページで追加情報を確認することをおすすめします。

免責

MASA は、アプリのセキュリティ アーキテクチャの透明性を高めることを目的としていますが、テストの性質上、アプリケーションが完全に安全であるとは限りません。 この独立レビューは、デベロッパーのデータ セーフティ宣言の正確性と完全性を検証するためにスコープされない場合があります。デベロッパーは、アプリの Play ストアの掲載情報で完全かつ正確な申告を行う責任を単独で負うものとします。

よくある質問

MASA の詳細とよくある質問に対する回答については、こちらをご覧ください。

Google のパートナー

Google では、アプリの評価を行うために一連の承認済みラボをオンボーディングしています。すべての認定ラボは、包括的なセキュリティ テストを提供します。デベロッパーは、公開された標準に対する認定を取得できます。ラボパートナーになることにご関心をお持ちの場合は、こちらのフォームに企業の詳細をお知らせください。