秋吉 健のArcaic Singularity:そのアプリ、本当に安全ですか?Googleの取り組みやユーザー自身が気をつけるべきポイントからスマホアプリのセキュリティーを考える【コラム】
スマホアプリとセキュリティーについて考えてみた! |
グーグル(以下、Google Japan)は6日、都内にてAndroid向けコンテンツ配信マーケット「Google Playストア」のアプリを表彰する「Google Play Best Of 2019」を開催しました。ベストアプリ2019には「メルカリ」が、ベストゲーム2019には「ドラゴンクエストウォーク」が選出され、誰もが納得する受賞内容だったっように思われます(受賞アプリの詳細については後述)。
私たちが普段便利に利用しているスマホアプリは、どのようにその安全性が確保されているのでしょうか。感性の原点からテクノロジーの特異点を俯瞰する連載コラム「Arcaic Singularity」。今回はGoogle Playのセキュリティー施策やその効果、そしてユーザーである私たちが気をつけるべきアプリセキュリティーの基本について考えます。
私たちが楽しく利用しているアプリの裏側には厳格な安全対策がある
■スマホアプリの利用範囲が拡大し続けた2019年
まずはGoogle Play Best Of 2019で表彰された作品を挙げておきましょう。
■アプリ部門
・エンターテイメント部門……Mirrativ
・自己改善部門……FOLIO
・生活お役立ち部門……PayPay
・隠れた名作部門……エクボクローク
■ゲーム部門
・エキサイティング部門……Call of Duty : Mobile
・インディ部門……アーチャー伝説
・クリエイティブ部門……マリオカートツアー
・キュート&カジュアル部門……ドクターマリオワールド
■ユーザー投票部門
・アプリカテゴリ最優秀賞……PayPay
・ゲームカテゴリ最優秀賞……Call of Duty : Mobile
■ベストアプリ2019……メルカリ
■ベストゲーム2019……ドラゴンクエストウォーク
今年話題を呼んだスマホゲームとして、このゲームが表彰されたことは納得だ
みなさんの中にもこれらの生活系アプリやゲームアプリを愛用している人は多いでしょう。まさに「今年を代表するアプリ」に相応しい顔ぶれです。
生活系アプリでは「FOLIO」や「PayPay」、メルカリといった決済や金融に関連するアプリが好評を博し、「Mirrativ」ではゲーム配信などが手軽に行えるようになりました。
ゲーム系では位置情報アプリの人気とともに「マリオカートツアー」や「Call of Duty : Mobile」のような多人数オンライン対戦ゲームが大人気です。
そしてこれらのアプリには高いセキュリティーレベルが要求されるアプリばかりであるという共通点が見出だせます。金融や決済サービスは当然として、ゲームで利用する位置情報や対戦時の通信でも個人情報を厳格に管理する必要があります。
例えばゲーム配信などに用いるMirrativなどは、アプリのみならず配信するユーザー自身がセキュリティーについて強く意識しなければいけないアプリの1つでもあります。
スマホアプリの用途が個人単位からコミュニティ単位へと拡大し続けている
もしこれらのアプリが悪意を持って個人情報を収集したり、アプリで利用するために取得した情報を別の目的で利用していたとしたら、当然私たちは安心してアプリを利用することができません。
そういったリスクと不安を払拭するために、Googleは常にセキュリティーポリシーを更新しながらアプリ審査の厳格化と監視を続けているのです。
■ユーザーを守る3つのセキュリティー施策
実はこの表彰式が行われる数時間ほど前、Googleは記者向けのGoogle Playに関する説明会を開催しています。そこではGoogle Playにおけるセキュリティーポリシーの在り方や現在の取り組みについて語られました。
Google Playにおける全世界での年間ダウンロード件数は、2018年では1160億回にものぼります。これだけのダウンロード要求に耐えられるだけのエコシステムとアプリマーケットの安全は、単なる監視だけでは到底保証できません。アプリを信頼できなくなれば、誰もダウンロードしなくなってしまいます。
「エコシステムの保全は最優先事項」と語る、Google Play VP of UX & ProductのTian Lim氏
そこでGoogleでは「プロテクション」および「ポリシー」、「レビュープロセス」の3つのカテゴリーに分けたセキュリティー施策を行っています。
プロテクションでは毎日500億を超えるアプリのスキャンや悪意のあるアプリ(PHA)がないか監視するなど、いわゆる水際対策的な監視活動を行います。セキュリティーとしては最も基本的なものですが、これによって検出される「潜在的な脅威」を有するアプリは0.08%程度です。
2019年にはさらにPHAの検出能力を高め、なりすましアプリや不正広告なども、より性格に検出できるようになったとしています。人気のあるアプリになりすましたフィッシング詐欺や不正送金などが増えている中、それらへの対策を講じる専用チームも設置しています。
Google Playでは2018年だけで16億回も悪意あるアプリのインストールを防いだ
一方、アプリを製作するデベロッパー側にも安全への高い意識の共有を求めています。例えば、広告の表示や各種アナリティクスにはさまざまなSDKが使用されますが、そこで収集された個人情報が悪用されないように監視するのもプロテクションとしての役割になります。
機械的な監視だけではなく、デベロッパーとの意思疎通やそのアプリ開発の過程で「より良い意思決定ができるように支援していく」(Tian Lim氏)ことが重要であるとしています。
アプリ開発をデベロッパーに丸投げするのではなく、プラットフォーマー自らが積極的に関わっていくことで、健全かつ安全なアプリの開発へと導いていく姿勢と言えるでしょう。
今回のGoogle Play Best Of 2019や同社が毎年開催しているインディゲームフェスなどは、そういった「デベロッパーを支援し、ともにアプリを創り上げていく」姿勢を強くアピールするための場でもあります。
「Google Play Indie Games Festival 2018」より。開発規模と予算の小さなインディゲームだからこそ、アプリの安全と普及のための支援は欠かせない
ポリシーにおいては、Googleは毎年頻繁にそのアプリポリシーを更新しています。
例えば、SMSや通話履歴へのアクセス権限について、「必要なアプリに限り許可する」という方針へ更新したところ、これらのデータを利用するアプリが98%も減少したとTian Lim氏は説明します。また子供向けアプリにおいても、より適切なコンテンツと適切な広告が表示されるように変更が行われました。
ユーザーにとって最も重要なことは、アプリが便利であるかどうかよりも、アプリが安全であるかどうかです。アプリポリシーの変更はデベロッパーにとって小さくない負担ではありますが、そういった安全性を優先するポリシーこそが、市場全体およびユーザーの安全と利益を守っているのです。
またそういったデベロッパーへの負担を軽減するためにも、Googleは「(ポリシー変更の)実施プロセスについても詳細な情報をデベロッパーと共有する」としており、ここでも開発者支援の姿勢を強調していました。
脅威の動向やユーザートレンドに合わせ、ポリシーは常に更新されていく
最後がレビュープロセスです。レビュープロセスで重視されるのは「悪意あるアプリの公開や再公開を防止すること」です。
前述したなりすましアプリなどは最たる例ですが、アプリによる犯罪被害を起こさない、もしくは拡大させない最良の方法は「アプリを公開しない(アプリをマーケットに置かない)」ことです。
Google Playでは日々何万というアプリの公開および再公開申請がありますが、それらを人と機械によるチェックによって適切なアプリであるか判別しています。2018年には悪意ある申請者の却下が55%、公開停止が65%増加したとしており、その成果は出ているとしています。
■ユーザーができる3つのセキュリティー施策
では、私たちがユーザーとしてできる安全対策とは何でしょうか。筆者は、ユーザー視点からも「3つのセキュリティー施策」ができると考えます。
1つは「野良アプリを入れない」ことです。アプリマーケット(エコシステム)側が行える最良の保全策が「悪意あるアプリを公開しないこと」だとするなら、ユーザー側でできる最良の保全策は悪意あるアプリに近寄らないことだからです。
Google Playのような、厳格なポリシーとレビューシステムによって守られたマーケットですら、悪意あるアプリの完全排除には至っていません。Tian Lim氏は「アプリストアの外でダウンロードしているアプリは8倍の脅威」とも語っており、明らかに野良アプリ(外部マーケット)の方が危険であると警告しています。
Android 8.0以降、提供元不明のアプリを許可する仕様に変更が加えられ、より厳格化された。基本的にこの設定はOFFにしておこう
もう1つは年齢制限の遵守です。例えばTwitterの公式アプリでは13歳未満の利用を禁止していますし、ゲームアプリでもレーティングによって16歳未満の利用を禁止するなどの制限があります。
子どもたちにとって、制限のないアプリの利用は悪意の有無にかかわらず脅威となります。SNSやオンラインゲームを楽しむ前に、外部との正しいコミュニケーションの取り方やモラルの在り方を学ばなくてはならないからです。ルールやマナーも知らないままに使って良い機能ではありません。
ましてや、そこは悪意を持った大人たちも同居する世界です。その悪意に対して対抗できるだけの知識や力がない子どもたちをどう守るのかは、子どもたちの両親のみならず社会に課せられた責任でもあります。ペアレンタル・コントロールやアプリのプライバシーポリシーに則り、正しいスマホの扱い方を、子どもたちとともに考えていく姿勢が必要です。
年齢制限には理由がある。その理由について、子どもたちと納得行くまで話し合う姿勢が重要だ
そして最後に注意しておきたいことは、バックアップの重要性です。例えば悪意あるアプリを入れてしまったために端末の動作に不具合が起きて初期化が必要になった場合など、バックアップがなければ貴重なデータは全て失われてしまいます。
最近はPCへのバックアップをする人も少なくなりましたが、microSDカードなどの外部ストレージへのバックアップや、クラウドサービスへのバックアップ(Googleドライブ、iCloudなど)ですら、機種変更時以外は行っていない人が少なくないようです。
悪意あるアプリに限らず、不慮の事故や不注意による端末の破損など、端末内のアプリとデータが復旧できなくなる状況は多々あります。常日頃から愛用しているアプリだからこそ、定期的なバックアップを心がけたいところです。
写真や動画など、大切な思い出もたくさん入っているスマホだからこそ、バックアップは必ずしよう
■スマホアプリは「安全ではない」という観点の下に
私たちが普段何気なく使っているスマホアプリとそこで利用している情報は、このようにしてマーケット上で守られています。しかし、その守りは完璧ではありません。常に「万が一」が起こり得るものとして扱わなければいけません。
その万が一の確率は、Googleをはじめとしたプラットフォーマーによる取り組みや、私たちユーザー自身の心がけ1つで大きく下げることができます。怪しいアプリを入れない、正しい使い方を心がける、常にバックアップを忘れない。たったそれだけでも大きな効果があります。
かつてはスタンドアローンで動作する便利アプリやゲーム程度の利用が多かったスマホアプリは、今や電子決済サービスからゲーム実況配信まで、インターネットや実世界と密接に関わり合うツールとなりました。それらを使う私たちの認識や知識もまた、アップデートしなくてはいけない時期に差し掛かっています。
みなさんが普段から使っているアプリが何故安全に使えているのか、また本当に安全な使い方ができているのか、今一度確認してみるのも良いかも知れません。
アプリの安全性を最後に判断するのは、ユーザー自身だ
記事執筆:秋吉 健
■関連リンク
・エスマックス(S-MAX)
・エスマックス(S-MAX) smaxjp on Twitter
・S-MAX - Facebookページ
・連載「秋吉 健のArcaic Singularity」記事一覧 - S-MAX