JSSECが「セキュア設計・コーディングガイド」最新版を公開！Androidアプリ開発の安全性強化

JSSECが2025年8月27日版のセキュア設計ガイドを公開

一般社団法人日本スマートフォンセキュリティ協会（JSSEC）が、2012年に初版が公開された『Android アプリのセキュア設計・セキュアコーディングガイド』の最新版である2025年8月27日版をリリースしました。

このガイドは、Androidアプリケーションの開発におけるセキュリティ確保を念頭に置き、開発現場での使用を想定した内容になっています。特に、アプリ間通信の安全性の向上に向けた改訂が行われており、以下の主要な改定ポイントが強調されています。

主な改訂内容

1. 新しい項目の追加
- 順序付きBroadcastのpriority変更
- MediaStoreのバージョンロックダウン
- App-owned photosの取り扱い
- Safer IntentsとIntentリダイレクト攻撃対策
- ローカルネットワークへのアクセス権限の変更
- Key sharing APIを利用したアプリ間鍵共有の仕組み
- Google Playアプリ署名による鍵管理に関する新コラム

2. 内容の見直しや拡充
- Android 10以降のストレージアクセスの詳細
- コンポーネント公開制御やIntent送信制限について
- PendingIntentの可変性やIntent Filterの改良
- プライベートスペースやアプリの自動休止機能についての記述
- APIの戻り値の変更に関連する仕様の見直し

このガイドは、特に72項目のリストとサンプルコードが含まれており、開発者が現場で即応できるよう設計されています。特に、悪用される可能性のあるAPIや設定に対する対策について具体的に取り上げられています。

セキュリティリスクへの理解を深める

Android 16において採用された新機能により、アプリ間通信の安全性は格段に向上しています。特に、アプリ開発者はこれらの新しい仕様を理解し、適切に実装することが求められます。セキュリティの観点からも、ユーザーの信頼を勝ち取るために、セキュリティ対策は不可欠です。

これまでに廃止された項目もあり、これはAndroid 7以前の旧式な手法や危険性のある機能の使用を禁じることにより、現行の開発環境に即した情報のみを提供することが意図されています。開発者はこのガイドを通じて最新の知識を身につけ、安全かつ便利なアプリの開発に勤しむことが期待されています。