まだまだ続くAndroidセキュアコーディング

2014-09-08 OWASP Night

JSSEC (日本スマートフォンセキュリティ協会)

技術部会 副部会長

藤村 聡

自己紹介

藤村 聡

JSSEC (日本スマートフォンセキュリティ協会)

技術部会 副部会長

ブログ「ソフトウェアセキュリティの気になる話」

2014/9/82

セキュリティ 気になる話 検索

facebook: satoshi.fujimura

2014/9/83

• JSSEC発行の『Androidアプリのセキュア設計・セキュアコーディングガイド』

• PDF ファイル無料配布

• 2012年の初版以来、30万回以上のダウンロード

Android アプリセキュアコーディングの

テキストとしてのデファクトスタンダード

• 編纂リーダー：松並 勝

この活動で (ISC)2 の

Asia ISLA 受賞

「JSSECセキュアコーディングガイド」とは

2014/9/84

• 常にベータ版

• Android 特有の注意点を網羅すべく、常にネタを募集中

• 豊富なサンプルコード• コピペ歓迎。

• 無料• 数百ページものコンテンツが無料とは…

• 無茶ですが、今後も何とか続けていきたい。

「JSSECセキュアコーディングガイド」の特徴

2014/9/85

「ガイド」を読んでいれば…

Android版 〇〇 に SSLサーバー証明書検証不備の脆弱性

Android版 △△ に 情報管理不備の脆弱性

Android版 □□ に アクセス制限不備の脆弱性

転ばぬ先の杖として、ご活用ください！

2014/9/86

第4版できました！

234309

365

2014/9/87

アプリを安心して使っていただくために対応必至の項目

総務省の「スマートフォンプライバシーイニシアティブ」(SPI) に準拠した設計・

実装・運用が求められます。

【追加1】プライバシー情報を扱う

今回もサンプルコードがしっかり付いてますので、ご安心を。

2014/9/88

せっかく暗号化するのですから、用法を守って正しく使いましょう。

【追加2】暗号技術を利用する

2014/9/89

• いまのところ、未定です。

• ネタをお持ちの方、ぜひご連絡ください。

• 中身も書いていただければ、なお歓迎です。

• 既存記事に対するツッコミも、よろしくお願いします。

今後の改訂予定

2014/9/810

そして…

2014/9/811

Finally, English edition has come!

2014/9/812

まずは来週の AppSec USA で宣伝、してこようかと。

いよいよ世界進出

2014/9/813

• 日本のアプリからセキュアにしていきましょう。

• 編纂を手伝ってくださる方も、募集しています。

• Android に詳しい人

• セキュア設計・セキュアコーディングに知見のある人

• ガイドライン作りに知見のある人

• 翻訳を手伝ってくれる人

• 誤字・脱字を見つけるのが得意な人

みなさん、どんどん使ってくださいね！