Published: 2024-03-14 08:00
JSSEC、スマホアプリ開発者向けに網羅性の高い実施規範公開
一般社団法人日本スマートフォンセキュリティ協会(JSSEC)は3月8日、「スマートフォンアプリケーション開発者の実施規範」を発表した。英国「Code of practice for app store operators and app developers」の日本語版の位置づけとなり、開発者が実施すべきことを網羅している。
【画像全2枚】
この実施規範は、スマートフォンセキュリティを技術面から支援するJSSECの活動の一環となるもの。JSSECでは、2023年に英国のDepartment for Science, Innovation & Technologyが発行している「Code of practice for app store operators and app developers」のアプリケーション提供者が実施すべきことに着目し、その日本版を作成した。
「Code of practice for app store operators and app developers」は、アプリケーション運営者とアプリケーション提供者がユーザーを保護するための実践的な手順を明示しており、一般的に認識されているセキュリティとプライバシーの慣行にも言及している。これらの原則は重要なものであるが、日本国内ではすべてを網羅した手順書のような資料が存在していなかった。
JSSECの日本語版の実施規範は、JSSEC参加企業のモバイルセキュリティ技術者および有識者により議論を行い、アプリ提供者がアプリの提供開始から継続して安心・安全なアプリを提供し続けることを目的に、8つの原則としてまとめている。実施規範の目次は次の通り。
1:実施規範
2:実装ガイドのスコープ
3:セキュリティとプライバシーの基本要件
4:アプリ公開後のメンテナンス
5:プライバシーの基本要件
6:利用規約の基本要件
7:ユーザーサポート
8:セキュリティインシデント対応
9:おわりに
例えば、「セキュリティとプライバシーの基本要件」では「準拠すべきセキュリティとプライバシー基本要件」、「セキュアコーディング」、「セキュリティテスト」についてそれぞれ重要な要件が記載されており、網羅的といえる。
また、「アプリ公開後のメンテナンス」では、公開後のアプリの定期的な脆弱性の確認に加え、自社のアプリの脆弱性を発見した際の対応方針の整備、外部から脆弱性の申告があった際の対応方針の整備なども記載されている。
実施規範は24ページのPDFファイルとなっており、無償でダウンロードすることが可能。
| # | 言葉 | 意味 |
|---|---|---|
| 8 | 実施 | じっし (実施) : enforcement; implementation; putting into practice; carrying out; operation; working (e.g. working parameters); enactment |
| 6 | 規範 | きはん (規範) : model; standard; pattern; norm; criterion; example |
| 6 | 要件 | ようけん (要件) : 1. important matter 2. requirement; requisite; necessary condition; sine qua non |
| 5 | 提供 | ていきょう (提供) : 1. offer; tender; providing; supplying; making available; donating (blood, organs, etc.) 2. sponsoring (a TV program) |
| 5 | 基本 | きほん (基本) : basics; fundamentals; basis; foundation |
| 3 | 版 | はん (版) : 1. edition; version; printing; impression; implementation (e.g. software) 2. plate; block; cast |
| 3 | 網羅 | もうら (網羅) : encompassing; covering (exhaustively); including (all of); comprising; comprehending |
| 3 | 公開 | こうかい (公開) : opening to the public; making available to the public; putting on display; exhibiting; showing (play, movie, etc.); holding (interview, etc.); open; public |
| 3 | 対応 | たいおう (対応) : 1. correspondence (to); equivalence 2. suitability; coordination; matching; being appropriate (for) |
| 3 | 脆弱性 | ぜいじゃくせい (脆弱性) : vulnerability; weakness; fragility |
| 2 | 日本 | にほん (日本) : Japan |
| 2 | 開発者 | かいはつしゃ (開発者) : developer |
| 2 | 英国 | えいこく (英国) : United Kingdom; Britain; Great Britain |
| 2 | 日本語 | にほんご (日本語) : Japanese (language) |
| 2 | 手順 | てじゅん (手順) : process; procedure; sequence; protocol; instruction |
| 2 | 原則 | げんそく (原則) : 1. principle; general rule 2. as a rule; in principle; in general |
| 2 | 重要 | じゅうよう (重要) : important; momentous; essential; principal; major |
| 2 | 記載 | きさい (記載) : mention (in a document); record; entry; statement; listing |
| 2 | 際 | きわ (際) : 1. edge; brink; verge; side 2. time; moment of |
| 2 | 方針 | ほうしん (方針) : 1. policy; course; plan (of action); principle 2. magnetic needle |
| 2 | 整備 | せいび (整備) : 1. maintenance; servicing 2. putting in place; establishment; development; preparation; provision; outfitting |
| 1 | 一般社団法人 | いっぱんしゃだんほうじん (一般社団法人) : general incorporated association |
| 1 | 協会 | きょうかい (協会) : association; society; organization; organisation |
| 1 | 発表 | はっぴょう (発表) : announcement; publication; presenting; statement; communique; making known; breaking (news story); expressing (one's opinion); releasing; unveiling |
| 1 | 位置づけ | いちづけ (位置付け) : placement; fixed position; mapping out; location |
| 1 | 画像 | がぞう (画像) : image; picture; portrait |
| 1 | 全 | ぜん (全) : 1. all; whole; entire; complete; total; pan- 2. complete (set); in total |
| 1 | 技術面 | ぎじゅつめん (技術面) : technical side |
| 1 | 支援 | しえん (支援) : support; backing; aid; assistance |
| 1 | 活動 | かつどう (活動) : 1. activity (of a person, organization, animal, volcano, etc.); action 2. movie (esp. during the silent movie period) |
| 1 | 一環 | いっかん (一環) : 1. link (e.g. in a chain of events); part (of a plan, campaign, activities, etc.) 2. monocyclic |
| 1 | 発行 | はっこう (発行) : 1. publication; issue (of journal, newspaper, etc.) 2. issue (of banknotes, bonds, passport, etc.) |
| 1 | 着目 | ちゃくもく (着目) : attention; giving one's attention; focusing |
| 1 | 作成 | さくせい (作成) : drawing up (e.g. legal document, contract, will, etc.); preparing; writing; framing; making; producing; creating; creation |
| 1 | 運営 | うんえい (運営) : management; administration; operation |
| 1 | 保護 | ほご (保護) : 1. protection; safeguard; guardianship; custody; patronage 2. preservation; conservation |
| 1 | 実践的 | じっせんてき (実践的) : practical; pragmatic; hands-on; nuts and bolts |
| 1 | 明示 | めいじ (明示) : elucidation; explicit statement; specification |
| 1 | 一般的 | いっぱんてき (一般的) : general; popular; common; typical |
| 1 | 認識 | にんしき (認識) : recognition; awareness; perception; understanding; knowledge; cognition; cognizance; cognisance |
| 1 | 慣行 | かんこう (慣行) : customary practice; habit; traditional event |
| 1 | 言及 | げんきゅう (言及) : reference; allusion |
| 1 | 日本国内 | にほんこくない (日本国内) : Japanese domestic |
| 1 | すべて | すべて (全て) : 1. everything; all; the whole 2. entirely; completely; wholly; all |
| 1 | 資料 | しりょう (資料) : materials; data; document |
| 1 | 存在 | そんざい (存在) : existence; being |
| 1 | 参加 | さんか (参加) : participation; joining; entry; adherence |
| 1 | 企業 | きぎょう (企業) : enterprise; business; company; corporation |
| 1 | 技術者 | ぎじゅつしゃ (技術者) : engineer; technical expert; technician; craftsperson |
| 1 | および | および (及び) : and; as well as |
| 1 | 有識者 | ゆうしきしゃ (有識者) : expert; knowledgeable person; authority (on a subject) |
| 1 | 議論 | ぎろん (議論) : argument; discussion; dispute; controversy |
| 1 | 行う | おこなう (行う) : to perform; to do; to conduct oneself; to carry out |
| 1 | 開始 | かいし (開始) : start; commencement; beginning; initiation |
| 1 | 継続 | けいぞく (継続) : continuation |
| 1 | 目的 | もくてき (目的) : purpose; goal; aim; objective; intention |
| 1 | まとめる | まとめる (纏める) : 1. to collect; to put (it all) together; to integrate; to consolidate; to unify 2. to summarize; to aggregate |
| 1 | 目次 | もくじ (目次) : table of contents; contents |
| 1 | 通り | とおり (通り) : 1. avenue; street; way; road 2. coming and going; street traffic |
| 1 | 実装 | じっそう (実装) : implementation (e.g. of a feature); installation (of equipment); mounting; packaging |
| 1 | 利用規約 | りようきやく (利用規約) : terms of service; terms of use; terms and conditions |
| 1 | 準拠 | じゅんきょ (準拠) : basis; based on; conformance; conformity; authority (of); standard; reference |
| 1 | それぞれ | それぞれ (夫れ夫れ) : each; respectively |
| 1 | 的 | てき (的) : 1. -ical; -ive; -al; -ic; -y 2. -like; -ish; -sort of; -kind of |
| 1 | いえる | いえる (言える) : 1. to be possible to say; to be able to say 2. said; have said |
| 1 | 定期的 | ていきてき (定期的) : periodic; regular; routine |
| 1 | 確認 | かくにん (確認) : confirmation; verification; validation; review; check; affirmation; identification |
| 1 | 加える | くわえる (加える) : 1. to add; to add up; to sum up; to append; to annex 2. to increase; to gather (e.g. speed); to pick up |
| 1 | 自社 | じしゃ (自社) : 1. one's company; company one works for 2. in-house; belonging to the company |
| 1 | 発見 | はっけん (発見) : discovery; detection; finding |
| 1 | 外部 | がいぶ (外部) : 1. outside (e.g. of a building); exterior 2. outside (of a group, company, etc.); outside world |
| 1 | 申告 | しんこく (申告) : report; return (e.g. tax); statement; declaration; notification; filing |
| 1 | 無償 | むしょう (無償) : 1. without compensation; without reward; without pay 2. free (of charge) |
| 1 | 可能 | かのう (可能) : possible; potential; practicable; feasible |