モバイルアプリを開発する際に重要なのは、セキュリティだ。本稿ではコードレベルのセキュリティ確保や、バックエンドシステム/各種サービスとの接続時のセキュリティなどを取り上げる。
セキュリティはモバイルアプリケーション開発に欠かせない構成要素だ。だがセキュリティについての考慮事項は無数にあり、着手が難しいことも少なくない。
モバイルアプリ開発におけるセキュリティ面でのチェックリストを紹介した「“危険なモバイルアプリ”の開発者にならないための5つのチェックリスト」では、開発当初からセキュリティを最優先にする戦略を立て、プロセス全体に強力な認証や認可の仕組みを実装する重要性を確認した。その後編にあたる本稿では、モバイルアプリのセキュリティに関する、その他の重要なベストプラクティスを確認する。
開発チームがセキュリティに重点を置いてモバイルアプリ開発に取り組む場合、例えば以下の項目を考慮する必要がある。
モバイルアプリが外部ソースからデータを受け取る場合は、不正なコマンドやスクリプトを送って想定外の動作をさせる「インジェクション」などの攻撃を避けるために、入力検証機能を含めるようにする。一定時間でセッション(一連の通信)を終了させる「セッションタイムアウト」を実装したり、暗号化通信プロトコル「SSL」「TLS」を使用していない外部サービスへのリンクを避けたりするのも効果的だ。
改ざん検知や「デバッガー」の使用制限など、攻撃テクニックへの対処策の検討も求められる。JavaScriptを無効化したり、開発時にコードに組み込まれたバックドア(不正侵入に利用可能な“裏口”)を除去したりすることも有力な手段となる。
モバイルアプリ開発のテクノロジーは急速に進化している。開発者はこうした変化に追従して、その時点で最も安全なテクノロジーを使用し、最新のベストプラクティスに基づいてコードを記述できるようにすべきだ。
企業の社内バックエンドシステムと接続するモバイルアプリは、新たな脆弱性を生み出す恐れがある。開発チームは、モバイルアプリが接続する全てのバックエンドシステムの潜在的なリスクを評価し、接続に利用するAPIに細心の注意を払う必要がある。
基本とすべきなのは、必要最小限のリソースへのアクセス権限のみを付与する「最小権限の原則」だ。そうすれば承認を受けたアカウントでも、必要なリソースにしかアクセスできない。
開発チームはセキュリティのテクノロジーを使用して、バックエンドシステムとの通信をエンドツーエンド(経路全体)で保護する必要がある。VPN(仮想プライベートネットワーク)やコンテナを利用すれば、さらに高いレベルのセキュリティを実現できる。ファイルサーバやアプリケーションサーバ、データベース管理システム(DBMS)など、モバイルアプリの接続先となる、あらゆる要素の保護が目標だ。
Copyright © ITmedia, Inc. All Rights Reserved.
いまさら聞けない「仮想デスクトップ」と「VDI」の違いとは
遠隔のクライアント端末から、サーバにあるデスクトップ環境を利用できる仕組みである仮想デスクトップ(仮想PC画面)は便利だが、仕組みが複雑だ。仮想デスクトップの仕組みを基礎から確認しよう。
「パーソナライゼーション」&「A/Bテスト」ツール売れ筋TOP5(2025年5月)
今週は、パーソナライゼーション製品と「A/Bテスト」ツールの国内売れ筋各TOP5を紹介し...
「マーケティングオートメーション」 国内売れ筋TOP10(2025年5月)
今週は、マーケティングオートメーション(MA)ツールの売れ筋TOP10を紹介します。
「サイト内検索」&「ライブチャット」売れ筋TOP5(2025年4月)
今週は、サイト内検索ツールとライブチャットの国内売れ筋TOP5をそれぞれ紹介します。
ITmediaはアイティメディア株式会社の登録商標です。
