モバイルアプリを迅速かつセキュアに開発するのは容易ではない。だが失敗すれば競争優位性や信頼を失うことになる。セキュリティを確保するには、基本と原則に立ち返る堅実な方法が必要だ。
モバイルアプリケーションはデジタル時代のビジネスに大きなチャンスをもたらす。Statistaの調査によると、モバイルアプリケーションの収益は2018年の3650億ドル(約40兆370億円)から驚異的な伸びを見せ、2023年には9350億ドル(約102兆5600億円)に達するという。
とはいえ、モバイルアプリケーションの作成プロセスは企業システムのそれとは大きく異なる。モバイルアプリケーションは通常クラウドネイティブで、「Android」や「iOS」のバックエンドマイクロサービスに依存する。同時に、安全かつ迅速にモバイルアプリケーションを作成しなければならないというプレッシャーがかかることが多い。
モバイルアプリケーション固有の要件を考慮しつつ、安全かつ迅速に開発するにはどうすればよいのか。モバイルアプリケーションはビジネスで重要な役割を担っている。モバイルアプリケーションの脆弱(ぜいじゃく)性を犯罪者に侵害されれば、業務が大いに混乱するだろう。
「モバイルアプリケーションにはビジネスの他のコンポーネントと変わらない重要性がある。セキュリティ侵害を検出できないと壊滅的な影響を受ける」と話すのは、Ciklumのオレクサンドル・ロイシェンコ氏(モバイル部門責任者)だ。
「モバイルアプリケーション開発ではセキュリティが過小評価されることが多い。エンジニアリングチームはAppleとGoogleが提供する保護に依存してしまう場合がある。だが、アプリケーションのセキュリティを確保する責任は開発者にある」
ロイシェンコ氏は、ソフトウェア開発者は開発当初にセキュリティを確保する必要があると言う。ソフトウェア開発サイクルにセキュリティ評価を組み込み、確立済みのセキュリティ原則に従って実証済みのソリューションを使うことを同氏は推奨する。
「最も簡単なセキュリティの規則に従うことが最低限必要だ。コードを難読化する。明確に必要な場合を除いてWebビューでJavaScriptを無効化する。機密情報をプレーンテキストで保存しない。バージョン管理システムに機密情報をコミットしないなどだ」(ロイシェンコ氏)
これはESETのジェイク・ムーア氏(セキュリティスペシャリスト)によって裏付けられている。同氏は、開発の初期段階でアプリケーションのセキュリティを確保すれば、その保護を後半の段階に延長できると述べている。だがサポートすべきOSのバージョンは非常に多いため、モバイルアプリケーションのセキュリティ強化は難しいことも同氏は認めている。
スマートフォンのハードウェアはあっという間に古くなるため、それがモバイルアプリケーションのセキュリティの問題につながる可能性もムーア氏は指摘する。「多要素認証は端末とは無関係に、全てのプラットフォームでアカウント所有者を不正アクセスから保護する簡単な方法だ」(ムーア氏)
ムーア氏は、モバイルアプリケーションにはユーザーデータを保護する対策も実装する必要があると言う。「アプリケーションが処理するデータは、認証済みのユーザーだけがアクセスできる方法で格納しなければならない。暗号化は不正アクセスを減らすのに役立つ」
ムーア氏によると、モバイルアプリケーション開発のもう一つの重要な側面はテストだという。だが、複数世代のハードウェアやOSを扱う開発者はこのテストに苦労すると警告する。「ゼロトラストは、安全なものは何もないと想定する堅実なセキュリティ手法でもある。ユーザーや端末に与えられるアクセス許可が最小限に抑えられ、必要な場合のみに限定されるので自身を保護するのに寄与する」
ユーザーのニーズが異なるためモバイルアプリケーションの開発要件は大きく変化すると話すのは、Synopsysのアミット・シャルマ氏(セキュリティエンジニア)だ。「ハードウェア、プラットフォーム、OSなど、変化し続けるモバイルエコシステムに対応するため、開発コミュニティーは作業効率向上に使えるネイティブライブラリを重視する」
「市場のニーズを満たす鍵が自動化で、その自動化の実現に重要なのがネイティブクラウド技術だ。開発者はさまざまなプラットフォームでアプリケーションを同時に起動して検証できるようになり、スケーラビリティと信頼性を向上させることができる」
モバイルアプリケーションの開発初期からセキュリティを確実に組み込むには、セキュアなコーディングガイドラインについて開発コミュニティーを指導し、開発プロセスの全フェーズにおける定期テストの実施を奨励することが不可欠だとシャルマ氏は語る。
「モバイル分野でサードパーティー製ライブラリを利用する場合、アプリケーションに内在するリスクをチェックしなければならない。プラットフォームやOSにまたがるコンプライアンスについては、サードパーティー製ライブラリやライセンス義務のリスクをチェックする定期スキャンが必須だ」(シャルマ氏)
克服すべきもう一つの課題はバックエンドのコミュニケーション用に開発されたAPIだ。これをセキュリティの観点で検証しなければならないとして、シャルマ氏は次のように話す。「適切な暗号化メカニズムを使って、保存時と転送中のデータのセキュリティを確保する必要がある。ゼロトラストに寄与するようアクセス許可を見直すことは、セキュリティが確保されたアプリケーションを開発するための優れた方法だ。注意することがセキュリティ確保につながる」
後編では、開発の負荷を軽減する方法を解説する。
Copyright © ITmedia, Inc. All Rights Reserved.
DXが進み、レガシーシステムからの脱却が喫緊の課題となっている今。「ERP×ノーコードツール」のアプローチで基幹システムの刷新に取り組む企業が増えている。そのアプローチを推進するに当たってのポイントを解説する。
DXの本質は、デジタル技術を駆使して変化に適応する能力を身につけることにある。その手段の1つとして注目を集めているのが、ローコード/ノーコード開発ツールだ。京王グループなどの事例とともに、その特徴やメリットを紹介する。
DX人材の重要性が高まる中、ノーコードツールの活用によって業務改革と人材育成を両立しようとする動きが活発化している。年間約780時間の工数削減を実現した京セラをはじめとする5社の事例を基に、その実態を探る。
急速に進化するデジタル技術は、製造業などのものづくりの現場にもさまざまな恩恵をもたらしている。しかし、設備点検業務や棚卸業務などの立ち仕事や移動が多い現場では、いまだにアナログ業務が残存し、効率化の妨げとなっているという。
あらゆる業界でDXの重要性が増しているが、工場や倉庫の中にはデジタル化が後回しにされている隙間業務が多数ある。その理由を明らかにした上で、それらの業務をモバイルアプリでデジタル化し、現場DXを推進する9社の事例を紹介する。
なぜ、「kintone」が大企業の「Fit to Standard」に効果的なのか (2025/3/7)
ノーコードは、負の遺産であるアナログ業務をなくせるのか (2024/11/12)
手間もコストもかかるGUIのテストはどうすれば自動化できるのか (2024/6/4)
「システム内製化」が失敗しがちなのはなぜ? “従来のやり方”では駄目な理由 (2024/5/15)
金融機関のモダナイゼーション 最適解に導くには (2024/3/29)
いまさら聞けない「仮想デスクトップ」と「VDI」の違いとは
遠隔のクライアント端末から、サーバにあるデスクトップ環境を利用できる仕組みである仮想デスクトップ(仮想PC画面)は便利だが、仕組みが複雑だ。仮想デスクトップの仕組みを基礎から確認しよう。
「マーケティングオートメーション」 国内売れ筋TOP10(2025年5月)
今週は、マーケティングオートメーション(MA)ツールの売れ筋TOP10を紹介します。
「サイト内検索」&「ライブチャット」売れ筋TOP5(2025年4月)
今週は、サイト内検索ツールとライブチャットの国内売れ筋TOP5をそれぞれ紹介します。
「ECプラットフォーム」売れ筋TOP10(2025年4月)
今週は、ECプラットフォーム製品(ECサイト構築ツール)の国内売れ筋TOP10を紹介します。
ITmediaはアイティメディア株式会社の登録商標です。
