一般社団法人日本スマートフォンセキュリティ協会(JSSEC)は3月8日、「スマートフォンアプリケーション開発者の実施規範」を発表した。英国「Code of practice for app store operators and app developers」の日本語版の位置づけとなり、開発者が実施すべきことを網羅している。
この実施規範は、スマートフォンセキュリティを技術面から支援するJSSECの活動の一環となるもの。JSSECでは、2023年に英国のDepartment for Science, Innovation & Technologyが発行している「Code of practice for app store operators and app developers」のアプリケーション提供者が実施すべきことに着目し、その日本版を作成した。
「Code of practice for app store operators and app developers」は、アプリケーション運営者とアプリケーション提供者がユーザーを保護するための実践的な手順を明示しており、一般的に認識されているセキュリティとプライバシーの慣行にも言及している。これらの原則は重要なものであるが、日本国内ではすべてを網羅した手順書のような資料が存在していなかった。
JSSECの日本語版の実施規範は、JSSEC参加企業のモバイルセキュリティ技術者および有識者により議論を行い、アプリ提供者がアプリの提供開始から継続して安心・安全なアプリを提供し続けることを目的に、8つの原則としてまとめている。実施規範の目次は次の通り。
1:実施規範
2:実装ガイドのスコープ
3:セキュリティとプライバシーの基本要件
4:アプリ公開後のメンテナンス
5:プライバシーの基本要件
6:利用規約の基本要件
7:ユーザーサポート
8:セキュリティインシデント対応
9:おわりに
例えば、「セキュリティとプライバシーの基本要件」では「準拠すべきセキュリティとプライバシー基本要件」、「セキュアコーディング」、「セキュリティテスト」についてそれぞれ重要な要件が記載されており、網羅的といえる。
また、「アプリ公開後のメンテナンス」では、公開後のアプリの定期的な脆弱性の確認に加え、自社のアプリの脆弱性を発見した際の対応方針の整備、外部から脆弱性の申告があった際の対応方針の整備なども記載されている。
実施規範は24ページのPDFファイルとなっており、無償でダウンロードすることが可能。
