秋吉健のArcaic Singularity：そのアプリ、本当に安全ですか？Googleの取り組みやユーザー自身が気をつけるべきポイントからスマホアプリのセキュリティーを考える【コラム】

1/2

スマホアプリとセキュリティーについて考えてみた！

グーグル（以下、Google Japan）は6日、都内にてAndroid向けコンテンツ配信マーケット「Google Playストア」のアプリを表彰する「Google Play Best Of 2019」を開催しました。ベストアプリ2019には「メルカリ」が、ベストゲーム2019には「ドラゴンクエストウォーク」が選出され、誰もが納得する受賞内容だったっように思われます（受賞アプリの詳細については後述）。

今年もスマートフォン（スマホ）の便利系アプリや白熱するゲームアプリが華々しく登場し巷の話題をさらっていきましたが、その裏ではGoogleのようなプラットフォーマーによる地道なセキュリティー施策とユーザー保護のためのシステムづくりが行われていました。

私たちが普段便利に利用しているスマホアプリは、どのようにその安全性が確保されているのでしょうか。感性の原点からテクノロジーの特異点を俯瞰する連載コラム「Arcaic Singularity」。今回はGoogle Playのセキュリティー施策やその効果、そしてユーザーである私たちが気をつけるべきアプリセキュリティーの基本について考えます。

私たちが楽しく利用しているアプリの裏側には厳格な安全対策がある

■スマホアプリの利用範囲が拡大し続けた2019年

まずはGoogle Play Best Of 2019で表彰された作品を挙げておきましょう。

■アプリ部門

・エンターテイメント部門……Mirrativ

・自己改善部門……FOLIO

・生活お役立ち部門……PayPay

・隠れた名作部門……エクボクローク

■ゲーム部門

・エキサイティング部門……Call of Duty : Mobile

・インディ部門……アーチャー伝説

・クリエイティブ部門……マリオカートツアー

・キュート＆カジュアル部門……ドクターマリオワールド

■ユーザー投票部門

・アプリカテゴリ最優秀賞……PayPay

・ゲームカテゴリ最優秀賞……Call of Duty : Mobile

■ベストアプリ2019……メルカリ

■ベストゲーム2019……ドラゴンクエストウォーク

今年話題を呼んだスマホゲームとして、このゲームが表彰されたことは納得だ

みなさんの中にもこれらの生活系アプリやゲームアプリを愛用している人は多いでしょう。まさに「今年を代表するアプリ」に相応しい顔ぶれです。

生活系アプリでは「FOLIO」や「PayPay」、メルカリといった決済や金融に関連するアプリが好評を博し、「Mirrativ」ではゲーム配信などが手軽に行えるようになりました。

ゲーム系では位置情報アプリの人気とともに「マリオカートツアー」や「Call of Duty : Mobile」のような多人数オンライン対戦ゲームが大人気です。

そしてこれらのアプリには高いセキュリティーレベルが要求されるアプリばかりであるという共通点が見出だせます。金融や決済サービスは当然として、ゲームで利用する位置情報や対戦時の通信でも個人情報を厳格に管理する必要があります。

例えばゲーム配信などに用いるMirrativなどは、アプリのみならず配信するユーザー自身がセキュリティーについて強く意識しなければいけないアプリの1つでもあります。

スマホアプリの用途が個人単位からコミュニティ単位へと拡大し続けている

もしこれらのアプリが悪意を持って個人情報を収集したり、アプリで利用するために取得した情報を別の目的で利用していたとしたら、当然私たちは安心してアプリを利用することができません。

そういったリスクと不安を払拭するために、Googleは常にセキュリティーポリシーを更新しながらアプリ審査の厳格化と監視を続けているのです。

■ユーザーを守る3つのセキュリティー施策

実はこの表彰式が行われる数時間ほど前、Googleは記者向けのGoogle Playに関する説明会を開催しています。そこではGoogle Playにおけるセキュリティーポリシーの在り方や現在の取り組みについて語られました。

Google Playにおける全世界での年間ダウンロード件数は、2018年では1160億回にものぼります。これだけのダウンロード要求に耐えられるだけのエコシステムとアプリマーケットの安全は、単なる監視だけでは到底保証できません。アプリを信頼できなくなれば、誰もダウンロードしなくなってしまいます。

「エコシステムの保全は最優先事項」と語る、Google Play VP of UX & ProductのTian Lim氏

そこでGoogleでは「プロテクション」および「ポリシー」、「レビュープロセス」の3つのカテゴリーに分けたセキュリティー施策を行っています。

プロテクションでは毎日500億を超えるアプリのスキャンや悪意のあるアプリ（PHA）がないか監視するなど、いわゆる水際対策的な監視活動を行います。セキュリティーとしては最も基本的なものですが、これによって検出される「潜在的な脅威」を有するアプリは0.08％程度です。

2019年にはさらにPHAの検出能力を高め、なりすましアプリや不正広告なども、より性格に検出できるようになったとしています。人気のあるアプリになりすましたフィッシング詐欺や不正送金などが増えている中、それらへの対策を講じる専用チームも設置しています。

Google Playでは2018年だけで16億回も悪意あるアプリのインストールを防いだ

一方、アプリを製作するデベロッパー側にも安全への高い意識の共有を求めています。例えば、広告の表示や各種アナリティクスにはさまざまなSDKが使用されますが、そこで収集された個人情報が悪用されないように監視するのもプロテクションとしての役割になります。

機械的な監視だけではなく、デベロッパーとの意思疎通やそのアプリ開発の過程で「より良い意思決定ができるように支援していく」（Tian Lim氏）ことが重要であるとしています。

アプリ開発をデベロッパーに丸投げするのではなく、プラットフォーマー自らが積極的に関わっていくことで、健全かつ安全なアプリの開発へと導いていく姿勢と言えるでしょう。

今回のGoogle Play Best Of 2019や同社が毎年開催しているインディゲームフェスなどは、そういった「デベロッパーを支援し、ともにアプリを創り上げていく」姿勢を強くアピールするための場でもあります。

「Google Play Indie Games Festival 2018」より。開発規模と予算の小さなインディゲームだからこそ、アプリの安全と普及のための支援は欠かせない

ポリシーにおいては、Googleは毎年頻繁にそのアプリポリシーを更新しています。

例えば、SMSや通話履歴へのアクセス権限について、「必要なアプリに限り許可する」という方針へ更新したところ、これらのデータを利用するアプリが98％も減少したとTian Lim氏は説明します。また子供向けアプリにおいても、より適切なコンテンツと適切な広告が表示されるように変更が行われました。

ユーザーにとって最も重要なことは、アプリが便利であるかどうかよりも、アプリが安全であるかどうかです。アプリポリシーの変更はデベロッパーにとって小さくない負担ではありますが、そういった安全性を優先するポリシーこそが、市場全体およびユーザーの安全と利益を守っているのです。

またそういったデベロッパーへの負担を軽減するためにも、Googleは「（ポリシー変更の）実施プロセスについても詳細な情報をデベロッパーと共有する」としており、ここでも開発者支援の姿勢を強調していました。