オープンソースであることが Android の安全性にもたらす価値
2013年12月10日火曜日
Posted by 鈴木拓生 Developer Relations Team
[この記事は Android Security Engineer の Adrian Ludwig が Android Official Blog に投稿した記事、The value of openness in Android security を元に、翻訳しています。詳しくは元記事をご覧ください。-鈴木]
カスタマイズや選択肢をもたらす Android のオープンソース設計は、Android スマートフォンやタブレットのユーザーに多くの利点を生み出していることは明らかですが、それによってセキュリティが受ける恩恵については、あまりよく知られていません。オープンソースであるということは、誰でも Android のコードを確認できるということですが、その結果、既存の安全性が証明されたり、改良が必要な箇所が発見されたりすることがあります。これは、セキュリティに関わるコミュニティが、Android をより強化したり、未知の脅威から守るためのコードを書くこともできるということでもあります。
Google は製品をより安全かつ信頼できるものにするために、常にセキュリティ分野と密に協力しています。今回は Android におけるそうした活動の一部をご紹介します。
Android は Google Patch Reward Program に参加することになりました
Google は、広く利用されているオープンソースプロジェクトに対するセキュリティパッチの開発に報奨金を支払っていますが、今後、Android も同様に扱われることになります。これは、より多くのコミュニティによってセキュリティが提供されることにつながり、脆弱性が実際に明らかになる前に予防策が取られることを意味します。
コミュニティによって提供される Android 4.4 のセキュリティ
Android 4.4 では、サンドボックスが強化されています。サンドボックスはアプリケーションが要求するリソースを管理することで、機器や部品に悪影響を与えるような挙動を防ぐものですが、Android 4.4 では SELinux が有効化され、これまでで最も強力なセキュリティが提供されています。そして、この SELinux の核となっている部分は、その他多くの Android 専用エクステンションと同様に、オープンソース開発に参加している第三者の尽力によって実現されました。Android におけるこうしたセキュリティ向上は、今日の製品に活用されているコミュニティの力を示す顕著な例であるといえるでしょう。
Pwn2Own Mobile と Android
Android は、今年行われた PacSec Security Conference に参加しました。参加するセキュリティリサーチャー達が、広く利用されているモバイル機器の脆弱性発見を競うこのコンテストにおいて、Android を搭載した Nexus デバイスには脆弱性が発見されませんでした(もちろん、万一発見された場合に備えて、パッチを作成する準備はできていましたが)。
Android チームは、多くのセキュリティ リサーチ コミュニティと密に連携することで、 議論の場を広げ、上記のような改良の実装につなげています。オープンソースであることは、毎日利用する Android スマートフォンやタブレットの安全性の向上に役立っています。
[この記事は Android Security Engineer の Adrian Ludwig が Android Official Blog に投稿した記事、The value of openness in Android security を元に、翻訳しています。詳しくは元記事をご覧ください。-鈴木]
カスタマイズや選択肢をもたらす Android のオープンソース設計は、Android スマートフォンやタブレットのユーザーに多くの利点を生み出していることは明らかですが、それによってセキュリティが受ける恩恵については、あまりよく知られていません。オープンソースであるということは、誰でも Android のコードを確認できるということですが、その結果、既存の安全性が証明されたり、改良が必要な箇所が発見されたりすることがあります。これは、セキュリティに関わるコミュニティが、Android をより強化したり、未知の脅威から守るためのコードを書くこともできるということでもあります。
Google は製品をより安全かつ信頼できるものにするために、常にセキュリティ分野と密に協力しています。今回は Android におけるそうした活動の一部をご紹介します。
Android は Google Patch Reward Program に参加することになりました
Google は、広く利用されているオープンソースプロジェクトに対するセキュリティパッチの開発に報奨金を支払っていますが、今後、Android も同様に扱われることになります。これは、より多くのコミュニティによってセキュリティが提供されることにつながり、脆弱性が実際に明らかになる前に予防策が取られることを意味します。
コミュニティによって提供される Android 4.4 のセキュリティ
Android 4.4 では、サンドボックスが強化されています。サンドボックスはアプリケーションが要求するリソースを管理することで、機器や部品に悪影響を与えるような挙動を防ぐものですが、Android 4.4 では SELinux が有効化され、これまでで最も強力なセキュリティが提供されています。そして、この SELinux の核となっている部分は、その他多くの Android 専用エクステンションと同様に、オープンソース開発に参加している第三者の尽力によって実現されました。Android におけるこうしたセキュリティ向上は、今日の製品に活用されているコミュニティの力を示す顕著な例であるといえるでしょう。
Pwn2Own Mobile と Android
Android は、今年行われた PacSec Security Conference に参加しました。参加するセキュリティリサーチャー達が、広く利用されているモバイル機器の脆弱性発見を競うこのコンテストにおいて、Android を搭載した Nexus デバイスには脆弱性が発見されませんでした(もちろん、万一発見された場合に備えて、パッチを作成する準備はできていましたが)。
Android チームは、多くのセキュリティ リサーチ コミュニティと密に連携することで、 議論の場を広げ、上記のような改良の実装につなげています。オープンソースであることは、毎日利用する Android スマートフォンやタブレットの安全性の向上に役立っています。