みんなの「教えて(疑問・質問)」にみんなで「答える」Q&Aコミュニティ

こんにちはゲストさん。会員登録(無料)して質問・回答してみよう!

締切り済みの質問

Android iOS セキュリティの違い

標題の件について、Googleで検索などしたのですが、分からずに投稿しました。
理由としては、現在は私は小さな会社の総務部に勤めておりまして、
この度スマートフォンを営業に持たせることになりました。
携帯会社から頂いた見積から、価格的にもAndroid一択になったのまでは良いのですが、
いざ導入するとなると、セキュリティ面が心配でして。。。

以下の内容までは分かったのですが、Androidのセキュリティが強い理由を知りたくて投稿しました。

【iOSの強み】
 ・Appleの厳格なアプリ審査上、App Storeからしかダウンロードが出来ない
 ・サンドボックス構造でアプリ間連携をする、個別にパーミッション設定ができる。
 ・ストレージが暗号化されている。
 ・外部メモリ(SDカード)スロットがない。
  (Lightning端子のUSBメモリでデータの抜き取りはされない?)
 

【Androidの強み】
 ・???


もう遅いかもしれませんが、
Androidの強み・弱みを知り、適切な運用ができるように考えたく思っております。


何卒、よろしくお願いいたします

投稿日時 - 2015-02-09 00:51:21

QNo.8913892

すぐに回答ほしいです

このQ&Aは役に立ちましたか?

5人が「このQ&Aが役に立った」と投票しています

回答(3)

ANo.3

投稿時にブラウザがクラッシュしてしまったので書き直しをし、返事が遅くなってしまいました。

>こちらについて、説明頂けると幸いです。

了解しました。
まず過去の事件について紹介します。

あれは確か2010年の事だったと思います。
Appleの審査によりiPhoneは安全だとの賞賛がメディアを賑わしていた状況でしたが、実効性に疑問を抱いていた人達がいました。
私もその中のひとりで、後述する方法を示して反論していました。
そのうち米国にて行動に移して確かめた人が現れ、その方の名前は失念してしまいましたが、セキュリティ専門家と記事で紹介されていたと記憶しています。
その方はAppleが禁止している機能を盛り込んだアプリを作成して審査にかけ、審査をパスし、意図と内容を公表しました。
Appleはその方の出品資格を剥奪したようですが、これ以降も日本ではiPhoneは安全だという言葉がメディアを飛び交っていました。
記事そのものを示したかったのですが、当時記事を載せていたサイトのデザインが大きく変更されていて、古い記事が消されてしまっているようで見つけられませんでした。

2012年になると
http://internet.watch.impress.co.jp/docs/news/20120124_506944.html
http://wirelesswire.jp/Watching_World/201202161120.html
このような事件が発覚します。
前者と同様の事例はこの後にも多発していて、Appleの言葉とは裏腹に対策が効果を上げていない状況です。
これはある意味当然で、米国における中国産蜂蜜問題を知っていれば、犯罪者側の巧妙さと対策の難しさを推し量ることが出来ると思います。

後者についてはAppleはiOSに対策を盛り込み、アプリが個人情報に初めてアクセスする際に、ユーザーに承認を求めるよう変更されました。
しかしながら個人情報にアクセスする事が当然のアプリ - カメラアプリや写真加工アプリ、アドレス帳アプリ、メールアプリ、LINEなどのメッセージアプリ - であれば、ユーザーは機能をわかっていてダウンロードしているわけですから当然許可をするでしょう。
そのようなアプリの開発者側に悪意があれば、もしくは上記のような海賊版アプリであれば、悪用を防ぐことは出来ません。

次に私がAppleの審査をパスする方法として2010年頃書いていた内容を簡単に紹介します。
多くの方がTwitterやFacebookを利用する際に、便利な非公式アプリを利用しています。
これはインターネット上のサイトを、アプリの機能として見せることが出来るという意味にもなります。
インターネット上のサイトを使って実現した機能を見せるアプリを作成し、Appleの審査を通過させる際には無害なサイトを構築しておき、審査をパスしたら悪意のある巧妙な仕掛けを施したサイトに入れ替える、という形態です。
敢えて書きませんが、これは実効性を上げる色々なパターンが作れます。

次に何故このような状態にならざるを得ないかです。
審査の対象になるのはソースコードではなく実行ファイルです。
ソースコードであれば読むことが出来ますが、実行ファイルはCPUが解釈できるコードに変換されていて人間にはそのままでは読めず、解析ツールにかける事になります。

一方でアプリの挙動を人手によって調べるには、複雑なアプリであれば半日かかっても終わりません。
一日にどの程度のアプリをチェックできるかはアプリの複雑に依存しますし具体的な根拠になる数字はありませんから、チェックできるアプリの数を4つと仮定しておきます。

2013年の記事ですが、
http://tools4hack.santalab.me/appstore-japan-hits-apps-analysis-2013-04to05.html
月に日本で公開された「新規」アプリ数が2.1万とあります。
この他に既存アプリのアップデートがあります。
私は1000個程のアプリを複数のiOS端末に分散して入れていますが、月に大凡100個分程度のアップデートがあります。
上記記事によると日本のAppStoreにあるアプリの数は80万とありますが月に更新されるアプリの数についての情報は見当たらないため、私の利用アプリの更新比率10%の半分を適用し、月に4万の更新があると仮定します。
新規2万+更新4万の計6万の他にiPad用があり、更に審査に通らずリジェクトされるアプリの数を仮に3割と見積もります。
そうすると7.8万個のアプリが審査にかけられていると仮定できます。

日本の他にも米国やカナダ、EU、中国、中東、東南アジアなどでもiPhoneは発売されていて、日本では公開されていないアプリも多々あります(海外の記事を参考に日本のAppStoreで捜すと見つからないことがある)。
この地域差分を見積もる根拠になる数字がないため、地域数を仮に6として、更にアプリの1割が地域依存と仮定すると、トータルで48万の差分があると仮定できます。

2014年時点のAppStore登録アプリの総数が
http://jp.techcrunch.com/2014/06/03/20140602itunes-app-store-now-has-1-2-million-apps-has-seen-75-billion-downloads-to-date/
120万とありますが、80万+48万=128万という事で仮定の数字も近そうです。
120万を根拠に地域差分を40万と見積もりし直すことにします。

40万についても更新比率5%と新規2万に対する1割の仮定を適用して2万+2千×6=3.2万

7.8+3.2=11.1万個のアプリを月に審査するにはどのくらいの人手が必要になるか。
110000/(20日×4つ)=1375。
アプリのチェックのために優秀な技術者を各国語表現チェックも含めて1375人も割り当てなきゃならない事になります。
いくら大企業と言っても効率が悪すぎます。
Appleはバグチェックが甘い企業ですから、尚更こんなにも人を割り当てるとは思えません。

アプリは解析ツールにかける必要があると先に書きましたが、解析ツールとは呼ばれていない解析ツールにアンチウイルスソフトがあります。
つまりソフトウェアの解析の多くは機械処理できるため、恐らくAppleはウイルスチェックと同様の技術を適用してアプリの審査の多くを自動化していると推測できます。
自動化により、想定していない点は見落とされます。
これが審査をパスできる理由だと考えています。

以上が説明ですが、納得していただけましたでしょうか。

投稿日時 - 2015-02-10 17:29:28

ANo.2

>・Appleの厳格なアプリ審査上

これはあまり信用できないことが過去の事件から証明されています。
必要でしたら何故あまり信用できない形にならざるを得ないのか説明します。
Apple関係の記事は信者による誇張記事が多いので注意が必要です。

>・サンドボックス構造でアプリ間連携をする、個別にパーミッション設定ができる。

これはAndroidも同じですが、iOSではAppleにより強制されているところ、Android 4.xまでは開発者任せになっている部分もありました。
Android 5からは準仮想化技術の導入でユーザーがコントロールできるようになっています。
そのユーザーコントロールは所有者という名の管理者によって強制することが可能です。

>・ストレージが暗号化されている。

暗号化自体はAndroidも2011年からサポートしていますが、サポートしない端末をメーカーが発売する事も可能で、サポートしている端末でもデフォルトは多くはオフになっていました。
Android 5からは暗号化がデフォルトでオンになっています。

>・外部メモリ(SDカード)スロットがない。

Dock接続やLightning接続の外部ストレージは以前から売られています。
データの抜き取りリスクについて言えば、iOSもAndroidも、ロックを解除して操作できなければリスクはありません。
しかし操作できるようであれば、iOSはiTunesで暗号化無しバックアップが可能ですし、iOSはワンタッチで脱獄出来ますので端末内のほぼすべての情報を抜き出すことも可能です。
Androidもワンタッチで脱獄可能なデバイスもありますが、日本メーカー製Android端末はセキュリティに厳しいので、ワンタッチ脱獄が難しい機種が多いです。

脱獄してしまうとiOSもAppStore以外からアプリをインストール出来ますし、SandBoxを越えてアプリを動作させられます。

またiOSでも、iOSのアップデートを無視するユーザーがいますが、これをやるとiOSの脆弱性を突く事が出来、場合によってはリモートからSandBoxを越えることが可能なリスクもあり得ます。



ANo.1さんの回答にも触れると、

>・アプリのソフトウェアとしての品質が低いものが多い。

これはiOSも大差ありません。
私はこれまでに数千のiOSアプリを(多くは有料)入手してきましたが、Appleの言葉とは裏腹に起動すらできないアプリに出会ったことも何度かあります。

>・アプリが必要以上のアクセス権を要求しているケースが多く見受けられ、無防備である。

Android 5であれば先の説明通り管理者によって強制することが可能です。

>・端末を正常に保つため、アプリの動作環境の日常メンテナンス作業が必須。使用者への教育が必要。

これはiOSも変わりません。
ここで色んなトラブルへの回答をしていると、コンピューターの事がわかっていない人にとってはiOSもAndroidも同じだと感じます。

>・端末への設定次第では、公式サイト以外のところからもアプリをダウンロードしてインストールできてしまう。

これもAndroid 5からは管理者以外からは設定を変更できなくなっています。

>・バックアップを個別に意識的に行わなければならない。

これは導入するアプリ次第と言えます。
現在のAndroidアプリ開発では、Google同期に対応するよう推奨されていて、Google同期に対応しているアプリの場合自動でバックアップが取られます。
自動バックアップの対象にならないデータもありますが、それは写真などの共有データで、共有データのバックアップ設定については個別意識が必要なのはiOSも同じだと言えます。
推奨に従っていないアプリを使用する場合には、そのアプリ自身にもオリジナルのバックアップ機能が付いていなかったりバックアップ先がSDカードになっている場合には、個別に意識的に実行する必要があります。

>・SDカードのスロットがある為、データの取り出しが容易に行えてしまう。

Android 4.3までの話しです。
Android 4.4以降ならiOSと条件は変わりません。
SDカードのないAndroid端末もあります。

>・維持運用が大変

Android 4.xまでの話しと言えます。
ユーザによる脱獄までリスクに勘案するなら、iOSのリスクの高さも無視できない物になります。
iOSは脱獄によって端末がまったく使えなくなるリスクが非常に低い(皮肉なことにAppleのお陰)分脱獄を試しやすく、Androidは機種によってはまったく使えなくなるリスクが高かったり脱獄方法が提示されていない機種があるためです。


Androidの強みは、貴社の導入動機でもある価格の安さと選択肢の広さです。
国内メーカー品ならAndroid 5の導入は半年ほど先になると思われますが、メーカーに掛け合うことが可能であれば、キャリアアプリの審査をスキップする事も可能だと思われますので、導入を早めることが可能かも知れません。

投稿日時 - 2015-02-09 08:07:38

補足

さっそくのご返答ありがとうございます。
非常に勉強になりました!
追加でご質問よろしいでしょうか。

>・Appleの厳格なアプリ審査上

これはあまり信用できないことが過去の事件から証明されています。
必要でしたら何故あまり信用できない形にならざるを得ないのか説明します。
Apple関係の記事は信者による誇張記事が多いので注意が必要です。

→こちらについて、説明頂けると幸いです。

投稿日時 - 2015-02-09 08:31:23

両方のOSの端末を使っている立場での私の個人的な感想・意見だとお考え下さい。

質問者さんが???と書かれているように、余り見つからないのです…。
なので、ANDROIDの強みよりも弱みを挙げて、その弱点が許容できるのか?運用上で回避手段はあるか?…という方向から考えた方が現実的だと思います。

・ウイルス(不正な動きをするアプリという方が正確かもしれません)やマルウェアが蔓延っている。
・完璧な防御はできないが、ウイルスワクチンが必須で運用(導入時だけではない)コストが掛かる。
・最悪の場合、端末の初期化をしなければならないケースもある。(iOSデバイスよりも可能性が高いと思われる)
・Googleによるアプリの審査は甘々で、審査によるスクリーニングは期待薄。
・アプリのソフトウェアとしての品質が低いものが多い。(導入するアプリによりますが)
・審査が甘く低品質な事もあり、アプリの更新頻度が高い。運用方法によっては通信費用の増大に繋がる。
・アプリが必要以上のアクセス権を要求しているケースが多く見受けられ、無防備である。
・端末を正常に保つため、アプリの動作環境の日常メンテナンス作業が必須。使用者への教育が必要。
・端末への設定次第では、公式サイト以外のところからもアプリをダウンロードしてインストールできてしまう。(ESETのように自社サイトからダウンロードさせるウイルスワクチンもありますから、一概にNGと決めつけることはできませんが…)
・バックアップを個別に意識的に行わなければならない。動作はあくまでもアプリ任せなので、iOSデバイスに比べて信頼性が高いとは思えない。(バックアップの対象は重要なデータだけ、と割り切ることが必要かもしれません)
・SDカードのスロットがある為、データの取り出しが容易に行えてしまう。
・維持運用が大変なんだということを、上の人に理解して貰うのが大変。

余り書き連ねるとモチベーションが下がってしまうのですが、この辺りが現実だと思われます。
何れにしても運用上の規程・ガイドラインの策定、監査の方法、セキュリティの維持など大変そうです。本当にスマホである必要があるのでしょうか?

投稿日時 - 2015-02-09 05:05:00

補足

ご返答誠にありがとうございます。

何れにしても運用上の規程・ガイドラインの策定、監査の方法、セキュリティの維持など大変そうです。本当にスマホである必要があるのでしょうか?

→本当にその通りですね。。。
会社の方針で、やむなくと言った形で。。。
何にせよ、ご返答本当にありがとうございます。

投稿日時 - 2015-02-09 08:34:27

あなたにオススメの質問