こんにちは、Androidセキュリティ部 部長の丹羽直也です。このたび、Androidセキュリティ部として連載の機会をいただき、その第1回を執筆することになりました。この連載では4チームに分かれ、Androidのセキュリティについて解説していきます。
ご存じの方も多いと思いますが、Androidは2007年にGoogleが発表したLinuxカーネルベースのモバイルデバイス向けプラットフォームです。2009年に日本初のAndroid端末「HT-03A」が発売されたのを皮切りに、日本でも普及しています。

いくらAndroidのセキュリティ的なポテンシャルが高くても、100％完璧ということはありません。現にAndroidにもいくつか脆弱性が見つかっていますし、Androidを構成しているLinuxカーネルや各種ライブラリに脆弱性が見つかれば、それもAndroidの脆弱性となります。
脆弱性が見つかれば、対策としてのパッチが作られ、公開されるのが一般的です。しかし現状のAndroidでは、作られたパッチが各端末にいつごろ適用されるかが不透明といった問題があります。
現在、Androidの利用領域のほとんどはスマートフォンですが、それらのアップデートに関してはおおむねメーカー任せとなっており、特にAndroidで統一されたアップデート手段があるわけではありません。Googleから新しいバージョンのAndroidがリリースされると、ある程度時間が経過した後にアップデートされる端末もあれば、アップデートが打ち切られてしまう端末もある状態です。
前者の場合、バージョンアップに伴い、Android Open Source Project（AOSP）などで修正されたパッチも端末に反映されるため問題ないのですが、後者のようにアップデートが打ち切られてしまうと、それ以降に修正されたAndroidの脆弱性が残ったままになってしまいます。

今、見直すべきAndroidのセキュリティ (2/2)：Androidセキュリティの今、これから（1） - ＠IT

そうなると、ただASOPが確実にパッチをリリースするだけではなく、「たとえどんな人が使っていても、どのような機器に搭載されていても、適切にAndroidがアップデートされるかどうか」という点も重要な課題となります。これが実現でき、安全に利用できるインフラになってこそ、真の“ユビキタス時代”といえるのかもしれません。
ユーザーの側も、ただ便利なものを自由に使うだけでは済まず、自由に使いたいのであれば、それ相応のセキュリティ対策への責任を果たす必要が生じてくるかもしれません。
そうした時代が来れば、前述のように自動アップデートの開発といった技術的な側面からの支援も必要ですが、ユーザーに適切なAndroidの情報を伝え、セキュリティに関する最低限の知識を周知させるといった、情報共有や啓蒙的な側面でのサポートも必要になると考えています。

今、見直すべきAndroidのセキュリティ (2/2)：Androidセキュリティの今、これから（1） - ＠IT