GoogleはAndroidのセキュリティに関する年次レポートを公開しました。そのメッセージは明確です。最新バージョンのAndroidを搭載したデバイスは、入手可能なデバイスの中でも最も安全なものの1つです。Google Play ProtectやInstant Apps、バグ報奨金プログラム、機械学習といった機能を組み合わせることで、Android 8は「業界をリードする強力な保護を実現した」とGoogleは述べています。
Pixelをお使いの方、あるいはGalaxy S9をもうすぐ購入される方には朗報です。しかし、Oreoアップデートが全く届かない数百万台のスマートフォンをお持ちの方は、Androidセキュリティにおける最大の問題、つまりプラットフォームを長年悩ませてきた断片化に悩まされているかもしれません。最新の調査では、AndroidユーザーのうちOreoを使用しているのはわずか1%で、NougatとMarshmallowではそれぞれ約28%でした。つまり、Androidスマートフォンの約99%が、セキュリティ面で十分な対策を講じられていないということです。しかし、Googleはこの現状を変えようとしています。
家庭への影響: Androidが新しくリリースされるたびに、Googleはスマートフォンのセキュリティ強化にますます力を入れています。もしあなたがOreo搭載スマートフォンを使っている1%のユーザーなら、おめでとうございます。最新機能が搭載されているだけでなく、購入できる最も安全なAndroidスマートフォンを手に入れていることになります。しかし、Googleは状況が好転したと期待しています。Project TrebleとPixelのおかげで、Android Pの導入により最新バージョンのAndroidを搭載するスマートフォンは飛躍的に増加すると予想されており、来年の今頃にはAndroidスマートフォンの10%以上が最新バージョンになっているかもしれません。さらに、Android GoとAndroid Oneもあり、どちらも長年にわたるアップデートが約束された「ピュア」バージョンのAndroidを提供しています。つまり、状況は確実に改善に向かっていると言えるでしょう。
発生源での保護
すべてのAndroidスマートフォンが厳重なセキュリティの恩恵を受ける領域の一つが、Google Playストアです。昨年、Googleはデジタルストアをアップデートし、「Google Play Protect」という新しいセキュリティ機能を追加しました。このセキュリティスイートは、デフォルトでバックグラウンドプロセスとして有効になっており、Playストアからアプリをダウンロードする前に自動的に安全性チェックを実行し、スマートフォンを危険にさらす可能性のある危険なアプリについてユーザーに警告します。
Googleによると、ユーザーがPlayストアから悪意のあるアプリをダウンロードする確率は昨年、0.04%から0.02%へと半減しました。この数値はすでに極めて低いものでしたが、Googleは2017年にGoogle Playから有害なアプリをダウンロードする確率は「小惑星が地球に衝突する確率よりも低い」と述べています。さらに、ダウンロード不要で使用できるInstant Appsの普及により、デバイスに有害なコードがインストールされる可能性は依然として低くなっています。
IDGInstant Apps は、携帯電話に何もダウンロードせずに実行される完全な Play ストアのゲームとサービスです。
Google Play ProtectとInstant AppsはLollipop以降のスマートフォンで利用可能ですが、Googleが昨年提供したその他のセキュリティ強化のほとんどはOreoに限定されていました。最新バージョンのAndroidには、より強力な暗号化と鍵保存、より堅牢なサンドボックス、カーネルの自己保護、そしてAndroid Verified Bootの最新バージョンなど、様々な機能が搭載されています。
しかし、Android 8.0のセキュリティにおける最大の変更点は、Playストア以外の提供元からのアプリの扱いです。以前はユーザーは「未検証のソース」の切り替えスイッチに簡単にアクセスしてPlayストア未承認アプリのインストールを許可できましたが、Oreoではアプリがサイドロードされるたびに自動的に実行される、バックグラウンドでの権限設定となっています。つまり、ユーザーがうっかり無効にすることはできませんが、悪意のあるアプリも無効にすることはできません。
Googleはバグ報奨金プログラムの一環として125万ドル以上を支払ったが、Oreoの重大な脆弱性を狙ったものはごくわずかだった。実際、Googleの報告によると、2017年のMobile Pwn2Ownコンテストでは、どのエクスプロイトもGoogle Pixelデバイスへの侵入に成功しなかった。ただし、このイベントは10月に開催されたため、PixelデバイスはOreoアップデートの適用後だった。
トレブルについて
全体的には、状況は好転しつつあるかもしれません。Androidのアップデートは一般的に普及率が低迷していますが、Googleの新しいProject Trebleにより、Android Pを搭載したスマートフォンの数が増加する可能性があります。Oreo機能により、メーカーはスマートフォンへのアップデート配信が容易になるため、Android 8搭載のスマートフォンはバージョン9をより早く入手できるはずです。つまり、誰もがより安全に利用できるようになるということです。
Project Trebleは、アップデートの配信方法を根本から変えるものです。ソースコードから開発を始めることで、メーカー各社はOreoからAndroid P(いずれの名称になるかは不明)へのアップデートを明確な方法で実行できるようになります。複数のステップを1つのステップに簡素化することで、これまで手間のかかっていたプロセスを簡素化します。また、ハードウェアの様々な変更もスムーズに行えるため、SamsungはGalaxy S9だけでなく、多くのスマートフォンにアップデートを配信できるようになります。確かに、この新システムを活用するにはOreoを搭載しているスマートフォンが必要になりますが、良いスタートと言えるでしょう。
つまり、来年の Android の現状レポートは、はるかに明るいものになる可能性があるということです。
