投稿日:

通販アプリを開発する際のセキュリティ対策|ニトリの事例と合わせて解説

通販アプリは、その他のアプリ以上にセキュリティの質が問われます。ここでは、通販アプリの開発でおさえておくべきセキュリティトラブルの予防方法をご紹介します。

通販アプリ開発で重大なセキュリティトラブル

アプリはスマホの重要な機能にアクセスすることができ、端末に入った個人情報なども利用可能です。そのためアプリそのものの安全性を重視するユーザーは多いのですが、開発者や提供者の側に立って考えると、さらに踏み込んだ危機意識を持つ必要があります。

アプリは単独でスマホの重要機能などを利用できるだけではなく、他のアプリと連携して機能することもできます。ユーザーが悪意のあるアプリをそうと知らずにダウンロードした端末へ、会社が提供しているアプリをダウンロードした場合、そのアプリが悪用される可能性があるのです。

よってアプリ開発では、アプリ自体のセキュリティ機能はもちろん、アプリ同士の処理に関する「インテント・エクストラパラメータ」も意識しなくてはなりません。インテント・エクストラパラメータは、アプリ間での処理によって機密情報が盗まれる危険性を表した数値のことを指します。

とくに通販アプリの場合、住所など個人を特定できる情報に加え、クレジットカード情報なども晒される危険があります。セキュリティの脆弱性がお客様に多大な迷惑をかける上、トラブルの規模によっては担当者が退職する事態になるかもしれないのです。

実際、アプリ開発会社がストアから無作為に選出した無料アプリのセキュリティ対策状況を調査したところ、およそ40%のアプリになんらかの脆弱性が見られたというデータがあります。

・パーミッション設定で対策する ・SDカード利用に注意する ・リバースエンジニアリング対策を徹底する

セキュリティ対策で意識すべきは、この3点です。パーミッション設定もリバースエンジニアリングで読めるソースコードの設定も、開発時に設定を加えたり、ソースコードを難解にしたりするだけで脆弱性はかなり緩和されます。

SDカードは、たとえば通話アプリで連絡先をSDカードに保存している場合、外部からの攻撃で情報を盗まれるリスクがあります。誰でも閲覧できるSDカードではなく、端末本体に保存できるよう設定するなどの工夫が必要です。

セキュリティ万全の通販アプリを作るためには

セキュリティ面に不安のない通販アプリを作るには、素人が付け焼刃で得た開発知識では困難です。そこでアプリ開発専門の会社に外注することになるのですが、丸投げするのではなく、必要な情報の共有を行いましょう。

・情報共有でセキュリティ意識を明確にする
・リリース前後のセキュリティレビューを導入する

セキュリティ万全の通販アプリを開発するには、この2点が重要です。

とくにセキュリティ面は、ある程度のガイドラインが用意されていますが、単純にガイドラインに沿ったものを作ってもらうだけでは不安です。少なくとも開発会社と頻繁にやりとりする担当者は、セキュリティに関する知識を一定レベル以上持っておかなくてはなりません。

お互いのセキュリティに対する考え(どの程度のセキュリティにするかなど)を共有するためにも、専門用語で的確な情報共有ができる知識は必要です。

開発会社には、リリース前にもリリース後にもチェックしてくれるセキュリティレビュー担当者のプロジェクト参加を依頼しましょう。納期を早めたり料金を削ったりするとセキュリティ関連のチェックは簡素となりがちです。

多少金額が高くなっても、トラブルリスクを減らすために必ずセキュリティレビュー担当者を依頼しましょう。

近年の例でいえば、仮想通貨アプリもセキュリティの脆弱性が不安視されています。爆発的に普及している仮想通貨市場に参入しようと専用のアプリを開発・リリースした会社はいくつもありますが、およそ90%はセキュリティ面に問題が見つかりました。

多くのユーザーが危機に晒されているのはもちろん、全体の10%程度しか安心して使える仮想通貨アプリが存在しない事実は、今後の大きなトラブルが予想されます。

この仮想通貨の例でいえば、残りの10%のアプリになれるか否かを決めるのが、開発段階からのセキュリティ対策への姿勢です。AndroidもiOSもリスクに大差はありません。OSごとの違いがない分、アプリのセキュリティ対策を万全にすることで他社との差別化にもつながります。

ニトリの通販アプリのセキュリティ

セキュリティ面がしっかりした通販アプリの一例として、ニトリの通販アプリをご紹介します。

ニトリの通販アプリはショッピングができる他、店頭でも使えるメンバーズカードの発行や、家具を設置したい場所を写した画像にサイズを書き込む機能などが用意されています。

店舗情報やお気に入り商品をブックマークする機能もあり、アプリをダウンロードするだけでリアル店舗でもネット上でも便利に買い物できる工夫がなされています。

そんなニトリの通販専用サイトやアプリでは、ユーザーの個人情報を守るためにセキュリティ対策を行っています。公式サイトの「セキュリティについて」の欄にも書かれていますが、暗号化技術のSSLやTLSが活用されています。

SSLやTLSはどちらも個人情報を保護するための暗号化技術ですが、似通っていても開発時期が違い、互換性もありません。ブラウザによってはSSLの一部バージョンを今後無効化すると発表しており、次世代型であるTLSも導入することで、暗号化技術が利用できなくなるリスクを軽減しています。

また、クッキーの設定を推奨しており、設定していない場合は注文画面へすすめないようになっているのもセキュリティ対策のひとつです。

通販アプリや通販サイトは個人情報を暗号化して送信してくれるシステムを導入しておけば大丈夫、と考える個人事業主や会社は少なくないでしょう。とくにセキュリティ面に明るくない人が担当者となった場合は、その傾向が顕著です。

しかし、セキュリティ対策をきちんと行うのであれば、ニトリの例のように複数の対策を導入しておかなくてはなりません。ひとつのシステムに頼りきらず、リスクやトラブルを想定した複数の対策をすることが大切です。

通販アプリは、企画段階からセキュリティに配慮しなければなりません。どの程度のセキュリティにするかはもちろん、企画したアプリの仕様によってはどのような対策をするべきか、開発者と相談する必要があります。

セキュリティ万全でアプリをリリース、運営するために、リリース前後のセキュリティレビューも必ず行いましょう。

■ 失敗しないアプリ開発のために

アプリ開発虎の巻無料プレゼント実施中

アプリを作る目的を明確にせずになんとなくアプリを開発してしまっては、大きな予算をかけてアプリ開発を行っても思ったような成果を得ることはできません。
アプリ開発で失敗しないための、始める前に知っておくべき情報・目的を明確にするためのステップを「アプリ開発虎の巻」を公開中!
販促アプリ開発に大いに役立ててください。

■ まずは資料請求!

先ずは資料請求

JokerPieceでアプリ発注をした際に弊社でできることや、過去の制作例、実績など資料にてご覧いただけます。販促アプリのPieceを受託するだけでなく、よりクライアント様に最適なプラン提案をしながら共に作り上げていく開発スタイルを得意としております。またITエンジニア支援、教育訓練事業も行なっております。