« フィッシング対策協議会をかたるフィッシング | Main | インド サイバーインシデントが発生したら6時間以内にCERT-Inに報告しなければならない... (2022.04.28) »

2022.05.10

英国 意見募集 消費者保護のためにアプリストアへの政府の介入は必要か (2022.05.04)

こんにちは、丸山満彦です。

英国政府(デジタル・文化・メディア・スポーツ省)が、消費者保護のためにアプリストアへの政府の介入は必要かについて意見募集をしていますね。。。

PCでは、誰でもソフトを作ることができるようなっていたので、インターネットにつながると各自が作ったソフトを自由にダウンロードできるようになり、ダウンロードするソフト、ダウンロードをしたソフトを各自が責任を持って確認をすることが必要となりましたが、スマホ、タブレットについては、アプリストアからダウンロードできるようにすることにより、アプリストアについて規制をかければ、社会的には効率的に安全なサイバー空間を作ることができるかも知れませんね、ということでしょうかね。。。

サイバー空間のビジネスについては、寡占が進んでいくような気がします(規模の経済が働きやすいこともあり、最初にある一定の規模までビジネスを広げてしまうと、後発事業者がそのマーケットを覆すのが難しいところがあるのかも知れません)。

そうなると、完全競争市場から離れていくので、資源の最適配分に近づけるためには、政府等の介入が必要となるのかも知れませんね。。。もちろん政府の政策は、国民の意見を聞いて民主的に決めていくのが、民主主義です。。。(そういう意味では、国民がスマートでないと、いけないということなのでしょうね。。。)

 

GOV.UK

プレスリリース

・2022.05.04 Tougher consumer protections against malicious apps

Tougher consumer protections against malicious apps 悪質なアプリに対する消費者保護を強化
Tech industry asked for views on measures to make app market safer and more secure アプリ市場をより安全・安心なものにするための施策について、技術業界から意見募集
・Proposals include a world-first code of practice to set minimum security and privacy requirements for app store operators and developers ・提案はアプリストアの運営者と開発者に対し、セキュリティとプライバシーの最低要件を設定する世界初の実践規範を含みます。
New report published today reveals malicious apps downloaded by hundreds of thousands of users put people’s data and money at risk ・数十万人のユーザーがダウンロードした悪質なアプリが、人々のデータと金銭を危険にさらしていることが本日発表された新しい報告書で明らかにな理ました。
・People downloading apps to smartphones, games consoles and TVs will be better protected from hackers under new government plans to boost security standards. ・スマートフォン、ゲーム機、テレビにアプリをダウンロードする人々は、セキュリティ基準を強化する政府の新しい計画により、ハッカーからより安全に保護されるようになります。
Millions of people use apps every day to shop, bank and make video calls and the UK app market is worth £18.6 billion. But there are few rules governing the security of the technology or the online stores where they are sold. 何百万人もの人々が、買い物や銀行、ビデオ通話をするために毎日アプリを使用しており、英国のアプリ市場は186億ポンドの規模があります。しかし、その技術や販売するオンラインストアのセキュリティを管理するルールはほとんどありません。
new report on the threats in app stores published today by the National Cyber Security Centre (NCSC) shows people’s data and money are at risk because of fraudulent apps containing malicious malware created by cyber criminals or poorly developed apps which can be compromised by hackers exploiting weaknesses in software. ナショナル・サイバー・セキュリティ・センター(NCSC)が本日発表したアプリストアにおける脅威に関する新しいレポートによると、サイバー犯罪者が作成した悪質なマルウェアを含む詐欺アプリや、ソフトウェアの弱点を突いたハッカーによって危険にさらされる可能性のある低開発アプリによって、人々のデータとお金が危険にさらされていることが示されています。
To provide better protection for consumers, the government is launching a call for views from the tech industry on enhanced security and privacy requirements for firms running app stores and developers making apps. 消費者保護を強化するため、政府は、アプリストアを運営する企業およびアプリを開発する開発者に対するセキュリティとプライバシーの要件強化について、技術業界から意見募集を開始します。
Under new proposals, app stores for smartphones, game consoles, TVs and other smart devices could be asked to commit to a new code of practice setting out baseline security and privacy requirements. This would be the first such measure in the world. 新しい提案では、スマートフォン、ゲーム機、テレビ、その他のスマートデバイス向けのアプリストアは、セキュリティとプライバシーの基本要件を定めた新しい実践規範を約束するよう求められる可能性があります。このような措置は世界初となります。
Developers and store operators making apps available to UK users would be covered. This includes Apple, Google, Amazon, Huawei, Microsoft and Samsung. 英国のユーザーが利用できるアプリケーションの開発者とストアオペレーターが対象となります。これには、Apple、Google、Amazon、Huawei、Microsoft、Samsungが含まれます。
The proposed code would require stores to have a vulnerability reporting process for each app so flaws can be found and fixed quicker. They would need to share more security and privacy information in an accessible way including why an app needs access to users’ contacts and location. 提案されている規約では、店舗は各アプリの脆弱性報告プロセスを持ち、欠陥をより早く発見して修正できるようにすることが求められています。また、アプリがユーザーの連絡先や位置情報にアクセスする必要がある理由を含め、より多くのセキュリティおよびプライバシー情報をアクセス可能な方法で共有する必要があるとしています。
Cyber Security Minister Julia Lopez said: ジュリア・ロペス サイバーセキュリティ相は次のように述べています。
"Apps on our smartphones and tablets have improved our lives immensely - making it easier to bank and shop online and stay connected with friends." 「スマートフォンやタブレット端末のアプリは、銀行やオンラインショッピング、友人との連絡などを容易にし、私たちの生活を大きく向上させました。」
"But no app should put our money and data at risk. That’s why the Government is taking action to ensure app stores and developers raise their security standards and better protect UK consumers in the digital age." 「しかし、どのアプリも私たちのお金やデータを危険にさらしてはなりません。そのため、政府は、アプリストアや開発者がセキュリティ基準を高め、デジタル時代における英国の消費者をよりよく保護するための措置をとっています。」
The NCSC report found all types of app stores face similar cyber threats and the most prominent problem is malware: corrupted software which can steal data and money and mislead users. NCSCの報告書によると、あらゆる種類のアプリストアが同様のサイバー脅威に直面しており、最も顕著な問題は、データや金銭を盗んだり、ユーザーを欺いたりする不正ソフトウェアであることが判明しました。
For example, last year some Android phone users downloaded apps which contained the Triada and Escobar malware on various third-party app stores. This resulted in cyber criminals remotely taking control of people’s phones and stealing their data and money by signing them up for premium subscription services without the individual’s knowledge. 例えば、昨年、一部のAndroid携帯電話ユーザーは、さまざまなサードパーティのアプリストアで、マルウェア「Triada」や「Escobar」を含むアプリをダウンロードしました。この結果、サイバー犯罪者は遠隔操作で人々の携帯電話をコントロールし、本人が知らないうちにプレミアムサブスクリプションサービスに加入させ、データや金銭を盗みました。
The NCSC report concludes the government’s proposed code of practice will have a positive impact and reduce the chances of malicious apps reaching consumers across different devices. NCSCの報告書は、政府が提案する実践規範が好影響を与え、悪意のあるアプリがさまざまなデバイスの消費者に届く可能性を減らすだろうと結論づけています。
NCSC Technical Director Ian Levy said: NCSCのテクニカルディレクターであるイアン・レヴィは、次のように述べています。
"Our devices and the apps that make them useful are increasingly essential to people and businesses and app stores have a responsibility to protect users and maintain their trust." 「私たちのデバイスとそれを便利にするアプリは、人々や企業にとってますます不可欠なものとなっており、アプリストアはユーザーを保護し、その信頼を維持する責任を負っています。」
"Our threat report shows there is more for app stores to do, with cyber criminals currently using weaknesses in app stores on all types of connected devices to cause harm." 「我々の脅威レポートでは、アプリストアにもっとやるべきことがあることを示しています。現在、サイバー犯罪者は、あらゆる種類の接続デバイスのアプリストアの弱点を利用して、被害を及ぼしているのです。」
"I support the proposed Code of Practice, which demonstrates the UK’s continued intent to fix systemic cybersecurity issues." 「私は、体系的なサイバーセキュリティの問題を解決しようとする英国の継続的な意思を示す、この実施規範の提案を支持します。」
The code follows a government review of app stores launched in December 2020 which found some developers are not following best practice in developing apps, while well-known app stores do not share clear security requirements with developers. このコードは、2020年12月に開始されたアプリストアに関する政府のレビューを受けたもので、一部の開発者がアプリの開発においてベストプラクティスに従っていないこと、また有名なアプリストアが明確なセキュリティ要件を開発者と共有していないことが判明しました。
The app stores call for views is part of the government’s £2.6 billion National Cyber Strategy to ensure UK citizens are more secure online and is alongside other tough UK safeguards for people using internet-connected devices. アプリストアの意見募集は、英国市民のオンラインセキュリティを確保するための政府の26億ポンドの国家サイバー戦略の一部であり、インターネット接続機器を使用する人々のための他の厳しい英国のセーフガードと並ぶものです。
It is also part of the government’s work leading international efforts to raise awareness on the need for security and privacy requirements for apps to protect users. また、アプリのセキュリティとプライバシーの要件に対する認識を高め、ユーザーを保護するための国際的な取り組みを主導している政府の活動の一部でもあります。
There are already tough data protection laws in the UK to protect people’s data and these are enforced by the Information Commissioner’s Office. 英国にはすでに、人々のデータを保護するための厳しいデータ保護法があり、これらは情報コミッショナー事務局によって施行されています。
A new product security law making its way through parliament will place new requirements on manufacturers, importers and distributors of consumer tech. They will have to ban easy-to-guess default passwords in devices and make manufacturers transparent about the length of time products will receive security updates alongside providing a vulnerability disclosure policy. 議会で審議中の新しい製品セキュリティ法は、消費者向け技術のメーカー、輸入業者、販売業者に新たな要件を課すことになります。製造業者は、推測しやすいデフォルトパスワードの使用を禁止し、製品にセキュリティアップデートが適用される期間や脆弱性の開示方針について透明性を確保しなければならない。
People should also follow the National Cyber Security Centre guidance to help secure smart devices. また、ナショナル・サイバー・セキュリティ・センターのガイダンスに従って、スマートデバイスの安全性を確保する必要があります。
Ends 以上
Notes to Editors: 編集後記
The eight-week call for views will run until 29 June 2022. App developers, app store operators and security and privacy experts are encouraged to provide feedback to inform the government’s work in this area. 8週間にわたる意見募集は、2022年6月29日まで実施される予定です。アプリ開発者、アプリストア運営者、セキュリティおよびプライバシーの専門家は、この分野での政府の取り組みに情報を提供するために、フィードバックを提供することが推奨されます。
Following the call for views, we will review the feedback provided and will publish a response later this year. The review complements the government’s upcoming digital markets pro-competition regime, including the Competition and Market Authority’s market study into mobile ecosystems, which will create a more vibrant and innovative digital economy across the UK. 意見募集の後、提供されたフィードバックを検討し、本年末に回答を発表する予定です。このレビューは、モバイルエコシステムに関する競争市場庁の市場調査など、政府が今後予定しているデジタル市場の競争促進体制を補完するもので、英国全体でより活発で革新的なデジタル経済を実現するものです。

 

意見募集関係

・2022.05.04 App security and privacy interventions

App security and privacy interventions アプリのセキュリティとプライバシーへの介入
Summary 概要
The government is holding a call for views on plans to improve the security and privacy of apps and app stores. 政府は、アプリとアプリストアのセキュリティとプライバシーを改善する計画に関する意見募集を実施しています。
Consultation description コンサルテーション内容
Apps are increasingly essential to everyday life as they provide users with the ability to access important services using various devices, such as smartphones, game consoles, fitness devices and smart TVs. They can be downloaded through various methods, including from app stores operated by either the official software supplier or manufacturer of a device and those operated by third parties. It’s vital that apps are built to security and privacy best practice to protect the data and privacy of individuals and organisations. スマートフォン、ゲーム機、フィットネス機器、スマートテレビなど、さまざまなデバイスを使用して重要なサービスにアクセスできるアプリは、日常生活においてますます欠かせないものとなっています。アプリは、デバイスの公式ソフトウェアサプライヤーやメーカーが運営するアプリストア、サードパーティーが運営するアプリストアなど、様々な方法でダウンロードすることができる。アプリケーションは、個人と組織のデータとプライバシーを保護するために、セキュリティとプライバシーのベストプラクティスに則って構築されることが極めて重要です。
The UK government conducted a review into the app store ecosystem from December 2020 to March 2022. The review found that malicious and poorly developed apps continue to be accessible to users, therefore it is evident that some developers are not following best practice when creating apps. All app stores share a common threat profile with malware contained within apps the most prevalent risk. Additionally, prominent app store operators are not adequately signposting app requirements to developers and providing detailed feedback if an app or update is rejected. 英国政府は、2020年12月から2022年3月にかけて、アプリストアのエコシステムに対するレビューを実施しました。このレビューでは、悪意のあるアプリや開発不十分なアプリが引き続きユーザーからアクセス可能であることが判明し、したがって、一部の開発者がアプリの作成時にベストプラクティスに従っていないことが明らかとなりました。すべてのアプリストアに共通の脅威プロファイルがあり、アプリに含まれるマルウェアが最も一般的なリスクとなっています。また、著名なアプリストアの運営者は、アプリの要件を開発者に適切に通知しておらず、アプリやアップデートが拒否された場合に詳細なフィードバックを提供していません。
This government’s intention is to ensure consumers are protected from online threats by taking forward a robust set of interventions which are proportionate, pro-innovation and future-facing. The review therefore explored various options to address these challenges. The main intervention the government is proposing at this initial stage is a voluntary Code of Practice for all app store operators and developers. This is because we recognise that the most effective current way of protecting users at scale from malicious and insecure apps, and ensuring that developers improve their practices, is through app stores. 政府の意図は、消費者がオンラインの脅威から確実に保護されるように、適切でイノベーションを促進し、将来を見据えた一連の強固な介入策を講じることにあります。このため、レビューでは、これらの課題に対処するためのさまざまなオプションが検討された。この初期段階において政府が提案している主な介入策は、すべてのアプリストアの運営者と開発者を対象とした自主的な行動規範です。これは、悪意のある安全でないアプリから大規模なユーザーを保護し、開発者の業務改善を確保するための現在の最も効果的な方法が、アプリストアであると認識しているためです。
Read more in the press notice. 詳しくは、プレスリリースをご覧ください。
We are holding a call for views on this approach for eight weeks until Wednesday 29 June 2022 to help gather feedback on the proposed interventions, including the draft Code of Practice. Stakeholders are encouraged to provide their views on the proposed interventions, including the content of the proposed Code and whether additional proposals should be taken forward. The government would also welcome views, particularly from developers, on the review and feedback processes they have encountered when creating apps on different app stores. Moreover, we would welcome any data which illustrates the financial and wider impact of implementing the Code of Practice. Participants will have the opportunity to identify themselves when they submit their responses, or be anonymous. このアプローチについて、2022年6月29日(水)までの8週間、意見募集を行い、実施規範のドラフトを含む介入案に関する意見を収集するのに役立てています。ステークホルダーの皆様には、提案されている規範の内容や追加提案を進めるべきかどうかなど、提案されている介入策についてご意見をお寄せいただくようお願いします。また、特に開発者が様々なアプリストアでアプリを作成する際に遭遇するレビューやフィードバックのプロセスに関する意見も歓迎する。さらに、実践規範の導入による財務的影響やより広範な影響を示すデータがあれば歓迎します。参加者は、回答時に名乗るか、または匿名にすることができます。
The feedback will inform UK government policy and our next steps. Depending on the feedback received, we may look to publish the Code later in the year, alongside exploring and taking further other interventions outlined in this report. フィードバックは、英国政府の政策と私たちの次のステップに反映されます。受け取ったフィードバックによっては、本報告書に記載された他の介入策を検討し、実施することに加え、年内に行動規範を公表することも検討されます。
There are a number of other documents being published to support this call for views: この意見募集をサポートするために、他にも多くの文書が発行されています。
A literature review on security and privacy policies in apps and app stores (see document below) アプリとアプリストアのセキュリティとプライバシーポリシーに関する文献レビュー(下記参照)
A National Cyber Security Centre threat report on application stores アプリケーションストアに関するナショナル・サイバー・セキュリティ・センターの脅威に関する報告書
A report by Apadmi on security and privacy in app development across different app stores Apadmiによる、さまざまなアプリストアでのアプリ開発におけるセキュリティとプライバシーに関する報告書
This work is part of the government’s £2.6 billion National Cyber Strategy to protect and promote the UK online, and ensure citizens are secure and confident their data is protected. この作業は、オンライン上で英国を保護・促進し、市民が安全かつ自信を持ってデータを保護できるようにするための、政府の26億ポンドの「国家サイバー戦略」の一部です。

 

・2022.05.04 App security and privacy interventions

Literature review on security and privacy policies in apps and app stores アプリとアプリストアにおけるセキュリティとプライバシーポリシーに関する文献レビュー
Contents 内容紹介
Executive summary エグゼクティブサマリー
1.Introduction 1.はじめに
2.Background 2.背景
3.The user perspective 3.ユーザーの視点
4.Supporting developers 4.開発者支援
5.Vulnerability reporting and bug bounty 5.脆弱性レポートとバグバウンティ
6.Malware and risky behaviour 6.マルウェアと危険な行動
7.Recommendations 7.推奨事項
This literature review was carried out by: この文献レビューは、以下のメンバーによって実施されました。
Prof. Steven Furnell スティーブン・ファーネル(Prof. Steven Furnell
School of Computer Science コンピュータサイエンス学部
University of Nottingham ノッティンガム大学
17-Feb-21 2021.02.17
Executive summary エグゼクティブサマリー
This report investigates issues of cyber security and privacy in relation to apps and app stores. The objective of the review is to provide recommendations for improving the security of applications (apps) delivered via app stores, and to identify issues that may be of relevance to DCMS’s future work on the cyber security in these contexts. Specific attention was given towards app stores and apps intended for mobile devices such as smartphones and tablets. この報告書は、アプリとアプリストアに関連するサイバーセキュリティとプライバシーの問題を調査しています。レビューの目的は、アプリストアを介して配信されるアプリケーション(アプリ)のセキュリティを改善するための推奨事項を提供し、これらのコンテキストにおけるサイバーセキュリティに関するDCMSの将来の作業に関連する可能性がある問題を特定することです。特に、スマートフォンやタブレット端末などのモバイル機器を対象としたアプリストアとアプリに注目しました。
The current mobile app marketplace is focused around two main app ecosystems – Android and iOS – and there are a range of app store sources from which users can install apps. These include official app stores from the platform providers, as well as a range of further stores offered by device manufacturers and other third parties. While the underlying objective of all stores is the same, in terms of offering the distribution channel for the hosted apps, they can vary considerably in terms of their associated security and privacy provisions. This includes both the guidance and controls provided to safeguard app users, as well as the policies and procedures in place to guide and review developer activities. 現在のモバイルアプリ市場は、AndroidとiOSという2つの主要なアプリエコシステムに集中しており、ユーザーがアプリをインストールできるアプリストアのソースも多岐にわたります。この中には、プラットフォームプロバイダーが提供する公式アプリストアや、デバイスメーカーやその他のサードパーティが提供する様々なストアがあります。すべてのストアの基本的な目的は、ホストされたアプリの流通経路を提供するという点で同じですが、関連するセキュリティとプライバシー規定の点でかなり異なる可能性があります。これには、アプリのユーザーを保護するために提供されるガイダンスとコントロール、および開発者の活動を指導しレビューするために設けられたポリシーと手続きの両方が含まれます。
Evidence suggests that many users have concerns regarding the ability to trust apps and their associated use of data. As such, they find themselves very much reliant upon the processes put in place by app stores to check the credibility of the apps they host. In reality, however, practices vary significantly across providers – ranging from stores having clear review processes and attempting to ensure that developers communicate the ways in which their apps collect and use user data, through to situations in which apps are made available in spite of having known characteristics that could put users’ devices and data at risk. 多くのユーザが、アプリを信頼できるかどうか、またアプリによるデータの利用について懸念を抱いていることが、証拠によって示されています。そのため、アプリストアがホストするアプリの信頼性を確認するためのプロセスに非常に依存していることがわかります。しかし、実際には、アプリストアが明確な審査プロセスを持ち、アプリがユーザーデータを収集・使用する方法を開発者に伝えるよう努めるところから、ユーザーのデバイスやデータを危険にさらす可能性がある特性があることが分かっているにもかかわらずアプリが提供されている状況まで、プロバイダによって業務内容は大きく異なっています。
When it comes to supporting users, this review reveals that the app stores have varying approaches with correspondingly variable levels of information and clarity. This is observed in terms of both the presence and content of related policies, as well as in relation to supporting users’ understanding when downloading specific apps. The latter is particularly notable in terms of the presence and clarity of messaging about app permissions and handling of personal data, with some stores providing fairly extensive details and others providing nothing that most users would find meaningful. ユーザーサポートに関しては、アプリストアのアプローチは様々であり、それに応じて情報のレベルや明確さも様々であることが、このレビューで明らかにされました。これは、関連ポリシーの有無と内容、および特定のアプリをダウンロードする際のユーザーの理解支援との関連で観察される。後者は、アプリの使用許諾や個人情報の取り扱いに関するメッセージの有無と明確さにおいて特に顕著であり、かなり広範な詳細を提供しているストアもあれば、ほとんどのユーザーが有意義と感じるような内容を提供していないストアもあります。
There are also notable variations in how different app stores guide and support app developers, including the level of expectation that appears to be placed upon providing safe and reliable apps, that incorporate appropriate protections and behaviours in relation to users’ personal data. While some stores include formal review and screening processes, and scan apps to prevent malware, others offer a more permissive environment that enables threats and risky app behaviours to pass through without identification. また、ユーザーの個人データに関する適切な保護と行動を組み込んだ、安全で信頼できるアプリを提供することへの期待度など、アプリ開発者を指導・支援する方法についても、ストアによって顕著な違いが見られます。アプリ開発者の中には、正式な審査やスクリーニングを行い、マルウェアを防ぐためにアプリをスキャンするストアがある一方で、脅威やリスクの高いアプリの挙動を識別せずに通過させる、より寛容な環境を提供するストアがあります。
Linked to their stance on maintaining security and resolving issues, the larger providers support vulnerability reporting and offer bug bounty schemes. The latter incentivise the responsible disclosure of vulnerabilities rather than allowing them to persist and risking their exploitation in malicious activities. The large rewards available through these schemes is in notable contrast with other app store environments, where such provisions are not offered. セキュリティの維持と問題解決に取り組む姿勢と関連して、大手プロバイダは脆弱性の報告をサポートし、バグバウンティ制度を提供しています。後者は、脆弱性を放置して悪意ある行為に悪用されるリスクを冒すよりも、責任を持って脆弱性を開示することにインセンティブを与えるものです。これらの制度を通じて得られる多額の報奨金は、このような規定がない他のアプリストア環境とは顕著な対照をなしています。
The discussion also gives specific attention to malicious and risky behaviours that can be exhibited by apps, with overall evidence suggesting that the problem is on the increase and that Android users are the most exposed to the risks. This underlying evidence includes clear examples of apps that are overtly malicious (representing traditional malware categories such as viruses, worms, Trojans and spyware), as well as apps whose behaviour (while not directly hostile) could be regarded as risky through factors such as requesting excessive permissions or leading to data leakage. また、この議論では、アプリが示す可能性のある悪質で危険な行為に具体的な注意を向けており、この問題が増加傾向にあり、Androidユーザがそのリスクに最もさらされていることを示唆する全体的な証拠が示されています。この基本的な証拠には、あからさまに悪意のあるアプリ(ウイルス、ワーム、トロイの木馬、スパイウェアなど、従来のマルウェアのカテゴリに相当)の明確な例と、(直接敵対しないものの)過剰な権限を要求したりデータ漏洩につながるなどの要因によって危険と見なされる動作のアプリの例が含まれます。
A series of recommendations are made in relation to operating app stores, guiding developers and supporting users: アプリストアの運営、開発者の指導、ユーザーのサポートに関して、一連の提言がなされています。
Ensuring a more credible and consistent level of information to app store users and app developers regarding security and privacy provisions and expectations, supported by mechanisms to enable more informed decisions and control over the apps that are installed. アプリストアの利用者とアプリ開発者に対し、セキュリティとプライバシーの規定と期待について、より信頼できる一貫したレベルの情報を提供し、インストールされるアプリについて、より多くの情報に基づいた決定と制御を可能にするメカニズムによって支援すること。
Increasing the opportunity and expectation for app developers to learn and adopt appropriate security- and privacy-aware practices. アプリ開発者が、セキュリティとプライバシーを意識した適切な手法を学び、採用する機会と期待を高めること。
Increasing the efforts to raise user awareness of app security and privacy risks, and supporting this with better communication of the issues within apps and app stores. アプリのセキュリティとプライバシーのリスクに対するユーザの意識を高める取り組みを強化し、アプリとアプリストアにおける問題のより良いコミュニケーションによってこれを支援すること。
This in turn could lead to initiatives across the app store ecosystem more widely, including a community-adopted code of practice in order to support responsible app development and resulting confidence among users. これは、責任あるアプリ開発とその結果としてのユーザーの信頼を支援するために、コミュニティが採択した実践規範を含む、より広くアプリストアのエコシステム全体にわたる取り組みにつながる可能性があります。
The summary is supported by extensive reference to sources, encompassing both relevant research and findings, and recent developments in the app sector. It should be noted that the review was completed in early 2021 and therefore further research could have been published that may further inform this topic. この要約は、関連する研究および調査結果、ならびにアプリセクターにおける最近の開発の両方を網羅する、広範な参照情報によってサポートされています。このレビューは2021年初頭に完了したため、このトピックにさらに情報を提供する可能性のある研究がさらに発表されている可能性があることに留意すべきです。

 

・2022.05.04 App security and privacy interventions

App security and privacy interventions アプリのセキュリティとプライバシーへの介入
Contents 目次
Foreword 序文
Executive summary エグゼクティブサマリー
1.DCMS review into app security and privacy 1.アプリのセキュリティとプライバシーに関するDCMSのレビュー
2.Relevant wider government activities 2.関連する広範な政府の活動
3.Benefits and risks associated with the app ecosystem 3.アプリのエコシステムに関連するメリットとリスク
4.The regulatory landscape and relevant antitrust cases 4.規制の状況および関連する独占禁止法上の事例
5.Review findings 5.レビューの結果
6.Proposed interventions 6.提案された介入策
7.Next steps 7.次のステップ
Annex A: Glossary of terms 附属書A:用語集
Annex B: Options analysis summary 附属書B:選択肢分析の概要
Annex C: Call for views survey questions 附属書C:意見募集の調査質問
Foreword 序文
Julia Lopez MP, Minister of State for Media, Data and Digital Infrastructure ジュリア・ロペス メディア・データ・デジタルインフラ担当国務大臣
Apps play an increasingly important role in everyday life, from managing your finances to catching up with friends and family. Thanks to apps, a world of functionality can be accessed from a single device, anywhere and at any time: whether from a mobile phone out in public or on a smart TV in the comfort of your home. Apps have helped us stay connected with our loved ones and continue working during the COVID-19 pandemic. In a time of great uncertainty, apps have allowed businesses to continue functioning as well as opening the virtual doors for new enterprises. This has increased our reliance on apps, as well as the app stores where we access them. アプリは、家計の管理から友人や家族との連絡まで、日常生活においてますます重要な役割を果たしています。アプリのおかげで、1つのデバイスから、いつでもどこでも、さまざまな機能にアクセスできるようになりました。公共の場では携帯電話から、自宅ではスマートテレビから。COVID-19の大流行時にも、アプリのおかげで大切な人とのつながりを保ち、仕事を続けることができました。大きな不安の中で、アプリはビジネスの機能継続を可能にし、また新しい企業への仮想的な扉を開いてくれました。そのため、私たちはアプリやアプリを利用するアプリストアへの依存度を高めています。
Given this reliance, it’s vital that apps are secure, to protect the data and privacy of individuals and organisations. Developers therefore have a responsibility to ensure that they are creating apps with appropriate security and privacy. App stores can also serve as trusted digital marketplaces, as long as they have the right processes to check that apps are not a risk to users’ security and privacy. While many app stores have vetting and review processes, malicious and insecure apps continue to make it onto some stores. Given our growing reliance on apps, we need to ensure that we are managing the risks if we are to securely reap the many benefits of apps and app stores. このような信頼性を考えると、個人と組織のデータとプライバシーを保護するために、アプリが安全であることが極めて重要です。したがって、開発者は、適切なセキュリティとプライバシーを備えたアプリケーションを作成する責任を負っています。アプリストアは、アプリがユーザーのセキュリティやプライバシーを侵害しないことを確認する適切なプロセスを備えていれば、信頼できるデジタルマーケットプレイスとして機能することも可能です。多くのアプリストアが審査やレビューのプロセスを備えている一方で、悪質で安全でないアプリが一部のストアに出回り続けています。アプリへの依存度が高まる中、アプリやアプリストアから得られる多くのメリットを安全に享受するためには、リスク管理を徹底する必要があります。
A key ambition of our new National Cyber Strategy published in December 2021, is to ensure citizens are more secure online and confident their data is protected. This work will help deliver this through improving the practices of major providers of digital services, specifically app store operators (as well as developers). Additionally, as set out in the Plan for Digital Regulation, we will ensure our overall approach to governing digital technologies is proportionate and supports growth and innovation within the sector. The Government will also ensure that developments in this area coordinate and mutually reinforce other work associated with app security and privacy. 2021年12月に発表された新しい国家サイバー戦略の主要な野望は、市民がオンラインでより安全に、自分のデータが保護されていると確信できるようにすることです。今回の取り組みは、デジタルサービスの主要なプロバイダー、特にアプリストアの運営者(および開発者)の業務慣行を改善することで、これを実現するのに役立ちます。さらに、「デジタル規制のための計画」に示されているように、デジタル技術を管理するための全体的なアプローチが適切であり、この分野での成長とイノベーションを支援することを確認します。また、政府は、この分野の開発が、アプリのセキュリティとプライバシーに関連する他の作業を調整し、相互に強化することを確保する。
The interventions suggested in this document include a voluntary Code of Practice for App Store Operators and Developers that is intended as a first step. Other options we could take forward if needed in the future, include certification for app store operators and regulating aspects of the Code to help protect users. These proposals link into the National Cyber Strategy through requiring providers of digital services to meet appropriate standards of cyber security and developing frameworks to secure future technologies. この文書で提案された介入策には、最初のステップとして意図された、アプリストアの運営者と開発者のための自主的な実践規範が含まれています。将来的に必要であれば、アプリストア運営者の認証や、ユーザー保護に役立つ規範の側面の規制など、他の選択肢も考えられます。これらの提案は、デジタルサービスのプロバイダーが適切なサイバーセキュリティの基準を満たすことを要求し、将来の技術を保護するための枠組みを開発することを通じて、国家サイバー戦略にリンクしています。
Guided by the Plan for Digital Regulation’s focus on coherence, these proposals complement work that is already happening across Government to help protect users that rely on various digital services and technology. This includes the Online Safety Bill which will ensure that the UK is the safest place in the world to be online while defending free expression and the Product Security and Telecommunications Infrastructure Bill, which will protect the security of consumer connectable products, and their users. 「デジタル規制のための計画」の一貫性に重点を置くことにより、これらの提案は、様々なデジタルサービスや技術に依存するユーザーを保護するために、政府全体で既に行われている作業を補完するものです。これには、表現の自由を守りながら、英国が世界で最も安全なオンラインプレイスであることを保証するOnline Safety Billや、消費者が接続できる製品やそのユーザーのセキュリティを保護するProduct Security and Telecommunications Infrastructure Billが含まれます。
The Government is also creating the pro-competition regime for digital markets, which will introduce new rules to ensure digital consumers and businesses are treated fairly and level the playing field so that new and innovative tech firms can flourish. The Competition & Market Authority’s market study into Apple and Google’s mobile ecosystems and their interim report published on 14 December 2021 will inform the design of the new pro-competition regime for digital markets. また、政府はデジタル市場のための競争促進体制を構築しており、デジタル消費者と企業が公平に扱われるよう新たなルールを導入し、新しい革新的なハイテク企業が繁栄できるよう、競争の場を公平にします。競争・市場庁によるアップルとグーグルのモバイル・エコシステムに関する市場調査と2021年12月14日に発表されたその中間報告書は、デジタル市場のための新しい競争促進制度の設計に情報を提供しています。
I welcome your views on the proposed interventions set out in this document. Your views will help shape UK Government policy over the coming years and allow both consumers and businesses to reap the many benefits from apps. This will help make the UK a stronger and more secure place for people and businesses. この文書に示された介入案について、皆様のご意見をお待ちしています。皆様のご意見は、今後数年間にわたる英国政府の政策の形成に役立ち、消費者と企業の両方がアプリから多くの利益を享受できるようになります。これは、英国を人々や企業にとってより強く安全な場所にすることにつながるでしょう。
Julia Lopez MP ジュリア・ロペス議員
Minister of State for Media, Data and Digital Infrastructure メディア・データ・デジタルインフラ担当国務大臣
Department for Digital, Culture, Media and Sport デジタル・文化・メディア・スポーツ省
Executive summary エグゼクティブサマリー
Apps are increasingly essential to everyday life as they provide users with the ability to access important services using various devices, such as smartphones, game consoles, fitness devices and smart TVs. They can be downloaded through various methods, including from app stores operated by either the official software supplier or manufacturer of a device and those operated by third parties. It’s vital that apps are built to security and privacy best practice to protect the data and privacy of individuals and organisations. スマートフォン、ゲーム機、フィットネス機器、スマートテレビなど、さまざまなデバイスを使用して重要なサービスにアクセスできるアプリは、日常生活においてますます欠かせないものとなっています。アプリは、デバイスの公式ソフトウェアサプライヤーやメーカーが運営するアプリストア、サードパーティーが運営するアプリストアなど、様々な方法でダウンロードすることができる。アプリケーションは、個人と組織のデータとプライバシーを保護するために、セキュリティとプライバシーのベストプラクティスに則って構築されることが極めて重要です。
Developers therefore have a clear responsibility to ensure that the apps they create are built with appropriate security and privacy. App stores can play an important role through the checks they put in place to help protect users from malicious and poorly developed apps. They also can act as a trusted digital marketplace, where steps are taken to ensure that users can benefit from the extensive variety of apps, which range from banking to games to health-related apps. Their role is equally important because the vast majority of users, particularly on mobile platforms, download apps via these app stores. したがって、開発者は、作成するアプリケーションが適切なセキュリティとプライバシーを考慮して構築されていることを保証する明確な責任を負っています。アプリストアは、悪意のあるアプリや不十分な開発のアプリからユーザーを保護するためのチェックを通じて、重要な役割を果たすことができます。また、銀行、ゲーム、健康関連アプリなど、多種多様なアプリからユーザが確実に利益を得られるような措置が取られた、信頼できるデジタル市場としても機能します。特にモバイルプラットフォームでは、ユーザーの大半がこうしたアプリストアを経由してアプリをダウンロードしているため、その役割は同様に重要です。
Across the globe, there are a growing number of regulatory initiatives focusing on mobile app stores which could result in third party app stores being obtainable on iOS devices and more accessible on Android devices. The above activities may increase the risk to app users if third party app stores do not have robust processes, such as on vetting or transparency around permission requests. There have also been significant instances where malicious apps have been available to download on app stores thereby putting users’ security and privacy at risk. 世界各地で、モバイル・アプリ・ストアに関する規制強化の動きが活発化しており、その結果、iOS端末ではサードパーティ製アプリ・ストア、Android端末ではよりアクセスしやすいアプリ・ストアとなる可能性があります。サードパーティアプリストアが、審査や許可要求の透明性などの堅牢なプロセスを有していない場合、上記の活動はアプリ利用者のリスクを増大させる可能性があります。また、悪意のあるアプリがアプリストアからダウンロードできるようになり、ユーザーのセキュリティとプライバシーが危険にさらされる事例も少なくありません。
The UK government therefore conducted a review from December 2020 to March 2022 into the app store ecosystem, with the aim of reducing the threat of malicious and insecure apps to protect users whilst helping developers meet security and privacy best practice. This review sits alongside broader efforts across government focused around creating an innovative and thriving digital economy in the UK while ensuring that users are able to securely benefit from any potential changes to the app store ecosystem. そこで英国政府は、2020年12月から2022年3月にかけて、悪質で安全でないアプリの脅威を低減してユーザーを保護する一方で、開発者がセキュリティとプライバシーのベストプラクティスを満たせるようにすることを目的に、アプリストアのエコシステムの見直しを実施しました。この見直しは、英国における革新的で活気あるデジタル経済の創出に焦点を当てた政府全体の幅広い取り組みと同時に、アプリストアのエコシステムに変更が生じた場合、ユーザーが安全にその恩恵を受けることができるようにすることを目的としています。
Our recent consultation on the pro-competition regime for digital markets proposed new rules for the most powerful firms to ensure consumers and businesses are treated fairly, and a level playing field where innovative tech firms can flourish. The design of this regime will also be informed by the Competition & Market Authority’s market study into Apple and Google’s mobile ecosystems and their recent interim report published on 14 December 2021. デジタル市場の競争促進体制に関する最近の協議では、消費者と企業が公平に扱われ、革新的なハイテク企業が活躍できる公平な競争の場を確保するため、最も強力な企業に対する新しい規則を提案しました。この制度の設計は、競争・市場庁によるアップルとグーグルのモバイル・エコシステムへの市場調査と、2021年12月14日に発表された最近の中間報告からも情報を得ることができます。
The review found that malicious and poorly developed apps continue to be accessible to users, therefore it is evident that some developers are not following best practice when creating apps. All app stores share a common threat profile with malware contained within apps the most prevalent risk. Additionally, prominent app store operators are not adequately signposting app requirements to developers and providing detailed feedback if an app or update is rejected. このレビューでは、悪意のあるアプリや開発不十分なアプリが引き続きユーザーにアクセス可能であることが判明し、したがって、一部の開発者がアプリを作成する際にベストプラクティスに従っていないことが明らかになりました。すべてのアプリストアに共通する脅威プロファイルは、アプリに含まれるマルウェアが最も一般的なリスクであることです。また、著名なアプリストアの運営者は、アプリの要件を開発者に適切に通知しておらず、アプリやアップデートが拒否された場合に詳細なフィードバックを提供していません。
This government’s intention is to take forward a robust set of interventions to ensure consumers are protected from online threats which are proportionate, pro-innovation and future-facing - in alignment with the principles set out in the Plan for Digital Regulation. The review therefore explored various options to address the above challenges. The main intervention we are proposing at this initial stage is a voluntary Code of Practice for all app store operators and developers. This is because we recognise that currently the most effective way of protecting users at scale from malicious and insecure apps, and ensuring that developers improve their practices is through app stores. 政府の意図は、消費者をオンラインの脅威から確実に保護するために、デジタル規制のための計画で定められた原則に沿った、適切でイノベーションを促進し、将来を見据えた一連の強固な介入策を実施することです。このため、レビューでは、上記の課題に対処するための様々な選択肢を検討しました。この初期段階で私たちが提案している主な介入策は、すべてのアプリストアの運営者と開発者を対象とした自主的な行動規範です。これは、現在、悪意のある安全でないアプリからユーザーを大規模に保護し、開発者の業務改善を保証する最も効果的な方法は、アプリストアであると私たちが認識しているからです。
A Code would provide the government with an opportunity to mandate the requirements in the future should the risks arising from malicious and insecure apps not be mitigated through stakeholder action, or should the risk and threat landscape evolve such that this is necessary. A full draft of the proposed Code is provided in Chapter 6. This section also outlines other interventions we have identified that may help drive adoption among operators and developers. We will continue to keep these under review. 悪意のある安全でないアプリから生じるリスクが関係者の行動によって軽減されない場合、またはリスクと脅威の状況が変化してそれが必要になった場合、コードは将来的に政府に要件を義務付ける機会を提供することになるのです。提案されているコードの完全な草案は、第6章に記載されています。本章では、事業者と開発者の間で採用を促進するのに役立つと思われる、私たちが特定したその他の介入策についても概説します。これらは引き続き検討される予定です。
This publication is intended as the starting point of a much more extensive dialogue with our stakeholders, including industry and international partners. We are now holding a Call for Views for eight weeks until Wednesday 29 June 2022 to help gather feedback on the proposed interventions, including the draft Code of Practice. The feedback will be used to help inform UK government policy and our next steps. Depending on the feedback received, we may look to publish the Code later in the year, alongside exploring and taking further other interventions outlined in this report. 本書は、業界や国際的なパートナーを含むステークホルダーとの、より広範な対話の出発点となることを意図しています。現在、2022年6月29日(水)までの8週間、「意見募集」を実施し、実施基準案を含む介入案に関する意見収集に役立てています。いただいたご意見は、英国政府の政策や私たちの次のステップへの情報提供に役立てられる予定です。受け取ったフィードバックによっては、本報告書に概説されている他の介入策を検討し、さらに実施するのと並行して、年内にコードを公開することを検討する可能性があります。
Protecting users from malicious and insecure apps is a global concern. We have engaged with our international partners as part of this review to share evidence, and we will continue to do so as part of efforts to create international alignment in this area. 悪質で安全でないアプリからユーザーを保護することは、世界的な関心事です。私たちは、このレビューの一環として、エビデンスを共有するために国際的なパートナーと関わってきましたが、この分野における国際的な連携を構築する努力の一環として、今後もそうしていきます。

 

参考

・2022.05.04 Threat report on application stores

Threat report on application stores アプリケーションストアに関する脅威レポート
This report outlines the risks associated with the use of official and third party app stores. このレポートでは、公式およびサードパーティのアプリケーションストアの使用に関連するリスクについて概説しています。
Over the last decade there has been an enormous increase in the availability and use of smartphones and smart devices. Many of these devices feature application stores ('app stores'), which allow users to download additional applications and content. The vast majority of users, particularly on mobile platforms, download apps via these app stores. 過去10年間で、スマートフォンやスマートデバイスの普及と利用が非常に進みました。これらのデバイスの多くは、アプリケーションストア(以下、アプリストア)を備えており、ユーザーは、追加のアプリケーションやコンテンツをダウンロードすることができます。特にモバイル端末のユーザーの大半は、このアプリストアを通じてアプリをダウンロードしています。
There's also been increased demand for apps, primarily as a result of the COVID-19 pandemic as more people work, shop, and stay in touch online. また、主にCOVID-19の大流行により、オンラインで仕事や買い物、連絡を取る人が増えているため、アプリに対する需要が高まっています。
Since there is a great variety of devices (and supporting app stores), there are a number of disparate and complex security issues that that can expose consumers and enterprises to online threats. This report summarises the risks associated with the use of official and third party app stores. It includes links to detailed guidance that describe how to mitigate the main threats. デバイス(および対応するアプリストア)は多種多様であるため、消費者や企業がオンラインの脅威にさらされる可能性のある、異種かつ複雑なセキュリティ問題が多数存在します。このレポートでは、公式およびサードパーティのアプリストアの使用に関連するリスクについてまとめています。また、主な脅威を軽減する方法を説明した詳細なガイダンスへのリンクも掲載しています。
This report was compiled to inform Department for Digital, Culture, Media & Sport's (DCMS) review on current threats associated with app stores. The report will aid in the development of policy interventions that will seek to improve app stores' security and privacy controls to protect both UK consumers and enterprises.  本レポートは、デジタル・文化・メディア・スポーツ省(DCMS)によるアプリストアに関連する現在の脅威に関するレビューに情報を提供するために作成されたものです。このレポートは、英国の消費者と企業の両方を保護するために、アプリストアのセキュリティとプライバシー管理を改善しようとする政策介入の開発を支援するものです。 

 

・[PDF]

20220510-61306

Introduction はじめに
Related NCSC guidance NCSCの関連ガイダンス
Use of apps and app stores in the UK  英国におけるアプリとアプリストアの利用について 
UK app developers 英国のアプリ開発者
What is the risk? リスクとは?
Cyber attacks on compromised apps 危険なアプリへのサイバー攻撃
Systemic vulnerabilities of app store developer submission checks アプリストアの開発者提出チェックのシステム的脆弱性
Overview of app stores アプリストアの概要
Mobile app stores モバイルアプリストア
Third party app stores  サードパーティアプリストア 
IoT voice assistant stores  IoT音声アシスタントストア 
IoT smart device stores  IoTスマートデバイスストア 
Gaming stores ゲームストア
Case studies 事例
Offificial mobile app stores  モバイルアプリストア 
Third party mobile app stores  サードパーティーモバイルアプリストア 
Voice assistant stores 音声アシスタントストア
IoT smart device stores  IoTスマートデバイスストア 
Gaming stores ゲームストア
Summary まとめ

 

 

|

« フィッシング対策協議会をかたるフィッシング | Main | インド サイバーインシデントが発生したら6時間以内にCERT-Inに報告しなければならない... (2022.04.28) »

Comments

Post a comment



(Not displayed with comment.)


Comments are moderated, and will not appear on this weblog until the author has approved them.



« フィッシング対策協議会をかたるフィッシング | Main | インド サイバーインシデントが発生したら6時間以内にCERT-Inに報告しなければならない... (2022.04.28) »