メニュー 閉じる

スマートフォン(Android)のOSアップデートの重要性について


1.Androidとは

 今では一人一台持つことが当たり前になってきたスマートフォンですが、そのうち約57%をAndroidというオペレーティングシステム(OS)を搭載した端末が占めています。日本は世界に比べるとやや特殊で、世界で見るとAndroid OSを搭載した端末のシェアは約75%です。

 このように多くの方が普段何気なく使われているAndroid端末ですが、そこに搭載されているAndroid OSをGoogle社が提供しているということをご存知の方は多いと思います。しかし、元々Android OSはGoogle社が開発したものではありません。当時乱立していたOSへの対応に苦慮していたGoogle社はアンドロイド社というソフトウェア企業が開発していたOSに目をつけ、2005年にアンドロイド社を買収してその技術を入手したというのが経緯となります。多くの方が利用している動画投稿サイトのYouTubeもGoogle社が開発したものではなく、2006年に買収されています。このようにGoogle社は自社が必要としているものを手に入れるために自社開発にこだわるのではなく、積極的に買収し、自社の強みとのシナジー効果でその技術を最大限に活用することに長けています。その結果、スマートフォンというとても便利な機器が我々の手元に届き、今では欠く事ができない存在となっています。

2.Android OSのセキュリティ

 このような経緯で生まれた便利なAndroid OSですが、便利で様々な事を行うことができる反面、Windowsなど他のOSと同様にセキュリティに関する問題は常に内在しています。Google社自身もそのことを認識しており、セキュリティ研究者チーム「Project Zero」を立ち上げて、日々セキュリティに関する研究、対応を行っています。その「Project Zero」が報告し、世界中が大騒ぎになったものを一つご紹介させていただきます。これは私が前職で携わっていたので忘れることができませんが、2018年1月3日に、「Meltdown(メルトダウン)」、「Spectre(スペクター)」という二つの脆弱性が報告されました。本来であれば、脆弱性が見つかった場合、関係各社に報告→各社にて対策を取った後で公表するというのが本来の流れですが、どこからか情報がリークされてしまい、対策が取られる前に公表されてしまったので大騒ぎになってしまいました。
 アメリカという国の特性なのか、脆弱性に「Meltdown(メルトダウン)」、「Spectre(スペクター)」という名前をつけたり、下記のようなロゴまで作成されています。一見可愛らしいロゴですが、その脆弱性はIntel、AMD、ARMといった世界中のほぼすべてのCPUに存在するハードウェアレベルの脆弱性で、本来読まれてはいけない秘密のデータが読めてしまうというとても危険なものでした。これにはCPUの処理能力を向上させるための仕組みが深く関わっており、対処を行うと性能が劣化してしまうリスクがあります。そのため、IT業界全体での緊急対応となりました。
 私自身、当時スマートフォン機器のセキュリティに関する業務を行っていたため、休み明け早々に記事を読んで青ざめ、Google社等から徐々に入ってくる情報を基に自社の全商品に対する影響調査、関係各所への説明に追われたことを昨日のように思い出します。

3.Androidセキュリティパッチレベルという言葉をご存知でしょうか?

 前述したようにAndroid OSもWindows等と同じように脆弱性を内在しているリスクがありますが、Google社が行っているAndroid OSの脆弱性に対する取り組みに関してご紹介させていただきます。
 それはAndroidセキュリティパッチレベルというものです。Google社は毎月1回、新たに見つかったAndroid OSの脆弱性を公表しています。参考までに日本語のサイトをご紹介させていただきます。

Android のセキュリティに関する公開情報 – 2020 年 5 月
https://source.android.com/security/bulletin/2020-05-01?hl=ja

こちらは5月に公開された脆弱性の関する情報になります。見つかったそれぞれの脆弱性の影響度や影響するOSバージョン等の説明と併せて、セキュリティパッチレベルというものが記載されています。セキュリティパッチレベルには2種類あり、

YYYY-MM-01:YYYY-MM-01に関連するすべての脆弱性に対応している
YYYY-MM-05:YYYY-MM-05に関連するすべての脆弱性とそれ以前の脆弱性を対応している
※Y:年、M:月

という取り扱いになっています。
つまり、セキュリティパッチレベルの日付が新しければ新しいほど、より脆弱性リスクが低い状態だと言えることになります。
 ちなみにどのようにして端末のセキュリティパッチレベルを更新するかといいますと、システムアップデートという機能を利用してソフトウェアを更新することで併せてセキュリティパッチレベルも更新されます。

4.まとめ

 以上のようにAndroid OSは便利な反面、脆弱性というリスクを内在していますが、Google社をはじめ各キャリア、各端末メーカーは、そのリスクを低減するために様々な努力をしています。まだすべての端末で実現するには至っていませんが、Google社はセキュリティパッチレベルを毎月更新するように各メーカーに要求しています。便利なスマートフォンをより安全にお使いいただくためにもセキュリティパッチレベルは常に最新に保つと安心です。
 最後に各キャリアのスマートフォンでセキュリティパッチレベルを確認する方法をご紹介させていただきます。
ドコモ
https://www.nttdocomo.co.jp/support/update_security/
AU
https://www.au.com/information/notice_mobile/update/security-patch/
ソフトバンク
https://www.softbank.jp/mobile/support/smartphone/software_update/security-update/

コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です
お名前は公開されますので、ハンドルネームをご使用ください。

いただいたコメントは担当者より返信させていただきますが、最長で一週間程度お待ちいただく場合がございます。