IoTのセキュリティ認証プログラムを運営しているInternet of Secure Things Alliance(ioXtアライアンス)が、モバイルアプリや仮想プライベートネットワーク(VPN)向けにセキュリティ認証プログラムを拡大すると発表した。
この新たなプログラムには、アプリの認証可否を決定するための一連のセキュリティ関連基準「モバイルアプリケーションプロファイル」が含まれている。このプロファイル、すなわちモバイルアプリの評価基準には、VPNアプリケーション向けの追加要件も含まれている。
GoogleとAmazonは、NCC GroupやDEKRAといった認定ラボや、NowSecureといったモバイルアプリのセキュリティテストベンダーとともにこの基準の策定に参加した。「Google One」サービスに組み込まれている同社のVPNは、この基準に基づいて認証された最初のVPNの1つだ。
モバイルアプリの開発元は、一連のセキュリティやプライバシーの要件に基づいてアプリの認証を受けることができる。
ioXtアライアンスはテクノロジー業界を横断するさまざまな人材を抱えており、Amazon、Comcast、Facebook、Google、Legrand、Resideo Technologies、Schneider Electric、T-Mobile、Zigbee Alliance、Z-Wave Allianceをはじめとする企業の人材300人超がメンバーとなっている。
Amazonの主席セキュリティアーキテクトであるAmit Agrawal氏や、Googleの戦略的パートナーシップチームのBrooke Davis氏を含む、業界を代表するおよそ20人が、このプロファイルの要件策定に力を貸した。なお、両氏はプロファイルを策定したグループの副委員長だ。
このプロファイルの認証基準には、セキュアでないインターフェースや、自動アップデート、セキュアなパスワード管理、デフォルトでのセキュリティに関する検査のほか、該当ソフトウェアが検証されているかどうかという評価も含まれている。また、脆弱性報告プログラムや、サポート終了まわりのポリシーについても考慮される。
Davis氏によると、ioXtアライアンスは既に、IoTデバイスに関するセキュリティ検査を実行しており、これらデバイスを管理するアプリも検査対象に含める方針を決定したという。
Davis氏は、「IoTおよびVPN関係の開発者が興味を抱いているという手応えを得ているが、この基準はソーシャルアプリやメッセージングアプリ、フィットネスアプリ、生産性アプリといったクラウド接続型のサービスにも適用できる」と説明している。
認証されているコンシューマー向けVPNの例として、Google One(VPNサービスを組み込んでいる)や「ExpressVPN for Android」「NordVPN」「McAfee Innovations」「OpenVPN for Android」「VPN by Private Internet Access」「VPN Private」が挙げられる。
今までも「Google Play」ストアから悪意あるVPNが削除されるということが何度かあった点を考えた場合、VPNアプリの認証は「Android」デバイスの所有者にとってうれしい知らせとなるだろう。
この記事は海外Red Ventures発の記事を朝日インタラクティブが日本向けに編集したものです。
