Android 5.0“Lollipop”で強化されたセキュリティ機能とは

　グーグルの最新プラットフォーム「Android 5.0 L（Lollipop）」では、いくつかのセキュリティ機能が強化された。データの暗号化が標準になったこと、スマートウォッチなど周辺機器を使ってロック解除できるようになったことなどがそれだ。

　Androidにおけるリードセキュリティエンジニアのエイドリアン・ラドウィグ（Adrian Ludwig）氏は、信頼性のあるプラットフォームとしてスペックアップを図りつつ、セキュリティベンダーも参画・活用できるオープンなエコシステムのAndroidにおいて、「Lollipopは大きなマイルストーンになる」と語る。

米国から取材に応じたラドウィグ氏

自動的なデータ暗号化、盗難・紛失でもデータを守る

　Lollipopで強化されたセキュリティ関連機能の1つは、データの暗号化。これまでも暗号化自体は可能だったが、標準機能ではなかった。それが今回、最初からONになっている。ある程度、スマートフォンを使ってから暗号化しようとしても、その作業だけで15分～30分かかるところ、最初からONのため、スムーズに使えるようになる、とラドウィグ氏。デバイス内にある“ハードウェアキー”と呼ばれる仕組みを使って暗号化しており、オプションとしてパスワードを使った暗号化もサポート。紛失や盗難といった状況になっても、端末内のデータが流出することはない、としている。

　また、Linuxカーネルの強制的なアクセス制御の仕組みである「SELinux」は、今回、適用範囲が大幅に拡がった。Android 4.4では、一部のシステムとサービスに限られ、対象ドメインが4つだけだったが、今回は全てのアプリが対象になるなど、対象ドメインが60と大幅に増えた。

周辺機器でロックを解除できるSmart Lock

　「エンドユーザーには、ロックをかけてと呼び掛け続けている。でも、日々の生活で何度もロック解除の場面に出くわしてしまうため、ロックを設定しないユーザーは全体の半数近くにのぼる」（ラドウィグ氏）

　いかに安全を担保するものであっても面倒に感じられる手順が、安全な環境からユーザーを遠ざけている、と指摘する。こうした場面に対しても、もうそろそろイノベーションを起こすべき、と同氏が紹介するのは「Smart Lock（スマートロック）」と呼ばれる新機能。

　イノベーションのファーストラウンド、とラドウィグ氏が位置付けるこの機能は、一定の条件を満たせば、ユーザーの手を煩わせずにロックが自動的に解除されるようにするもの。近くにユーザーのスマートウォッチ、Nexus Player（Android TV搭載のSTB）などがあれば自宅にいる、ということで、ロック解除の手間を省く。これらはBluetoothのペアリング機能を活用するもので、NFCを活用してアンロックすることもできる。

　このとき利用できる機器は、Bluetooth対応であれば、基本的にどれでも利用できる、とのことで、グーグル側がSmart Lock用に何らかの認証プログラムを用意することはない。たとえばスマートフォンと連携する活動量計などを登録できる。

　ラドウィグ氏によれば、OSの一部ではなく、サービスとして提供しており、OSのバージョンアップがなくとも、柔軟にアップデートできる仕組みになっているという。

ゲストモード、コーポレートプロファイルなど

　このほかゲストモードとコーポレートプロファイルの追加、HTTPS（SSL通信）での課題の改善、アプリ向けWebview機能がOSアップデートなしでもバージョンアップ可能になったことなども新たな要素。

　たとえばコーポレートモードについて、ラドウィグ氏は「目標は、個人と業務用のスペースを分離させること」と述べる。たとえば業務用メールアドレスを利用できるようにしていた場合、仕事のメールに記されていたURLをクリックすると専用のブラウザが、プライベートのメールで届いたURLをクリックするとプライベート用のブラウザが起動する、あるいは事前にVPN設定をしておくと業務用アプリを起動すると同時にVPNのセッションが成立、といった仕組みになっているという。こうすることで、ユーザーとしては操作感自体はこれまで通りながら、業務とプライベートを切り分けられる、という。

　グーグルでは、こうした仕様強化のほか、さまざまな事業者が参加できる“オープンなエコシステム”もAndroidならではのアドバンテージ、としている。各種セキュリティベンダーから、多様なニーズに応えるサービスが登場する素地となる、このオープン性のもとでは、たとえば「提供元不明のアプリ」の扱いもLollipopでは従来通りとなり、Google Playの外で配付されるアプリは、ユーザーが自ら操作することでインストール可能な環境は維持されるとのこと。