Android Enterprise Recommended
AndroidにはAndroid Enterprise Recommendedという制度(?)があり、これに準拠している端末は90日以内にセキュリティパッチが適用されるので企業でも安全に使用できる端末ということになっている。
90日間も安全でいられるのか?
以前のAndroid端末はろくにセキュリティパッチが適用されなかったのでそれに比べれば安全だと思う。が、90日間というのはどうなのだろうか?Googleから端末メーカーにパッチが配布されそれから各メーカーで適用をするのでタイムラグが出てしまうのはしかたないとして90日間も安全でいられるのだろうか?Androidのパッチが配布されると同時にどのような脆弱性があるかも公表される。攻撃側がその情報を利用して攻撃を開始するのにどれくらいの時間が必要だろうか?WebサーバーとモバイルOSを同列には扱えないがWebサーバーでは数時間で攻撃されるらしい(もっと早いかも)。このような状況で90日間も安全でいられるとは思えない。
データをランクわけする
現状、セキュリティパッチが即日に配布されるのはPixel等、一部の機種しなかない(今はPixelしかない?)。だからといってPixelだけというわけにもいかない(できなくもないのだが)。なのでデータのランクわけをしてみる。だいたいこんな感じか?
- 銀行・証券系アプリ
- ポストPayアカウント
- 連絡先(店以外)
- プリPayアカウント
- 連絡先(店)
- SNS等アカウント
1は何かあった場合に非常に被害が大きいもの。2もそこそこの被害になる。3は周囲の人に迷惑をかける。4は被害が発生するが限定的。5、6はまあ諦める。こんな感じで。1はPixelかiPhoneにしかいれない。iPhoneはiPhoneでやらかしてくれるが脆弱性の公開とパッチ適用が同時という点ではPixelと同じ。2、3はセキュリティパッチの適用されている端末。4、5、6はまあどれでもいいか。という感じで。
あくまで自分はこう考える、ということなのでこれが正解というわけでもない。