関連するソリューション
サイバーセキュリティ
ID-Ashura/セキュリティサービス
サイバー・セキュリティ・ソリューション部
テクニカルスペシャリスト
ボル カーステン
今年度よりテクニカルスペシャリストになりました、インフォメーション・ディベロプメント(ID) サイバー・セキュリティ・ソリューション部のボルと申します。
今回、初めてのコラム投稿となります。日本語はまだまだですので、どうかご容赦ください。
今まで私がやってきた業務は、クラウド上の基盤・基幹システムの設計・開発、保守、構築、技術支援、運用のサポートです。AWSやAzureにも携わってきました。次はGCPに挑戦しようと思っています!
以前はインフラ系の部署に所属していましたが、現在はセキュリティ系の部署に所属しています。クラウド上の基盤・基幹システムの設計・開発、保守、構築は引き続き行っており、特にセキュリティを考慮した設計をしています。
しかし、私は今までずっとITの業務を行ってきたわけではありません。
実は現在の仕事に就く前は、5年ほど翻訳者・通訳者として、主にケーキを作っている日本の某食品メーカーで働いていました。そのため、ケーキの製造工程また現場のプロセスについてかなり詳しいですし、一生分のケーキを食べてきました。。。苦笑
そんな私がなぜIDに転職したかというと、趣味のパソコンいじりがきっかけです。
昔から興味はあったので、独学で簡単なプログラミングを勉強しているうちに、少し違う仕事に挑戦してみたいと考えました。
そして、いくつかのIT系の資格を取得してから就職活動をして、IDに入社いたしました。知識はまだ足りていませんので、日々必死に勉強して様々な新しいことに挑戦しています。大変なこともいっぱいありますが、楽しさも感じています。
GrapheneOSとは?
普段は仕事上、主にクラウドを携わっていますが、今回のコラムでは最近個人的に趣味でやっていることを紹介させていただきたいと思います。それはGrapheneOSです。去年の年末、GooglePixel8携帯を購入してGrapheneOSをインストールしてみました。
ちなみに、GrapheneOSをインストールすると、元々インストールされているGoogleのAndroidOSが削除されますので、気をつけてください。
また、今回GrapheneOSを紹介する理由の一つは、日本語でGrapheneOSについての情報をあまり見かけないためです。
GrapheneOSは、Android Open Source Project(AOSP)に基づいた携帯用の要塞化したOSです。元々はCopperheadOSとしても知られており、セキュリティおよび、プライバシーに特化したOSです。現状GrapheneOSはGoogle Pixelの携帯のみに対応しています。
また、デフォルトの状態だと、Google MapsやGoogle Play StoreやGoogle ChromeといったGoogleのアプリは一切入っておらず、Googleによるトラッキングがありませんので、よりプライバシーが守られた携帯となります。
しかし、今回プライバシーはメインのポイントではありません。
もちろん、セキュリティおよびプライバシーは重なる部分もありますが、今回はセキュリティをメインに書きたいと思っており、GrapheneOSにより新しく追加された二つの機能を紹介したいと思います。
ネットワーク権限機能
一つ目は、ネットワーク権限の設定です。
すべてのアプリに対して、アプリごとにネットワークを有効化または無効化することができます。
無効化すると、そのアプリはOSが提供しているAPI経由でネットワークにアクセスできなくなりますので、普通のファイアウォールの仕様とは若干違います。
また、この機能はインターネットへのアクセスのみならず、ローカルデバイスネットワーク (localhost)へのアクセスも防ぎますので、アプリはプロファイル間で通信することができません。
それだけでなく、ネットワーク権限を無効化すると、GrapheneOSはそのアプリに対してネットワークがダウンしている状態であるかのように振る舞います。そのおかげで、アプリがネットワークダウンとなっているように処理して、ネットワークを使うことができないようなエラー表示は防ぐことは可能です。
しかし、注意しておきたいのは、アプリのネットワーク権限を無効化したからといって、情報漏洩が絶対に発生しないというわけではない点です。
Androidでは、inter-process communication(IPC) プロセス間通信という仕組みがありまして、アプリ同士がお互いに通信することができます。
しかし、通信するために、アプリ同士がお互いにIPCを許可してあげる必要があります。
すべてのアプリが特定のアプリとIPCを使用して通信するわけではありません。また、決して悪い機能ではなく、通常のAndroidOSでも使われる機能です。
ネットワーク権限を無効化することが完全ではないことを意識していただければよいと思います。そのリスクを踏まえて、特定のアプリを信用してインストールするか否かを自己判断していただければと思います。場合によってそのリスクを受け入れられないこともあると思います。
簡単な例をあげると、多くのアプリはGoogle Play Servicesを利用しています。Google Play Servicesでは、ネットワーク権限が許可されています。
Google Keyboardをキーボードとして使用するとしましょう。Google Keyboardではネットワーク権限を無効化します。
理論上、Google KeyboardはGoogle Play Services経由してデータをインターネットへ送信することは可能です。例えば、トラッキング情報です。
Google Play Servicesではネットワーク権限が有効化されています。しかし、Google Keyboardがそれを実際行っているとは言っていません。あくまでも理論上可能ということです。
また、IPCによる通信は1MBのデータ量の制約などもありますので、完全に使い放題というわけではありません。二つのアプリの間にIPCがあるのか、ソースコード確認するしかありません。
IPCを制御するためにGrapheneOSはApp Communication Scopesという機能を発表していますが、現在はまだリリースされておらず、残念です。
Exploit Protection機能
二つ目は、Exploit Protection(エクスプロイト対策)です。これは唯一のGrapheneOSの独自機能かもしれません。あまり目立たない機能ですが、これだけでも標準のAndroidとは異なります。ただし、この機能は裏で静かに動作して守ってくれていますので、ユーザーがその存在に気づくことは難しいかも知れません。hardened malloc (要塞化されたメモリ アロケーター)などに搭載されています。他にも標準AndroidOSより様々なエクスプロイト対策が追加されています。
しかし、これによりアプリの不具合が発生する可能性もあります。一番わかりやすいのはアプリを起動した後すぐクラッシュすることです。
不具合が発生した場合、そのアプリの設定に入って、”Exploit protection compatibility mode”(エクスプロイト対策互換モード)を有効化することにより、不具合が解消できることが多いです。
アプリに対して、エクスプロイト対策互換モードを有効化すると、いくつかのエクスプロイト対策が無効化されます。この設定はアプリごとに行うことができます。特に海外では銀行系のアプリがこの設定にひっかかりやすいようなので、銀行のアプリ動作に異常がある場合は、この設定を思い出していただければと思います。
もちろん、エクスプロイト対策互換モードを有効化すると、そのアプリに対してのエクスプロイト対策が緩和されるため、アプリの脆弱性やセキュリティ上の欠陥を利用されやすくなります。このリスクを受け入れるかどうかは、自己判断でお願いします。
GrapheneOSのエクスプロイト対策のおかげで、Google Play ServicesやGoogle MapsやGoogle Play Storeなどをインストールして、通常のAndroidOSのスマートフォンと全く同じように使用しても、よりセキュアな環境が提供されます。
ですので、GrapheneOSにご興味がある方は、是非試してみてください。ただし、インストールは自己責任で行ってください。慣れてきたら、より細かいセキュリティ機能を使用していくとよいと思います。
一つ注意しておきたいのは、私はGrapheneOSの言語を日本語にしていますが、GrapheneOS専用の機能は英語しかないので、OSを日本語で設定しても英語で表示されます。
最後に
私は約1年GrapheneOSを使用しています。以前は携帯にカスタムOSをインストールしたことがありませんでしたがやってみると、思ったよりもインストールはとても簡単でした。また、操作も通常のAndroidOSと比較しても変わりがありません。AndroidOSの携帯からGrapheneOSに切り替えてもそんなに困らないというのが、個人的な印象です。
今後も引き続きGrapheneOSを使用していこうと思っていますし、GrapheneOS専用の機能をもっと使いこなせるようになりたいと思っています。
当サイトの内容、テキスト、画像等の転載・転記・使用する場合は問い合わせよりご連絡下さい。
エンジニアによるコラムやIDグループからのお知らせなどを
メルマガでお届けしています。