Google、セキュリティ向上に役立つ「Android Partner Vulnerability Initiative」（APVI）を開始：OEMの一部に影響する問題に対応

GoogleのAndroidセキュリティ＆プライバシーチームは、Androidの特定のOEMデバイスに固有のセキュリティ問題を管理するための取り組み「Android Partner Vulnerability Initiative」（APVI）を開始した。

[＠IT]

　GoogleのAndroidセキュリティ＆プライバシーチームは2020年10月2日（米国時間）、「Android Partner Vulnerability Initiative」（APVI）を開始したことを明らかにした。ndroidの特定のOEMデバイスに固有のセキュリティ問題を管理するための取り組みだ。

　Androidパートナーによって出荷されたデバイスに影響するセキュリティ問題をGoogleが発見した場合、APVIが役立つ。問題の是正を促進でき、ユーザーにとっても問題に関する透明性を確保できるからだ。

　Googleによると、既にAPVIは多くのセキュリティ問題を処理しており、権限のバイパス、カーネルでのコード実行、資格情報の流出、暗号化されていないバックアップでのユーザー保護の強化に貢献してきた。

これまでの脆弱性報告に加えてなぜAPVIが必要なのか

　Googleは開発者やデバイス実装者と協力し、Androidプラットフォームとエコシステムの安全性確保に取り組んでいる。その一環として、セキュリティ研究者が発見したセキュリティ問題を報告するためのさまざまなプログラムを実施してきた。

　例えば、セキュリティ研究者がAndroidコードに脆弱（ぜいじゃく）性を発見した場合は「Android Security Rewards Program」（ASR）を通じて報告できる。広く普及したサードパーティーのAndroidアプリケーションに脆弱性を発見した場合は「Google Play Security Rewards Program」を通じて報告できる。

　Androidオープンソースプロジェクト（AOSP）ベースのコードに関して、ASRを通じて報告された問題については、Googleが「Android Security Bulletins」（ASB：Androidのセキュリティに関する公開情報）で情報公開し、コードを修正している。

　これらの問題は全てのAndroidデバイスに影響する恐れがある。Androidパートナーが、Androidデバイスに対して最新のセキュリティパッチレベルを宣言する際は、ASBに記載された問題を修正するコード変更を導入する必要がある。

　だが最近まで抜け穴が残っていた。Googleが発見したAOSPコード以外のセキュリティ問題がAndroid OEMデバイスのごく一部に固有のものだった場合、明確な処理方法がなかった。APVIはこの穴をふさぎ、セキュリティレイヤーを追加することを目的としている。

Android OEMデバイスのセキュリティ向上

　Googleによって発見された問題がAndroidデバイスやそのユーザーのセキュリティに影響する可能性がある場合、APVIがそれをカバーする。脆弱性開示に関する「ISO/IEC 29147:2018」に準拠した形だ。

　APVIではGoogleが展開するサービスやメンテナンスの対象ではないデバイスコードに影響する幅広い問題もカバーされる（ASBで扱われる）。