1. TOP
  2. ブログ
  3. ATS必須化待ったなし、ATSとは何か

ATS必須化待ったなし、ATSとは何か

トレンド

投稿者:

iOSのアプリ開発者の間では、ATS(App Transport Security)の必須化がいつになるかということがよく話題に上っています。
ATSとは、いったいどのようなものなのでしょうか。ATSが必須になるとアプリのなにがかわるのかについてご説明します。

ATSの概要

ATSとは、AppleのiOS9、MacのOS X El Capitan(10.11)以降で利用可能な機能で、ATSが有効になると、iPhoneアプリ、MacのアプリとWebサービスの間の通信がセキュアであることが必須条件となります。

セキュアな通信でない接続に関してはすべて接続失敗として扱われてしまうために、ATSが有効になっていることがアプリの必須条件になると、Webサービスと通信を行うアプリはすべてセキュアな通信であることが求められることになります。

逆にいうと、ATSの有効化が必須条件になった場合、Webサービスとの通信をセキュア化しなければアプリが承認して貰えないということになります。

ATSにおけるセキュアな通信の要件

ATSでセキュアとされる通信については下記のような要件が必須となっています。

・TLSのバージョン
TLS 1.2以上

・暗号化
TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256
TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384
TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA
TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256
TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA
TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA

・サーバ証明書
iOS、OSXに組み込まれた認証局によって発行されたもの
もしくは信頼されたルートCAによって証明されたもの

・サーバ証明書の署名に使われるキー
2048bit以上のRSAキー
256bit以上のECCキー

・サーバ証明書のハッシュアルゴリズム
SHA-256以上(256bit以上のSHA2)

ATSが有効になると、SSL通信になっていたとしても自己証明書では無効となり、接続失敗になります。
また、サーバ証明書のコモンネームと接続先のドメインが異なる場合も接続失敗となります。

ATSが有効になることによって、なりすましによる中間攻撃を防ぐことが可能になります。

ATSはいつから必須化するのか?

2016年6月に行われたWWDCで、Appleは、2016年末を目処にATSを必須化することを表明しました。
約半年の猶予期間の間にATS対応を進めてほしいというのがAppleの思惑であったと、思われます。

しかし、2016年12月22日にはさらに猶予期間を延長することを発表しました。
現在のところ、新しい猶予期間の期限がいつになるかの公式な発表はされていませんが、アプリ開発者は気をゆるめずに、ATSへの対応を進めておくべきでしょう。

ATSが必ず有効じゃないとアプリは出せないのか?

では、すべてのWebとの通信についてセキュアでないとアプリを承認しないのかという疑問が湧きますが、そこまで厳格ではないようです。

開発者は、理由をAppleに提示して、一部または全てのATSを無効にする設定は可能ですが、その理由については厳格に審査するというのがAppleの方針のようです。

たとえば、外部のネットワーク広告やWebサービスを利用する際にどうしてもATSに対応していないことについてはAppleによって認められる可能性があります。

とはいえ、アプリとWebサービスとのATS有効かの対応がいつ変更になるとも限らないということも覚えておく必要があります。

開発者にとっては大変だが、セキュリティ上は必須か

ATSの必須化への対応は大変ですが、ある意味、現在のセキュリティの状況を見ると必須化も致し方ないと考えられる部分もあります。

ATSへの対応は、アプリの開発者にとっては面倒とも言える対応ではありますがが、ユーザが攻撃を受けるなどの被害を防ぐためにも、ATSへの対応は早めに行っておく必要があるでしょう。
いずれやらなければならないことであれば早めに対応して次に備えることが大事です。

 

 

 

株式会社キャパでは、アプリの企画・開発についてご相談を承っています。

アプリを作りたいので、具体的な提案が欲しい。頭の中にあるアイデアを本当に実現できるのか知りたい。予算内に収まるのか?
などのお客様のご相談に、親身に応じます。
アプリ開発:実績のご紹介

    この記事を読んだ人は、こちらの記事も読んでいます。

    1. 日本はシェアリングエコノミーが成立しやすいかも
    2. 注目のLINE WORKSとはどんなサービス?チャットワークとSlackを脅かす存在になれるのか
    3. 2017年期待のAIスタートアップまとめ5選
    4. あなたの会社は大丈夫!?裏ではびこるシャドーIT
    5. Android Pay、VisaとMasterCardとの提携で対応店舗の拡大目指す
    6. SEOの主体がスマホサイトに? モバイルファーストインデックス(MFI)とは

    トレンド

    投稿者:

    ホワイトペーパーフォームバナー

    【DL可能な資料タイトル】

    • ・プログラムによる建築/土木設計のQCD(品質/コスト/期間)向上
    • ・BIM/CIMの導入から活用までの手引書
    • ・大手ゼネコンBIM活用事例と建設業界のDXについて
    • ・デジタルツイン白書
    • ・建設業/製造業におけるデジタルツインの実現性と施設管理への応用

    詳細はこちら>>>

    ホワイトペーパー_BIM導入手引書
    記事ページ_24卒採用バナー.jpg
    採用バナー
    PAGE TOP