ATS必須化待ったなし、ATSとは何か


iOSのアプリ開発者の間では、ATS(App Transport Security)の必須化がいつになるかということがよく話題に上っています。
ATSとは、いったいどのようなものなのでしょうか。ATSが必須になるとアプリのなにがかわるのかについてご説明します。

ATSの概要

ATSとは、AppleのiOS9、MacのOS X El Capitan(10.11)以降で利用可能な機能で、ATSが有効になると、iPhoneアプリ、MacのアプリとWebサービスの間の通信がセキュアであることが必須条件となります。

セキュアな通信でない接続に関してはすべて接続失敗として扱われてしまうために、ATSが有効になっていることがアプリの必須条件になると、Webサービスと通信を行うアプリはすべてセキュアな通信であることが求められることになります。

逆にいうと、ATSの有効化が必須条件になった場合、Webサービスとの通信をセキュア化しなければアプリが承認して貰えないということになります。

ATSにおけるセキュアな通信の要件

ATSでセキュアとされる通信については下記のような要件が必須となっています。

・TLSのバージョン
TLS 1.2以上

・暗号化
TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256
TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384
TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA
TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256
TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA
TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA

・サーバ証明書
iOS、OSXに組み込まれた認証局によって発行されたもの
もしくは信頼されたルートCAによって証明されたもの

・サーバ証明書の署名に使われるキー
2048bit以上のRSAキー
256bit以上のECCキー

・サーバ証明書のハッシュアルゴリズム
SHA-256以上(256bit以上のSHA2)

ATSが有効になると、SSL通信になっていたとしても自己証明書では無効となり、接続失敗になります。
また、サーバ証明書のコモンネームと接続先のドメインが異なる場合も接続失敗となります。

ATSが有効になることによって、なりすましによる中間攻撃を防ぐことが可能になります。

ATSはいつから必須化するのか?

2016年6月に行われたWWDCで、Appleは、2016年末を目処にATSを必須化することを表明しました。
約半年の猶予期間の間にATS対応を進めてほしいというのがAppleの思惑であったと、思われます。

しかし、2016年12月22日にはさらに猶予期間を延長することを発表しました。
現在のところ、新しい猶予期間の期限がいつになるかの公式な発表はされていませんが、アプリ開発者は気をゆるめずに、ATSへの対応を進めておくべきでしょう。

ATSが必ず有効じゃないとアプリは出せないのか?

では、すべてのWebとの通信についてセキュアでないとアプリを承認しないのかという疑問が湧きますが、そこまで厳格ではないようです。

開発者は、理由をAppleに提示して、一部または全てのATSを無効にする設定は可能ですが、その理由については厳格に審査するというのがAppleの方針のようです。

たとえば、外部のネットワーク広告やWebサービスを利用する際にどうしてもATSに対応していないことについてはAppleによって認められる可能性があります。

とはいえ、アプリとWebサービスとのATS有効かの対応がいつ変更になるとも限らないということも覚えておく必要があります。

開発者にとっては大変だが、セキュリティ上は必須か

ATSの必須化への対応は大変ですが、ある意味、現在のセキュリティの状況を見ると必須化も致し方ないと考えられる部分もあります。

ATSへの対応は、アプリの開発者にとっては面倒とも言える対応ではありますがが、ユーザが攻撃を受けるなどの被害を防ぐためにも、ATSへの対応は早めに行っておく必要があるでしょう。
いずれやらなければならないことであれば早めに対応して次に備えることが大事です。

 

 

 

株式会社キャパでは、アプリの企画・開発についてご相談を承っています。

アプリを作りたいので、具体的な提案が欲しい。頭の中にあるアイデアを本当に実現できるのか知りたい。予算内に収まるのか?
などのお客様のご相談に、親身に応じます。
アプリ開発:実績のご紹介


関連記事一覧

we love develop
アプリやシステムの開発を通じて、お客様のビジネスを成長させることが私たちのビジネスです。お気軽にお問い合わせください。
 お問い合せ

お電話でのお問い合わせはこちらから
TEL:03-5297-2871

メールマガジンの登録

キャパでは誰かに話したくなるようなIT小ネタを、週に一回メルマガで配信しています。
ぜひ購読してみませんか?
 購読する

ホワイトペーパーの入手

ITブログ月間20万PV達成!自社オウンドメディアの運用ノウハウを無料公開しています。
 ダウンロード

記事カテゴリ記事カテゴリ

月別投稿記事

PAGE TOP