Moneytreeとセキュリティについて(後編)

こんにちは、Moneytreeの技術責任者のロスです。前回は、Moneytreeのセキュリティについてお話しました。後編では、前回に引き続き、Moneytreeのセキュリティに関して、iOSとAndroidの違いについて話したいと思います。

iOSとAndroidによる違い

iOSは開発ツールの中に、複数のセキュリティ・プラクティス／オプションを提供しており、Appleはこれらを"Data Protection API”と呼んでいます。そのため、Moneytree for iOSでは、デバイスがロックされているときにデータが暗号化されるように設定されています。

このように、iOSは非常にセキュリティレベルが高いので、アプリケーションを立ち上げる前に、ロックをかけたまま現金入力ができるクイックキャッシュのような便利な機能を提供しながらも、十分なセキュリティを保つことができます。

Androidのセキュリティ

Androidでは、これまでに多くの種類のデバイスがリリースされており、セキュリティ上の水準にバラツキがあるため、一定水準のセキュリティを保つ必要があります。

そのため、Moneytreeはシステムのセキュリティには頼らず、その代わりに、アプリ上で暗号化を実施するため、すべてのAndroid端末で提供され、業界のスタンダードである、Javaベースの暗号化技術を使用しています。

またデバイス上での暗号解除は、アプリのロックを解除するときに必要なPINロックによって行われます。これは、PINコードを知っているユーザーのみ、そのデータを解除できることを意味しており、そのため、PINコードが入力されるまではデータは暗号化され、読み書きが出来ません。

このために、iOSで提供されているクイックキャッシュ機能をAndroidでは提供できない理由です。

Androidではさらに追加のセキュリティ技術として、Hardware-backed Keystoreの使用を必須条件にしています。

Androidはバージョン4.3、通称「Jellybean」からハードウェアベースのセキュリティサポートを提供しているため、Moneytreeでは、このバージョン以降を対応条件にしています。

Androidはこの領域で重要な進化を続けており、バージョン6.0、通称「Marshmallow」のリリースでは、Keystoreにさらに大きな改良が行われています。

プライバシーバイデザイン

最後に、プライバシー保護について書きましょう。Moneytreeは、必要最低限の情報のみを、サービス利用時に登録していただいています。

登録の際のメールアドレスとパスワード、およびデータを集計するのに必要な最低限のアカウント情報以外は要求しません。多くの他のサービスとは異なり、年齢や性別、その他の識別データを求めることはありません。

Moneytreeはプロダクトカンパニーであり、データマーケティングの企業ではありません。我々は他のサービスとは異なり、利用者に自由な選択を与え、どのサービスでどの情報をシェアするかを利用者に選んでもらっています。

当社は秘密裏に”匿名化された“データを悪用して売るような、悪質なビジネスを行っていません。

これが多くの利用者、パートナー企業から信頼を得ている一番の理由だと認識しています。まだまだ、語りたいことはありますが、これからこういう場を使って、お話していきたいと思います。ありがとうございました。

前編はこちら

‍

参照ウェブサイト
- Jellybean
- Marshmallow