HTTPS化の波はついにAppleにまで到達し、デベロッパーの方々は対応に追われることになるかもしれない。
昨日からAppleは「WWDC 2016」を開催しており、基調講演では「iOS 10」など様々な新OSなどを発表しているが、本日、同イベントにおいてセキュリティプレゼンテーションが実施され、今後のAppleのセキュリティ関連の対応について発表を行われた。
このセッションによると、App Store内の全てのアプリがHTTPSに対応することが求められることが判明している。
ユーザーのセキュリティ向上のために全アプリのSSL化が要求される
Appleは本日のセッション内で、「App Transport Security(ATS)」と呼ばれるセキュリティ機能への対応を義務化することを発表しており、その締切日を2016年12月末に設定したことを公表している。
このATSとは何なのか。そもそもHTTPS化とは何なのか。少し難しい話なので少し噛み砕いて説明する。
HTTPSとは、簡単に言うとWEB上でデータ通信を行う際に暗号化する仕組みのことで、「https://」から始まるウェブサイトで導入されているものだ。WebサーバとWebブラウザの間の通信を暗号化するので、盗聴やなりすましなどを防止することができ、セキュリティ向上のために導入しているウェブサイトも少なくない。
そして、ATSとはAppleが「iOS 9」から導入した、アプリとサーバー間の通信をよりセキュリティの高いSSL通信にする機能なのだが、これはデベロッパー側で無効化することもできていたため、必ずしも必須ではなかったものだ。
だが、Appleは本日開催されたセッションの中で、2017年1月以降にAppleに提出されるすべてのアプリで、ATSの有効化が必須項目になることを説明。つまり年内にすべてのアプリはHTTPS化が義務付けられる。
ユーザーからすればセキュリティが向上することが悪いことではないので、素直に喜んでいただきたいところなのだが、これには当然デベロッパーの対応が必要になる。
また、これはウェブメディア運営者にも関係することでもある。現時点ではウェブメディアにどれほど影響があるかどうかは分からないが、ATSが有効化され、HTTPSが必須要件になった場合、iOSアプリからHTTPサイトにアクセスすることができなくなる可能性がある(記事下部に追記あり)。
これらはあくまでセキュリティの向上のため、つまりユーザーの安全のために行われることで、GoogleもSSL化を推奨している通り、いずれはどのメディアも対応しなくてはいけないものだろう。
ATSの義務化まであと半年と、意外と短い期間な気もするが、今まで宙に浮いていた締め切りが決まったことでSSL化の導入もある意味しやすくなった。これを機会にSSL化を検討すべきだと僕は思う。
【追記】「iOS 10」にはATSがオンの状態でもHTTPサイトが読み込める「NSAllowsArbitraryLoadsInWebContent」というキーが用意されるとのこと。つまり、ATSが義務化されたとしてもHTTPサイトが締め出されるということはないようだ。
[ via TechCrunch ]