Worldwide Developers’ Conference(WWDC)のセキュリティプレゼンテーションでAppleは、App Storeのすべてのアプリが、App Transport Securityと呼ばれる重要なセキュリティ機能へ切り替えるべき締切日を、明らかにした。それは、2017年の1月からだ。
App Transport Security(ATS)は、AppleがiOSに導入した機能だ。ATSが有効になっていると、Webサービスに接続するアプリはHTTPでなくHTTPSを使わなければならない。HTTPSは通信を暗号化するので、ユーザーのデータが盗聴などに対し安全になる。
HTTPSの”S”はsecure(安全)の頭文字で、銀行やメールのアカウントにログインするときブラウザー上で目にするだろう。しかしモバイルアプリが行うWeb接続は、セキュリティ関連の情報をユーザーに開示しない場合が多い。その接続がHTTPなのかHTTPSなのか、ユーザーが判別するのも難しい。
ATSは、iOS 9からデフォルトでは有効になっているが、デベロッパーが自分のアプリの中でそれを無効にできる。するとそのアプリは、HTTPでWebに接続する。でも、それができるのも今年の終わりまでだ。技術用語的に言うとATSはTLS v 1.2を必要とし、メディアストリーミングのようなすでに暗号化されているバルクデータを例外とする。
2016年の終わりには、App Storeに提出されるすべてのアプリで、ATSの有効化が必須になる。これまで不安だったデベロッパーも、締め切りが明示されたのでやりやすいだろう。またユーザーは、iPhoneとiPadのすべてのアプリが安全な接続になると知って、安心できるだろう。
デベロッパーにHTTPSを要求することになったAppleは、オンラインのデータを安全にしようとする大きな運動に加わることになる。セキュアなプロトコルはログインページでは一般化しているが、そのほかの接続ではまだHTTPのところが多い。しかしそれも今は、徐々に変わりつつある。Wired誌に、その過程をドキュメントした良い記事がある。
