拓海先生、最近部署で「アプリの権限がどう影響するか」を調べておけと言われまして。そもそも権限って、うちの現場にどれだけ関係あるのでしょうか。
素晴らしい着眼点ですね!端的に言うと、アプリの権限(permission)は会社でいう“名刺の渡し方”のようなものです。渡し方を間違えると情報が漏れ、信頼を失う。大きな影響があるんですよ。まずは影響の全体感から説明できますよ。
なるほど。で、その論文は何を一番伝えたかったんですか。検出とかリスクでしょうか。
はい。要点は三つです。1) 悪意あるアプリは検出を逃れるために要求する権限を減らす傾向がある、2) 正常な(benign)アプリは機能強化で権限を増やす傾向がある、3) カテゴリや広告の有無で権限の組み合わせに特徴が出る、ということです。順に具体例をお話ししますよ。
統計的にそういう傾向が出るんですか。うちの現場だと「できるだけ権限を少なく」って言ってますが、それと同じ話ですかね。
素晴らしい着眼点ですね!まさにその通りです。ただし背景が少し違います。正直な開発者は機能のために権限を取るが、悪意のある側は検出を避けるために権限を削る傾向が統計的に確認されています。これは防御側のルール作りに影響しますよ。
これって要するに、悪意あるアプリは権限を減らして検出を逃れるということ?
その通りです!要するに、攻撃側は「目立たないこと」を重視する一方で、正当なアプリは機能改善のために必要な権限を増やす。したがって監査や検出ルールも単純な「権限が多い=危ない」では通用しなくなっているのです。
現場の判断基準としては何を見ればいいんでしょう。単に権限の数だけじゃ判断できないと。
素晴らしい着眼点ですね!見るべきは三点です。第一に「同じカテゴリ内での権限の出方」、第二に「広告や課金などのアプリ機能との関係」、第三に「頻出する権限の組み合わせ」です。論文ではFP-Growthという手法で頻出パターンを抽出していますが、分かりやすく例を出しますね。
FP-Growthって難しそうな名前ですね。うちのIT担当が言っていた決まった組み合わせを探すやつですか。
その通りです。詳しくは不要ですが、FP-Growthは頻繁に現れるセットを効率的に見つける手法です。ビジネスで言えば「いつも一緒に買われる商品群」を見つける仕組みと同じ。これを権限に適用すると、意図的な権限の組み合わせが見えてきますよ。
わかりました。最後に、私が上席に説明するとしたら、どこを強調すればいいですか。
素晴らしい着眼点ですね!会議では三点に絞ってください。1) 単純な「権限の多寡」では判断できない旨、2) カテゴリ別や機能別のベンチマークを作る必要性、3) 頻出権限の組み合わせを監視ルールに組み込む提案。これらを短く伝えれば説得力がありますよ。大丈夫、一緒にやれば必ずできますよ。
分かりました。私の言葉でまとめますと、今回の論文は「悪質なアプリは目立たないよう権限を絞り、まともなアプリは機能で権限を増やす傾向があるから、業界別の基準と権限の組み合わせ監視を導入すべきだ」ということですね。これで上に伝えてみます。
