セキュリティ レスポンス チームのモリスです。今日は、iOS 向け Outlook と Android 向け Outlook のセキュリティ構成の一部を紹介したいと思います。
1 月 29 日に公開された iOS 向け Outlook と Android 向け Outlook は、iPhone、iPad、Android のスマートフォン、Android のタブレットで利用できます。
このアプリを使ってメール、予定表、および連絡先を簡単に管理できます。Exchange、Outlook.com、OneDrive のアカウントに加え、iCloud、Gmail、Yahoo! メール、IMAP、Dropbox、Google Drive および Box のアカウントが利用できます。重要度によるメールの自動仕分け、予定表の空き時間の簡単な共有、複数のファイルのメール添付、大きいファイルをダウンロードする手間なくメールに添付できるなど、特徴的な機能がたくさんあります。アプリの詳細についてはJapan Office Official Blogをご参照ください。
このアプリの構成については、ご想像の通りクラウドの力を活かしています。メール サーバーとの頻繁なやり取りやデータのキャッシュなど、いくつかの負担の多い作業をクラウドが担っています。この構成を利用することにより、多くのユーザーにとって便利な機能を実装しているのです。クラウドといってもイメージが湧かない方もいらっしゃると思いますが、この場合の「クラウド」はアプリの動作を支えているサーバーのことです。構成の概要は下記のようになっています:
クラウドサービスを活用しているアプリにとって、ユーザーのデータを守ることは最も重要なことです。アプリとクラウドのサーバーの間の通信を暗号化したり、基本的なセキュリティ対策を取っている他にも、このアプリは下記の、より特化したセキュリティ対策も実装しています。
ユーザーの認証情報を守る
まず、OAuth が利用できるサービスに対してアプリはアカウントのパスワードを保存せず、認証を OAuth 経由で行います。Outlook.com、OneDrive、Dropbox、Box、Gmail のアカウントは OAuth で認証を行います。
現在 OAuth を使用できないサービスに対しては、ユーザーの認証情報を慎重に取り扱います。パスワードをクラウドで保存せざるを得ない場合、デバイスで生成した暗号キーを使ってパスワードを暗号化します。この暗号キーはクラウドで保存されないので、非アクティブ状態が 3 日続いてパスワードをメモリからフラッシュする時点で、ユーザーのデバイスが再度接続されない限り保存されたパスワードの暗号化を解読できないようになります。
データキャッシュの定期的フラッシュ
継続的に利用しているユーザーの約 1 か月分のデータがキャッシュとしてクラウドで保存されます。しかし、アカウントの非アクティブ状態が継続すると、キャッシュされたメールボックスのコンテンツと暗号化されたパスワードをフラッシュします。サービスは毎週、非アクティブ状態のアカウントをフラッシュします。
上記のセキュリティ対策によって、①ユーザーの認証情報を少なくすること、②パスワードが保存されている場合に暗号化すること、③ユーザーがアプリを削除してアカウントが非アクティブ状態になると、数日後にサービスで保存されているキャッシュデータや暗号化されたパスワードがフラッシュされることを実現しました。
この構成により、iOS 向け Outlook と Android 向け Outlook のアプリを安心して利用できる環境を実現しています。プライベート用の Outlook.com のアカウント、会社用の Exchange のアカウント、Gmail、iCloud、Yahoo! メールのアカウントでご利用いただくことが可能です。試してみたい方は、是非 App Storeまたは Google Playでダウンロードの上、ご利用ください。