セキュリティ対策について理解する

securityPosture は、現在のデバイス ステータスによって決定されるデバイスのセキュリティ評価です。 現在のデバイスのステータスは、デバイスの root 権限が取得されているかどうか、カスタム ROM を実行しているかどうかなどの要因によって決まります。

securityPosture はレスポンス内で devicePosture と、securityRisk フィールドを含む postureDetails の追加リストに分割されます。

securityRisk フィールドは、デバイスが最も安全な状態ではないと判断される理由を示します。advice リストは、デバイスのセキュリティ ポスチャーを改善するためのアクションの実行に役立ちます。 例:

 {
  "devicePosture": "POTENTIALLY_COMPROMISED",
  "postureDetails": [
    {
      "securityRisk": "UNKNOWN_OS",
      "advice": [
        {
          "defaultMessage": "The user should lock their device's bootloader."
        }
      ]
    },
    {
      "securityRisk": "HARDWARE_BACKED_EVALUATION_FAILED"
    }
  ]
}

セキュリティ体制の評価

デフォルトでは、securityPosture はキー構成証明、特にハードウェア格納型キー構成証明(HBKA)(該当する場合)を使用して評価され、安全なハードウェアで証明書を生成して署名する際に、信頼できるセキュリティ判定結果を提供します。

場合によっては、この評価に HBKA を使用できないことがあります。これを反映するために、securityRisk は「HARDWARE_BACKED_EVALUATION_FAILED」を返します。つまり、securityPosture は評価できますが、HBKA では評価できません。つまり、デバイスのブート整合性状態が不正使用され(デバイスの root 権限が取得されているなど)、ソフトウェア ベースの検出で検出されない可能性があります。

セキュリティ ポスチャーの判定について

devicePosturesecurityRisk のさまざまな組み合わせは、デバイスの全体的なセキュリティを理解していると解釈できます。なお、このリストはすべてを網羅しているわけではありません。

  • devicePosture が「SECURE」を返す場合securityRisk は「HARDWARE_BACKED_EVALUATION_FAILED」を返します。デバイスの完全性は安全ですが、HBKA では確認できませんでした。
  • devicePosture が「POTENTIALLY_COMPROMISED」を返す場合securityRisk という結果が返されない場合、評価に HBKA が使用され、デバイスは不正使用されているとみなされます。
  • devicePosture が「POTENTIALLY_COMPROMISED」を返す場合securityRisk は「HARDWARE_BACKED_EVALUATION_FAILED」を返します。その場合、ソフトウェアベースのチェックしか実施できませんが、完全性脅威のシグナルは十分に強力であり、デバイスが侵害されていると判断できます。
  • devicePosture が「POSTURE_UNSPECIFIED」を返す場合セキュリティ評価を完了できませんでした新しい判定結果が返されると、HBKA が再発行されるのを待ってから、特定の値を返すことができるかどうかを確認することをおすすめします。ただし、「POSTURE_UNSPECIFIED」の場合は想定内である初期インストール時に短期間で生じるエラーです。