securityPosture
はデバイスのセキュリティ評価であり、現在のデバイスのステータスによって決定されます。デバイスの現在のステータスは、デバイスのルート権限が取得されているかどうか、カスタム ROM を実行しているかどうかなどの要因によって決まります。
securityPosture
はレスポンス内で devicePosture
と、フィールド securityRisk
を含む postureDetails
の追加リストに分割されます。
securityRisk
フィールドは、デバイスが最も安全な状態とはみなされない理由を示します。advice
リストは、デバイスのセキュリティ対策を改善するためのアクションを実行するのに役立ちます。例:
{ "devicePosture": "POTENTIALLY_COMPROMISED", "postureDetails": [ { "securityRisk": "UNKNOWN_OS", "advice": [ { "defaultMessage": "The user should lock their device's bootloader." } ] }, { "securityRisk": "HARDWARE_BACKED_EVALUATION_FAILED" } ] }
セキュリティ対策の評価
デフォルトでは、securityPosture
は鍵構成証明、具体的にはハードウェア格納型鍵構成証明(HBKA)(該当する場合)を使用して評価され、安全なハードウェアで証明書を生成して署名する際に、信頼できるセキュリティ判定を提供します。
場合によっては、この評価に HBKA を使用できない可能性があります。これを反映するために、securityRisk
は「HARDWARE_BACKED_EVALUATION_FAILED」を返します。つまり、securityPosture
の評価は可能ですが、HBKA では評価できません。つまり、デバイスのブート完全性状態が侵害され(デバイスのルート権限が取得されるなど)、ソフトウェアベースの検出では検出されない可能性があります。
セキュリティ対策の判定結果について
devicePosture
と securityRisk
のさまざまな組み合わせは、デバイスの全体的なセキュリティを把握するために解釈できます。以下のリストはすべてを網羅しているわけではありません。
devicePosture
が「SECURE」を返し、securityRisk
が「HARDWARE_BACKED_EVALUATION_FAILED」を返す場合、デバイスの完全性は安全ですが、HBKA では確認できませんでした。devicePosture
が「POTENTIALLY_COMPROMISED」を返し、securityRisk
の結果が返されない場合、HBKA が評価に使用され、デバイスが不正使用されていると判断されます。devicePosture
が「POTENTIALLY_COMPROMISED」を返し、securityRisk
が「HARDWARE_BACKED_EVALUATION_FAILED」を返した場合、実行できるのはソフトウェア ベースのチェックのみですが、完全性の脅威シグナルは、デバイスが不正使用されていると判断できる程度の強さです。devicePosture
が「POSTURE_UNSPECIFIED」を返した場合、セキュリティ評価を完了できなかったことを意味します。新しい判定結果が返されたときに HBKA が再発行されるのを待ってから、特定の値が返されるかどうかを確認することをおすすめします。ただし、初回インストール時に短期間「POSTURE_UNSPECIFIED」が発生することが想定されます。