スマホゲームはネイティブアプリで決まり？

　およそ1年ほど前、本連載でネイティブアプリとHTML5のどちらが安全かという議論が話題になっていると紹介した。その後、ゲーム業界で一時の隆盛を誇ったブラウザ型カードゲームの市場が縮小し、今は音楽やグラフィックス、そしてゲーム性の高いネイティブアプリへのシフトが進んでいる。

　7月29日付けのCNETの記事では、グリーにブラウザゲームを提供していたアプリベンダーが苦戦している様子、そしてそのベンダーが新に出資したネイティブアプリのベンチャーが成功しているという現象を報じている。

　また、比較的開発コストが安く、参入しやすかったブラウザアプリ市場で濫立したアプリベンダーが、市場のネイティブアプリシフトによって淘汰・再編が進むのでは、と予想する専門家も少なくない。

　スマホゲームアプリの市場がネイティブアプリにシフトすることは、セキュリティ対策の視点からみてどうなのだろうか。影響や、新たな取り組みなど必要になってくるのだろうか。この機会に考えてみよう。

どちらが安全かではなく、それぞれ注意すべきポイントが異なる

　一般論として、ブラウザ経由で利用するアプリと、クライアント端末上で動作するネイティブアプリはどちらがセキュアかというのは判定しにくい。ブラウザ型アプリのほうが、端末側でアプリケーションが実行されないため、セキュアであるという考え方もあるが、現実には、ブラウザそのものの脆弱性、JavaやJavaScriptの脆弱性、プラグインによる問題などがあり、簡単には比較できないからだ。

　HTML5になれば、プラグインの問題は軽減されそうだが、タグ機能が複雑になり、クロスサイトスクリプティング（XSS）といった攻撃には注意が必要となる。

　一方で、端末側で複雑なアプリケーションが動作するネイティブアプリは、PC環境と同様に、アプリ本体の脆弱性の問題が避けられない。場合によっては、アプリが動作するOSやミドルウェアやライブラリの脆弱性にも注意を払う必要がある。

　以上のように、両者の脆弱性の度合いの比較は難しい。したがって、セキュリティ対策という視点では、ゲームアプリがブラウザ型からネイティブアプリのどちらが安全でどちらが危険かという問題でとらえるのではなく、攻撃への対策のポイントや考え方が変わってくる問題と見たほうがいいだろう。では、ネイティブアプリの安全性はどのように確認するべきだろうか。

【次ページ】「信頼モデル」によって成り立っている