Skip to content

ストリーミングアプリのセキュリティ: DRM は十分ですか? 専門家からのアドバイス

プレミアム再生アプリにDRMソリューションを実装しました。 アプリケーションが提供するワールドクラスのコンテンツは安全かつ確実であり、許可された視聴者のみがアクセスできます。 そうですか? そうではありません。

つい最近まで、コンテンツの所有者は、主に、貴重なビデオ資産を第三者アプリケーションのDRMセキュリティソリューションで保護することを義務付けていましたが、時代は変わりつつあります。 テクノロジーが進化するにつれて、サイバー攻撃はより高度になり、権利所有者が心配する必要のある問題はもはや海賊版コンテンツだけではなくなりました。 一度DRMが安全で許可された視聴体験を提供する仕事を終えたとしてもユーザーのデバイスにはまだリスクがあります。

DRMのようなコンテンツ保護ソリューションは長い間提唱されてきましたが、収益保護はますます推し進めることが重要です。 ストリーミングサービスによって展開されるアプリは、接続するサーバーと同じくらいエコシステムの一部であり、同様にそれらも保護されなければなりません。

Verimatrixは、ストリーミングアプリのセキュリティ状態をよりよく理解するために、人気のあるAndroidメディアアプリケーション14種類の評価を行いました。 この驚くべき結果は、当社のeBook「Media App Vulnerabilities Exposed」に掲載されています。 Verimatrixの製品管理ディレクターであるNealMichieと話をして、データを解明し、結果の背後にあるストーリーについてより多くの洞察を得ました。

Q. Verimatrixの評価の結果は、テストされたストリーミングアプリのうち、ベースライン保護レベルを達成したのはわずか7%だったことを示しています。 メディアアプリのセキュリティが見落とされがちなのはなぜだと思いますか?

A: 「ナイーブ」と言うのは簡単ですが、メディア組織のセキュリティで働く非常に優秀な人々にとっては不公平だと思います。 現実には、モバイルアプリのセキュリティはギャップに陥っていると思います。 従来のリスク/セキュリティチームはバックエンドセキュリティに焦点を当てていますが、モバイル開発チームは、DRMソリューションでコンテンツを十分に保護できると信じていることがよくあります、実際にそうなのですが。 しかし、ストリーミングアプリで保護する必要がある資産はコンテンツだけではありませんが、コンテンツは最も明白かもしれません。

問題は、メディアアプリの所有者にアプリのセキュリティを検討するよう促す外部要因がないため、手遅れになるまで見逃されることが多いことです。

Q. 開発者がストリーミングアプリのセキュリティに関して抱く最大の誤解は何ですか?

A: 開発者がストリーミングアプリのセキュリティについて抱く最大の誤解は、DRMで十分であるということです。 そうではありません。 DRMは、アプリの他の部分から分離できない方がより安全です。

あらゆる攻撃は、リバースエンジニアリングから始まります(攻撃されるアプリを理解)。 ソフトウェアの興味深い部分をすばやく特定して分離できれば、リバースエンジニアリングははるかに簡単です。 攻撃者は、その後、興味のあるコードに集中し、それ以外の部分は無視することができます。

また、これらのアプリには、コンテンツストリーム以上に多くのデータや貴重な知的財産が存在していることを認識することも重要です。 ストリーミングアプリには、また、支払い情報、個人情報、コード言語、企業秘密も含まれます。 これらすべての資産を保護することは、収益を確保し、顧客の信頼を維持するために重要です。

Q. OTTビデオアプリに関して、コンテンツプロバイダーはどのような新しい保護を求めていますか? アプリ開発者は、コンプライアンスを迅速に達成するために何ができるでしょうか?

A: コンテンツプロバイダーは、当然のことですが、コンテンツの作成に多額の費用を費やしているため、自社のコンテンツが著作権侵害されていないことを非常に熱望しています。 プロバイダーには、エコシステム全体を分析する十分資金力のあるセキュリティチームおよびリスクチームがあります。 彼らはギャップと脆弱性を見つけるように訓練されており、リスクを見つけたときは、彼らの指令を強化します。

これまでのところ、指令は通常、MovieLabsやその他の規制機関ではなく、個々のスタジオからのものです。 また、コンテンツオーナーは、すべてのプラットフォームを同等のリスクと見なしているようです。

これらの指令は通常、「Robustness Rules」の形式を取ります。これは、ライセンシー(たとえば、アプリ開発者やサービスプロバイダー)が満たさなければならない技術的条件です。 Robustness Rulesでは、通常、システム内のセキュリティ層の解読を困難にする実装が必要です。 これは、アプリ内のコード、API、データ、およびその他の貴重な資産を保護する2つのセキュリティ方法である商用の難読化と環境チェックの形をとります。

完璧な世界では、さまざまな用語(たとえば、リリースウィンドウ、コンテンツ品質レベル、ネットワークタイプ、クライアントデバイスタイプ、使用規則)について、正確で不変の一連の要件を参照することが可能です。 残念ながら、そうではありません。 セキュリティ技術に関する曖昧さや微妙さはたくさんあり、それらは時間とともに変化します。

私たちが知っていることは、スタジオのリリースウィンドウは、さまざまな市場の圧力と現在の出来事(COVID-19や多くの劇場の閉鎖など)のために縮小している一方で、再生品質と帯域幅は増加しているということです。 これにより、セキュリティの指令が全般的に強化されました。 リリースが早ければ早いほど、コンテンツの価値が高まり、セキュリティ要件も厳しくなります。

Q. スタジオが必要とする新しいセキュリティ指令は、ストリーミングアプリを保護するのに十分な推進力になると思いますか?

私は楽観主義者なので、そう思います。 他の業界では、セキュリティ基準が明確に定義されており、それに従うという一貫した要件がある場合には、それらがほぼ普遍的に採用されることを見てきました。

これは、これらの業界にとって良いことが証明されています。 すべての人の責任が明確に定義され、すべての参加者に公平な競争の場があり、1つの不十分な実装が、すべての人に対する業界の評判を落とすこともありません。

Q. アプリ開発者との会話を通して、彼らはこれらの指令や利用可能なツールを認識していると感じますか?

A: 簡単な回答: いいえ 。 そして、開発者が指令や利用可能なツールを認識しているとしても、それは表面的な認識に過ぎません。 実際、多くの開発者にアプリを保護するかどうかを尋ねると、「保護」を構成するものについての理解は、セキュリティ責任者、CTO、またはCISOとは大きく異なります。

セキュリティの専門家がアプリが保護されているかどうかを尋ねるとき、彼らが本当に知りたいのは、アプリがリバースエンジニアリングから保護されているかどうかです。 アプリ開発者がアプリケーションが保護されていると言うとき、それは多くの場合、Android Studioに付属の無料ツールを採用していることを意味します。 しかし、これらのツールは、 Android コミュニティでは「保護」ではなく「最適化」と記述されています。 さらに、これらのツールは、ハッカーがアプリコードをリバースエンジニアリングしようとするのを防ぐことにほとんど効果がありません。これらは、単に小さなハードルを提示するだけです。

Q. 14の人気のあるストリーミングアプリのセキュリティ評価の間に見つけた最も驚くべきことは何ですか?

A: 私が最も驚いたのは、多くのアプリが開発キットに付属の無料ツール(ProguardやR8など)を採用していないことです。 これらの無料のセキュリティツールの使用率は、モバイル開発の基準を下回っていました! 提供される保護は最小限ですが、何もないよりはましです ; そして、これらのツールを有効にするためのコストがゼロであることを考えると、それらを利用できる状態にしないことは怠慢に思えます。 これらのツールの構成にかかる時間と労力はごくわずかです。通常、このタスクはほとんどのアプリで約半日かかります。したがって、まったくこれらのツールを使用しない理由はありません。

Q. VerimatrixとULは、セキュリティ評価で使用される評価尺度をどのように開発したのですか?

A: サイバーセキュリティは、多くの層、要因、および考えられる攻撃ベクトルで構成される複雑な問題であるため、定量化するのは難しいことがよくあります。 企業がセキュリティ対策の評価を支援するため、Verimatrixは当初、モバイルバンキングのセキュリティ状況の調査の一環として、アプリのセキュリティ評価尺度を開発しました(eBookはこちらでご覧 いただけます)。

私たちの調査中に、アプリのセキュリティのための最高の基準は、モバイル決済のセキュリティに関してVisaとMastercardが提示した基準であることがわかりました。 それらの基準は高く、しかも実用的で明確に定義されています。つまり、実装者は、各規制を解くために過度の時間とリソースに専念する必要がないということです。 グッドプラクティスの例としてそれらの基準を使用しました。これは、Verimatrix / ULスケールのBグレードにほぼ相当します。

eBookを読んで、メディアアプリの脆弱性を減らす方法を学ぶ

新しいeBook「Media App Vulnerabilities Exposed」では、Verimatrixの調査結果を詳細に説明し、プレミアム再生アプリの安全性を確保するための実用的なソリューションを提供しています。 メディアアプリの利用が急増し、サイバー攻撃がより巧妙になるにつれ、コンテンツだけでなくそれ以上のものを保護することが不可欠になっています。 詳細を確認し、セキュリティアプローチを強化するには、eBookをダウンロードしてください。

Do you have questions about applications and content security?

Book a call with one of our experts

Want to keep up with Verimatrix news?

Sign up to the newsletter

Want to take a deep dive?

Connect with us

This site is registered on wpml.org as a development site.