セキュリティはアプリケーション開発プロセスだけにかかわる問題ではなく、開発プロセス全体にわたって常に考慮する必要があります。つまり、アプリケーションの設定、構築、テスト、展開を行わずに、セキュリティ上の問題を特定することはできません。むしろ各工程において常に、セキュリティを考慮に入れる必要があります。

アプリケーションにセキュリティを組み込むには、通常は次の取り組みを行います。

• Flash Player に組み込まれたセキュリティ機能を使用する
• セキュリティをアプリケーションに組み込む

Flash Player には、サンドボックスセキュリティなどいくつかのセキュリティ機能が組み込まれており、これらを Flash Player 用のアプリケーションの構築に利用できます。

ただし、Flash Player セキュリティは、多くのアプリケーション要件には不十分です。例えば、ユーザーがデータサービスにアクセスしようとしたときに、アプリケーションはそのユーザーのログインを要求するか、または他の手段でユーザーの認証を行う必要があるかもしれません。Flash Player に組み込みのセキュリティ機能よりも高度なセキュリティ機能が必要な場合は、それらの機能をアプリケーションの初期のデザイン工程からデザインに組み込み、コンパイル工程でテストし、展開工程で検証してください。

セキュリティの詳細については、Flex へのセキュリティの適用を参照してください。

セキュリティモデルについて

Flex セキュリティモデルでは、クライアントとサーバーの両方が保護されます。Flex アプリケーションを展開する際は、セキュリティに関する次の一般的な側面を考慮します。

• クライアント上のサンドボックス内で動作する Flash Player
• サーバーのリソースにアクセスするユーザーの承認および認証

Flash Player はセキュリティサンドボックス内で動作するので、悪意のあるアプリケーションコードによってクライアントが乗っ取られないように防止できます。このサンドボックスは、システムファイルにアクセスするなどのタスクを実行する Flex アプリケーションを、ユーザーが実行することのないように防ぎます。

Flash Player のセキュリティ

Flash Player には、Flash コンテンツのセキュリティを確保するために、次のような多数の機能が用意されています。

• ブラウザの SSL 暗号化機能を利用して、Flash アプリケーションとサーバー間のすべての通信を暗号化します。
• 包括的なサンドボックスセキュリティシステムにより、セキュリティやプライバシー上のリスクとなる可能性のある情報の転送を制限します。
• アプリケーションは、アプリケーションと同じドメインで作成された SharedObject を除き、ローカルドライブのデータを読み取ることがきません。
• SharedObject にカプセル化されたデータ以外のデータを、ディスクに書き込めないようにします。
• Web コンテンツは、サーバーによりアクセスが明示的に許可されている場合を除き、同じドメインに属さないサーバーのデータを読み取れません。
• ユーザーが任意のドメインについて情報の保存を禁止できます。
• ユーザーの許可なくカメラやマイクからデータを送信できません。