Googleは、Androidのセキュリティ更新に新たな方針を導入しました。これまで毎月欠かさず公開されてきた「Android Security Bulletin(ASB)」ですが、今後は「リスク重視型アップデート(Risk-Based Update System)」を採用し、高リスクの脆弱性修正を優先的に提供していきます。
毎月の公開方針から大きく転換
Androidのセキュリティ情報は、2015年から毎月公開されてきました。数十件規模の脆弱性が修正対象となるのが通常ですが、2025年7月のASBでは初めて「ゼロ件」という異例の内容に。一方で9月のASBでは119件もの脆弱性がまとめて公開されるなど、大きな差が見られています。
これは脆弱性が存在しなかったわけではなく、Googleがアップデート戦略を刷新した結果です。従来の「毎月まとめて公開」から、リスクに応じた柔軟な公開へと方針を切り替えたことが背景にあります。
新方針「リスク重視型アップデート」とは
新たな仕組みでは、脆弱性を次のように分類し、更新内容を分けて提供します。
- 高リスク脆弱性:すぐに対処が必要なもの(例:実際に悪用が確認されている脆弱性や既知の攻撃手法と組み合わせて使える脆弱性) → 毎月のASBで公開・修正
- その他の脆弱性:影響度が低い、または緊急性の低いもの → 四半期ごとのASB(3月、6月、9月、12月)にまとめて公開
この方式により、メーカー(OEM)は毎月大量のパッチを処理する必要がなくなり、更新作業の効率化が期待できます。特に多機種を展開する企業や、キャリア認証を経る必要のある地域では負担軽減につながる可能性があります。
ユーザーへの影響
一般ユーザーにとって大きな変化はありません。すでに毎月更新を受けている端末は今後も継続して提供され、そうでない場合でも四半期ごとの更新でより多くの修正が一度に届くことになります。結果として、更新頻度が少ない端末でもセキュリティが底上げされやすくなると見られます。
ただし、セキュリティ研究者の間では懸念も指摘されています。四半期ごとの大規模更新は公開前にOEM各社へ数か月前から共有されるため、万一情報が漏れれば悪用リスクが高まる可能性があるという点です。また、Googleは月次更新分のソースコードを公開しない方針に切り替えたため、カスタムROMの開発者にとっては対応が難しくなる側面もあります。
Googleのコメント
Google広報は次のように説明しています。
「AndroidとPixelのセキュリティ情報は毎月公開しています。Androidは基盤から堅牢なセキュリティを備えており、Rust言語の活用や高度な不正防止機能によって脆弱性の悪用を未然に防いでいます。私たちは常に既知の脆弱性へ対応し、特にリスクの高いものを最優先で修正しています」
今後の展望
新しいリスク重視型の更新方式は、メーカー側の対応負担を減らしつつ、ユーザーの安全を確保することを狙った施策です。結果的に、四半期ごとのセキュリティ更新がこれまで以上に重要な意味を持つようになります。
Android端末の利用者は、自分の端末が少なくとも四半期ごとの更新を受けているかを確認することが、今後ますます大切になりそうです。
