Google が、Android のセキュリティアップデート提供方式を「リスクベース」と呼ばれる新しいアプローチに変更しました。これにより、緊急性の高い脅威からユーザーをよりすばやく保護することを目指します。
これまで毎月公開されてきた「Android セキュリティ情報」ですが、2025 年 7 月には初めて脆弱性の記載がゼロ件になる一方、9 月には 119 件もの脆弱性が記載されました。この大きな変動は、今回の新方式への移行が理由です。
今後の Android セキュリティ更新の仕組み
今回の変更で、セキュリティアップデートの提供方法が次のように変わります。
- 従来の方式: 発見された大小さまざまな脆弱性の修正を、毎月まとめて「Android セキュリティ情報」として公開していました。しかし、デバイスメーカー(OEM)にとっては、全デバイスに毎月適用する負担が大きいという課題がありました。
- 新しい方式: 実際に悪用されているなど、緊急性の高い「高リスク」な脆弱性のみを毎月のアップデートで優先的に配信します。その他の大多数の修正は、四半期ごと(3月、6月、9月、12月)にまとめて配信される形に変わります。
この「リスクベースアップデートシステム」により、メーカーは最優先で対応すべき脅威に集中でき、ユーザーはより重要な保護をすばやく受けられるようになります。
ユーザーとメーカーへの影響
この新方式は、メーカーとユーザーの双方にメリットをもたらします。メーカーは毎月の作業負担が軽減されるため、より多くのデバイスで安定してアップデートを提供しやすくなることが期待されます。
ユーザーにとっては、実際に危険な脆弱性に対する修正がより早く届く可能性があります。Google の広報担当者も、「Android と Pixel は、既知のセキュリティ脆弱性に継続的に対処し、最もリスクの高いものを優先的に修正・パッチ適用しています」とコメントしており、ユーザー保護を最優先する姿勢を強調しています。
一方で、セキュリティを重視するカスタム OS「GrapheneOS」は、メーカーへの事前通知期間が長くなることで、修正パッチが広く行き渡る前に脆弱性の詳細が漏洩するリスクを懸念しています。
また、月次のソースコードが公開されなくなるため、カスタム ROM コミュニティがアップデートを作成しにくくなるという影響も考えられます。
まとめ
Google によるセキュリティアップデート方式の変更は、脅威の緊急性に応じて対応の優先順位をつける、より効率的なアプローチです。
ユーザーにとっては、お使いのスマートフォンが今後も月次、あるいは少なくとも四半期ごとにアップデートを受け取れているかを確認することが、これまで以上に重要になります。
基本的にはユーザーの安全性を高めるための前向きな変更であり、Android エコシステム全体のセキュリティ向上につながることが期待されます。
