2020.6.19

ADEP(Apple Developer Enterprise Program)はもう取得することができないと諦めたほうが良い理由

(最終更新日 : 2020/10/30)

ADEP(Apple Developer Enterprise Program)に関連する質問は、エンタープライズiOS関連で寄せられる問い合わせで最も多い質問です。ADEPの前身である iDEP の時からこれは変わりません。(参考 : ADEPとは何か)

iOS端末の企業導入と同時に独自アプリを作りたい、あるいは作って欲しいという需要が現場には常にあるということですね。しかし、この1年程の間に問い合わせの傾向が明らかに変わってきています。

  • ADEPをどうしても契約できません
  • ADEPはどうやったら取得できるのですか?
  • ADEPを取らずに企業内限定配布をするにはどんな方法がありますか?

これらの質問から伺い知れることは唯一つ、ADEPの取得が極めて困難になっているということです。具体的な企業名は避けますが「え?あの超大手上場企業でもダメなの?」とビックリするぐらいのADEP申請拒否られ事案が幾つもあります。


(審査落ちというキーワードで本サイトにランディングする方も多い。困っている企業が少なからずある)

なぜこんなことになっているのでしょうか。企業内の独自アプリが開発・配布されるならiOS端末の活用は広がるはずです。Apple的にはウェルカムの筈なのになぜ?

本エントリでは、その理由を大きく4つに分けて解説します。そして最後に、今後エンタープライズiOS関係者はADEPとどう向き合うべきかの指針を書いてみます。

 

無くならなかったADEPの不正利用

ADEPを契約すると可能になるInHouse配布は、審査不要で無制限にアプリを配布できる超魅力的な配布形態です。この配布は、ADEPの契約主体法人の従業員か契約社員に配付するアプリに限定するよう10年以上前からAppleは求めてきました。

ただ、契約で縛るだけの紳士協定に過ぎないことが元より懸念されていました。みんな守るのか?と。

案の定、契約を破る企業が現れました。AppStoreの申請を逃れ、自社のWebサイトから申請の通っていないアプリを自社従業員以外にInHouse配布する事例が数多く出てきたのです。

そのうちの幾つかをご紹介しましょう。

まず、2020年最新のADEP契約違反事例。新進気鋭の画像認識系ベンチャー Clearview AI です。高度な顔認識技術を搭載したアプリを、同社の従業員向け業務アプリとしてではなく同社外となるFBIやその他の米国法執行機関にInHouseアプリで提供していました。


(SNS等から規約違反してまで無断取得した数十億枚もの画像から学習させた顔認識AIを搭載していた)

AppleはこれをADEPの契約違反として同社のADEPアカウントを停止。同社のInHouseアプリは使えなくなりました。この他にも、仮想通貨取引所の BINANCE が公式アプリを同社サイトからInHouse配布していた例もあります。

ADEP契約違反はベンチャーや中小零細に限った話ではありません。

2019年には Google と facebook といった世界的著名企業でさえ契約違反していたことが明らかになりました。両社ともに不正にInHouseアプリを配信し情報収集を行っていたようです。



(facebookは巧妙にADEPの契約を破ってInHouseアプリをインストールさせていた)



(googleもまた同様。データ収集目的のInHouseアプリを規約違反して配布した)

このようにADEPの契約違反事例は枚挙にいとまがありません。それだけ魅力的な配布形式であるということですが、ADEPによるInHouseアプリはAppStoreを迂回できる代わりに企業と雇用関係の契約がない人にインストールさせてはいけないという制約があることを忘れてはなりません。(参考 : ADEPの契約ができないパターン集)

Appleの審査を通らないアプリが InHouse 配布で出回ることは、iOSの安全性を脅かすことに繋がります。通常アプリ審査でrejectされる筈の実装を含むアプリが世に広まる可能性があるからですね。もし個人情報を勝手に吸い上げるようなアプリが広まったら…。個人情報保護に神経質な Apple がこの状況を看過するわけがないでしょう。

こうした状況にAppleが態度を硬化させるのも当然です。

その結果、いつしかADEP契約審査ではAppleから電話確認が入るようになりました。しかも企業の存在確認という生ぬるい電話ではなく、何のためにADEPが必要なのかやアプリの詳細・ビジネスモデルまでヒアリングされるようになってきています。Appleを納得させられなければ、ADEP契約審査は通りません。

 

証明書Revokeによる一撃業務停止問題

前項が契約を守らないサードベンダーの非なら、本項はADEPの技術的仕様の非とされても仕方ない点です。どういうことか。


(ADEPでのRevokeボタン。間違えて触ると現場トラブルに繋がる)

ADEPを契約するとInHouse配布用の証明書を作成することができます。が、この証明書仕様が実に曲者で、誤って Revoke するとなんとその直後から InHouse 配布している全てのアプリが一斉に起動しなくなるのです ((((;゚Д゚))))ガクガクブルブル

例えば、全国の支店iPadに配布しているアプリが日中に突然一斉に動かなくなることを想像してみて下さい。全店舗の全端末が予兆なく突然、です。Undoはできません。これがどれほど恐ろしいことか。エンタープライズ系のビジネスをされている方にとっては嫌な汗が出る最悪な事態だと思います。


(ADEPでの間違ったオペレーションは目も当てられない事態になる)

過去に知らない方から電話がかかってきたことがあります。

ある旅行代理店様が接客にiPadを使っている。iPadには独自のアプリをInHouse配布して入れていた。が、アプリ開発を請け負っていた開発会社の担当者が誤って InHouse 署名に紐付いた証明書を Revoke してしまった。その瞬間、一斉に全国でアプリが動かなくなり全店舗でトラブル発生。助けて欲しい…。

お会いしたこともない方からの連絡でした。知り合いを伝ってエンタープライズiOSに詳しい会社があると電話番号を聞いて直接かけさせて貰ったということでした。(弊社は電話番号を公開していないため)

結局この事例では、全店からiPadを引き上げて、証明書・プロビジョンファイルを作り直し、再署名したアプリをインストールして返送するという最悪の対応となったそうです。MDMが導入されていればまだ救済措置はありましたが、残念ながらアプリ受託会社はMDMというものを知りませんでした。エンタープライズiOSの分野を通常のアプリ開発と同様に捉えてはならない教訓となる事例です。

閑話休題。

このRevoke問題は他に何例も聞きます。意外に多いのだそうです。さすがのAppleも、デベロッパーが誤って証明書をRevokeしてしまうことまで想像していなかったのでしょう。

ただ、そんな事故が少なくないなら手を打たなければなりません。AppleがADEPの契約を極力制限し、事故の少ない別の仕組みに誘導するのも当然の対応といえます。

 

Apple公式サイトに見られるADEPを取らせない姿勢

では、ADEPの不正利用はしない、Revokeするヘマもしない、のなら大丈夫かというとそうでもありません。

ADEP公式サイトに訪れると、そこには「間口をメチャクチャ狭めてるけどそれでも申請する?」という Apple の無言の圧力が待ち受けます。


(ADEPの申請ページは2019年末から2020年初にかけてリニューアルされた)

画面をスクロールしていくと、まず条件が提示されます。

これは何なくクリアできそうな気がするのですが、問題はここからです。

ページの一番下までスクロールすると、ADEPでどんなアプリを開発するつもりなのか選択するよう促されます。フォームがあってすぐに申請できるというわけではないのですね。(昔はここからすぐに申請できた)

以下の3択から選びます。

  • (A) 一般向けのApp(カスタムApp以外のビジネスAppも含む)
  • (B) 特定の顧客向けのカスタムApp
  • (C) 自分の組織内で使用する独自App

(A)なら通常のAppStoreに申請するように、(B)ならカスタムAppを使うように、(C)ならADEP は普通はいらないよ分かってる?とそれぞれ丁寧な説明が表示されます。

(C)を選択した場合が以下の通り。

まずADPを確認して下さいねと。そしてApple Business Manager やAdHoc配信、引き換えコード、TestFlightを用意してますよ。それでも貴社にはADEPが本当に必要なのですか?と。

このAppleからの問いかけに答えて、ADEPによるInHouseアプリが必要だと論理的・技術的に説得しなければなりません。当然、ADP、ABM、AdHoc、引き換えコード、TestFlight、CustomApp等がそれぞれ何なのか理解した上で説明する必要があります。

現時点で大半は『ADP + CustomApp + MDM + ABM の組み合わせでやって下さい』と言われるオチが待っています。色んなケースをお聞きすると、AppleはもうADEPを取らせる気が全くないのでは?と思えるぐらい間口が狭くなってると感じます。

 

InHouse用AppID作成時の自己申告とAppleによる監視

実は、何とかADEP契約を無事に締結できたとしても、尋常ならざる姿勢のAppleの監視にあうことになります。これはAppStoreに公開されている一般消費者向けアプリの比ではありません。

よく知られている通り、iOSアプリをビルドする際には、証明書やAppIDやプロビジョニングファイルを正しく用意して署名する必要があります。最初につくるのはアプリを識別するための App Identifier ですね。

ADEPでもそれは同様ですが、今年(2020年)から InHouse アプリ用の App Identifier を作成する際、以下のように情報提供を要求されるようになりました。デプロイメントの詳細です。


(この項目はADEPだけで表示される。ADPには存在しない)

InHouse配付する規模と対象、何を使って配信するのか、セキュリティはどう担保するのかを Apple に自己申告する必要があります。更に、これらの情報を常に最新にupdateすることも求められ、Appleからいついかなる時でもレビューされたり質問されたりすることを理解し同意するというチェックまで必要になります。

なります…というのは記事執筆時点(2020年6月19日)で Optional な項目だからです。近い将来、これは必須になります。このように書いてあります。

In the future, this information will be required to create a distribution provisioning profile
and must be kept up-to-date in Certificates, Identifiers & Profiles.

Appleからのレビューにまっとうな理由が説明できなければ、InHouse用プロビジョニングプロファイルが作れなくなる可能性もありそうです。つまり署名ができない…。これは、その時点での有効期限が切れた瞬間に業務が停止することを意味します。

従来はADEP(iDEPの時代も)を契約しさえすれば正直やりたい放題で、配布のルールを守りRevoke問題にさえ気をつければ良かったのですが、今後はそうはいかなくなるのでしょう。

(恐らく上記の Optional は WWDC2020 で Requirement になると思います。 WWDC2020後から数ヶ月経過した2020年10月現在でも必須項目にはなっていません)

 

どうすべきなのか

ADEPの取得は最初からもう諦めることをお勧めします。(ADEPの情報発信をしているサイトでそれを諦めろというのはどうかと思いますが…)

不正問題やRevoke問題にAppleが態度を硬化させていること、エンタープライズiOSの関連技術を理解した上でAppleにADEPの必要性を説得する労力、狭き門を通った後のAppleの監視、将来背負うことになるプロビジョニングプロファイルが作れなくなるかも知れないリスク…

それらを背負う覚悟を…筆者なら持てません。

それでも果敢にADEPに挑むのもありだとは思いますが、正直ADEPが必要だとAppleを説得する十分な理屈を組み立てられる気がしません。なぜなら、AppleにもiOS端末導入企業にも開発受託企業にも、誰にもリスクがないスマートな仕組みやツールセットが今は用意されているからです。

再掲しますが、以下はAppleによるADEPの解説です。

明確に特定の利用ケースのみとあります。文中にあるオプション(ADP, AdHoc, ABM, 引き換えコード, TestFlight)をまず調べることからお勧めします。ADEPはそれらを十分に理解した上で「絶対にADEPでないと無理だ」という時のみ申請する最終手段です。最初に検討する選択肢ではありません

ほぼすべてのケースで、ADEPに頼らずとも要件を満たすiOSアプリは実現可能です。あえてイバラの道を歩むことにエネルギーを注がなくても良いのではないか。これが筆者の考えです。


(Photo by Kelly Sikkema on Unsplash)

 

既存のInHouse配布はどうなるのか?

ADEPの新規契約が困難になったことは、ADEP契約更新も同様に困難になるということを決して意味しません。実際、公式サイトの制限をクリアできてない企業でも更新できている事例もあります。

ADEP(または旧iDEP)を取得している事情は企業それぞれです。

実装上の理由からプライベート関数を使わざるを得ないケース、そのほか明らかにAppStoreの審査に落ちる実装をしているケース、アプリの過去バージョンにすぐ戻せるようにしておきたいというケース…などなど

実装済みのInHouseアプリをそう簡単に変更はできないと思いますが、せめてInHouse配布ができないとしたらどう実装するか?と検討することぐらいは事前にやっておいたほうが良いかも知れません。いずれAppleから、「ADEPの更新が認められない場合がある。ついては○○までに対応するように」と通達が来る可能性を誰も否定できないからです。

 

以上、新規のADEP契約を諦めたほうが良いと思われる理由について書きました。個別の案件でご相談等ありましたら、本エンタープライズiOS研究所の個別相談を御利用下さい。

 

お知らせ : iOSDS2020で講演を行いました

2020年9月の iOSDC2020 で、以下のようなタイトルでお話しました。

本稿で言及した、ADEPの代わりとなるカスタムAppについても解説させて頂きました。また、カスタムAppに必要な Apple Business Manager や MDM についても紹介し、それらがどう連携して端末に非公開アプリがインストールされるのかについてもご説明しました。

エンタープライズiOSの世界を一通り概観できる他にない講演になったかと思います。当日の講演がそのままYouTubeで無償公開されていますので、宜しければ iOSDC 2020 Day1 でエンタープライズiOSについて講演しました(YouTubeで収録動画が公開されました) をご覧の上で御視聴下さい。

本サイトはACNメンバーの(株)フィードテイラーが運営するエンタープライズiOS情報サイトです

最近の投稿