iOSが日本で代替ブラウザエンジンの許可を開始

 (developer.apple.com)
8 ポイント 投稿者 GN⁺ 2026-01-02 | 3件のコメント | WhatsAppで共有
  • iOS 26.2以降では、日本のユーザー向けアプリは WebKit 以外のブラウザエンジン を使用でき、フルブラウザアプリ埋め込みブラウザエンジンを使用するアプリ の2種類が認められる
  • Apple は承認された開発者に対し、JITコンパイル、マルチプロセス対応 など高性能なブラウザエンジン実装のためのシステム技術へのアクセス権を提供する
  • セキュリティリスクを理由に、Apple は 厳格なセキュリティ・プライバシー要件 を満たし、継続的なセキュリティアップデートを約束した開発者にのみ権限を付与する
  • ブラウザアプリとアプリ内ブラウジングアプリはいずれも、テスト合格率、メモリ安全性、脆弱性対応、Cookieブロック方針 などの詳細基準を満たす必要がある
  • 今回の措置は、日本市場において ブラウザエンジンの選択肢を広げつつ、ユーザーの安全を維持しようとする方針転換 と評価される

iOS 26.2における代替ブラウザエンジン許可の概要

  • iOS 26.2以降のバージョンでは、日本国内ユーザー向けに WebKit 以外のブラウザエンジンの使用が許可 される
    • 対象となるのは次の2種類のアプリ:
      1. 専用ブラウザアプリ(完全なWebブラウジング体験を提供)
      2. ブラウザエンジン管理者が提供するアプリ内ブラウジングアプリ(埋め込みエンジンを使用)
  • Apple は承認された開発者に対し、JITコンパイル、マルチプロセス対応などの中核システム技術 へのアクセス権を付与する
  • ブラウザエンジンは悪意あるコンテンツや機密性の高いユーザーデータにさらされるため、Apple は 特定基準を満たし、継続的なセキュリティ要件を履行する開発者のみを承認 する

Web Browser Engine Entitlement(専用ブラウザアプリ向け)

  • この権限により、代替ブラウザエンジンを使用するブラウザアプリ を開発可能
    • 申請前に要件を確認したうえで Apple に申請を提出する必要がある
    • 技術資料として BrowserEngineKitBrowserEngineCoreデフォルトブラウザ設定ガイド が提供される

資格要件

  • アプリは 日本国内の iOS 専用配布 でなければならず、システム提供エンジンを使用する他アプリとは 別バイナリ で構成する必要がある
  • Default Browser Entitlement を保持している必要がある
  • 機能要件:
    • Web Platform Tests 90%以上Test262 80%以上 に合格
    • JIT 無効状態(例: Lockdown Mode)でも同じ基準を満たすこと

セキュリティ要件

  • セキュア開発プロセス を採用し、サプライチェーン脆弱性を監視すること
  • 脆弱性開示ポリシーURL を提供し、第三者からの報告チャネルを確保すること
  • 30日以内の脆弱性緩和措置 など、迅速な対応義務
  • 解決済み脆弱性の公開ページ を運用すること
  • ルート証明書ポリシーの公開 および CA/Browser Forum への参加
  • 最新の TLS プロトコル対応 が必須

プログラムセキュリティ要件

  • メモリ安全な言語 または安全機能を使用すること
  • Pointer Authentication Codes(PAC)Memory Integrity Enforcement(MIE) など最新の緩和技術を適用すること
  • プロセス分離と IPC 検証脆弱性の優先修正
  • セキュリティアップデートが停止したライブラリの使用禁止

プライバシー要件

  • サードパーティCookieをデフォルトでブロック し、ユーザー同意時のみ許可
  • サイトごとのストレージ分離 およびクロスサイトアクセスの遮断
  • アプリ間の状態同期を禁止 し、明示的なユーザー許可がある場合のみ許可
  • デバイス識別子の共有禁止App Privacy Report のラベリング が必須
  • PII へアクセスする API は、ユーザーのアクティブ操作と同意が必要

Embedded Browser Engine Entitlement(アプリ内ブラウジング向け)

  • アプリ内で 代替ブラウザエンジンを埋め込み、Webコンテンツを表示可能
    • アプリ内ブラウジングは、Webブラウザでアクセス可能なコンテンツを表示する目的に限定される
    • UI には 画面の大部分を占める表示領域デフォルトブラウザで開くボタンドメイン/URL表示 が必要

資格要件

  • 申請者は browser engine steward でなければならない
    • エンジンの 運用・セキュリティ対応責任 を直接負う組織
    • 独立したアーキテクチャと Web API 対応 を持つ別個のエンジンである必要がある

アプリ要件

  • 日本国内の iOS 専用配布で、デフォルトブラウザ権限を保持していてはならない
  • Web Platform Tests 90%Test262 80%以上 に合格
  • JIT 無効状態でも同一基準を満たすこと

セキュリティおよびプログラム要件

  • セキュア開発プロセス脆弱性開示ポリシー30日以内の対応TLS 対応 などは専用ブラウザアプリと同一
  • メモリ安全な言語の使用最新のセキュリティ緩和技術の適用脆弱性の優先修正 が義務
  • セキュリティアップデートが停止したライブラリの使用禁止

プライバシー要件

  • サードパーティCookieのブロックサイトごとのストレージ分離デバイス識別子の共有禁止
  • App Privacy Report のラベリング および PII アクセス時のユーザー同意 が必要

追加要件

  • アプリ提出時に 埋め込みエンジン名とバージョンを明記 すること
  • エンジンの新バージョン公開後 15日以内にアプリ更新を提出 すること

開発者向け参考資料とセキュリティガイド

  • Secure SDLC: 脅威モデリング、コード監査、ファジングテストなど、セキュリティ中心の開発を推奨
  • Memory Safety: Swift の標準的なメモリ安全性、C/C++ の std::span-fbounds-safety オプションなどの活用
  • Vulnerability Management: CVE-ID ベースで公開脆弱性を管理し、迅速にパッチを配布する必要がある
  • Network Security: iOS SDK の Network frameworkSecTrust API の使用を推奨
    • TLS 1.2、1.3 対応が必須で、旧バージョンのプロトコルを使う場合はユーザーへの警告が必要

関連文書および契約書

  • Embedded Browser Engine Entitlement Addendum for Apps in Japan
  • Web Browser Engine Entitlement Addendum for Apps in Japan

関連記事

3件のコメント

 
wedding 2026-01-05

皮肉ではないのですが、Safari はあの数多くの要件をちゃんと……満たしているんですよね?
 
kimjoin2 2026-01-03

わあ、日本で始まったのも不思議ですね。こういうのはヨーロッパやアメリカが先になると思っていました。
 
GN⁺ 2026-01-02
Hacker Newsの意見

  • Appleが競合ブラウザを阻止するとは思わないが、そうなることは分かっている
    iPhoneは事実上、Chrome/Chromium独占を防ぐ最後の砦だと思う
    GoogleがMicrosoftのように放置はしないだろうが、それに匹敵する影響力を持つことになるだろう
    ほとんどのサイトがChromeでしかまともに動かない状況は本当に望ましくない
    結局、Appleの頑なさが、意図せずとも、この流れを食い止めている格好だ

    • 規制当局がAppleの独裁的な支配を全面的に制限してくれることを望む
      ChromeがWebを支配するという懸念は誇張されていると思う。新しいAPIが追加されたからといって、すべてのWebサイトがそれを使うわけではない
      Firefoxはシェア95%のIE時代にもWebを救ったのに、なぜ今はApple一社に依存しなければならないのか分からない
      これは一種の学習性無力感のように思える
    • Safariがデフォルトアプリに設定されている限り、iOSでChromeが大きな脅威になるとは思えない
      しかもモバイルWeb自体がますますアプリ中心へと縮小している
      AI検索がWeb検索を置き換えようとする流れもあり、Webの影響力はさらに弱まる気がする
    • その船はもう出てしまった。Appleも問題の一部だ
      たとえば、FaceTimeがFirefoxをサポートしていなかったのでEdgeを使っていたが、結局Google Meetに移らざるを得なかった
    • 以前IEが新機能を追加しながら市場を支配していたとき、人々はむしろ歓迎していた
      問題は、彼らがイノベーションを止めたときに始まった
      ActiveX、Flash、Silverlightのような技術がセキュリティ問題を引き起こしてWebを壊し、最終的にIEは開発者にもユーザーにも地獄になった
      今のMobile Safariがその役割を引き継いだと思う
      私はPCとAndroidではFirefoxを使うが、モバイルではChromiumベースのブラウザのほうがよい選択だと思う
    • Safariがひどすぎるので、iOSで本物のChrome体験をしたい

  • 日本の新しい規定のうち、「メモリ安全な言語の使用」要件が興味深かった
    ただ、Apple自身はこれを満たすのだろうか? WebKitはC++で書かれている
    「メモリ安全性を改善する機能」が具体的に何を意味するのかも曖昧だ

    • WebKitのSafer C++ Guidelines文書を参照できる
    • いつかAppleがWebKitをSwiftベースのエンジンに置き換えるか、段階的に移行するのか気になる

  • Appleがまだ世界全体で開放していないのは驚きだ
    ある国では開き、別の国では塞ぐ仕組みを維持するのは、結局混乱とコストにつながるだろう

    • しかしAppleは、収益が維持される限りこうしたやり方を続けるだろう
      多国籍企業にとって、この種の複雑な規制対応は日常業務だ
    • 技術的には可能だが、地域ごとのルールを管理し、従業員と顧客を教育するための精神的・運用的コストは大きいだろう
      ブラウザエンジンの統制は、収益よりも統制力の維持の問題に見える
    • 一日も早くFirefoxとuBlock Originをきちんと使えるようになってほしい
    • 「FeatureToggles.swift」だなんて、冗談のようだがAppleの方針を風刺している言葉にも見える
    • Appleは指図されることを極端に嫌う
      日本との交渉はEUよりはましだったが、それでも不満は多い
      だから世界全体で簡単に折れることはないだろう

  • AppleはEUで作ったサードパーティ製ブラウザエンジン許可ルールを日本にもそのまま適用しているようだ
    だが条件が厳しすぎて、実際にはEUでも代替エンジンのブラウザがリリースされたことはない
    アプリを完全に別のバイナリとして作らなければならないため、Chromeのような大規模ブラウザは移行が難しい

    • しかもEUでは、開発会社がEU域内に存在しなければならないという追加制約もある

  • 日本とEUの法律が世界的な変化を促すことを期待していたが、大企業には国ごとの非効率を受け入れる余力がある

    • ハードウェア面ではUSB-Cのように統一が進んだが、ソフトウェアは依然として分断されている
      たとえば、iPhoneは位置情報ベースで代替アプリストアへのアクセスを制限している
      関連記事を参照
    • もし法律がAppleのトラッキング透明性ポップアップのような機能を削除せよと求めたらどうなるのか?
      すでに2か国でAppleはそのポップアップをめぐって罰金を科されている
    • Appleの多くの方針は反競争的だが、ブラウザエンジン制限については、セキュリティ・バッテリー・標準化の目的のほうが大きいと思う

  • 「ブラウザエンジン管理者」要件を見ると、事実上GoogleとMozillaだけが資格を持つように見える
    MicrosoftですらBlinkベースなので除外される
    小規模エンジンは基本機能要件を満たすのが難しく、実質的に参入不可能に見える

  • これでiOSで本物のFirefox + uBlock Originが使えるようになるのだろうか

    • Appleは法律の文言上の順守しかしない一方で、依然としてあらゆる手段で抵抗するだろう
      複雑な要件、制限されたAPI、放置されるバグなどで、開発者は苦しむことになるだろう
      日本市場のためだけに完全なエンジンを移植するほどの法務・開発リソースを投じる会社はなさそうだ
    • Mozillaも地域別アプリ維持の負担のために参加しない可能性が高い
      関連記事
    • それまではSafari向けのuBlock Origin Liteを使えばよい
      かなり良い
    • EUでも同じルールが適用されたが、代替エンジンのブラウザは登場しなかった
      今のところSafari向けuBlock Origin Liteや他の広告ブロッカーを使える
    • 参考までに、iOS SafariはすでにuBlock Origin Liteをサポートしている
      Firefoxにも独自のトラッキング防止機能がある

  • Appleがエコシステムを開放すると消費者寄りのイメージが失われるのではないかと恐れる人をよく見る
    しかし、「Appleが統制しなければ混乱が来る」という論理は両極端な選択肢にすぎない
    私たちに必要なのは、Appleの完全統制とユーザー放任のあいだにある中間地点
    市場が競争的に機能しないなら、規制がユーザーと開発者を守るべきだ
    Appleがハードウェアをロックするのは危険な前例であり、他社がこれに追随するのではないかと懸念している

    • AppleはiOSのイノベーションの速度と方向を直接統制している
      新機能やアプリはAppleが許可しなければ存在できない
      DropboxやGDriveのようなサービスも、Appleのバグの多いバックエンドに合わせるために機能を失ってきた
      こうした構造は異常だ
    • 結局のところ代替はAndroidしかないのだろうか?

  • Appleの別バイナリ要求は、事実上法律違反に近い水準だ
    ログイン状態の共有禁止、Cookie遮断の強制などはOSの仕事ではない
    しかもApple自身が30日以内のセキュリティパッチ規定を守っていない

  • Appleが特定の国でのみ例外を設けるために極端な努力を払っているのは驚きだ