教育・医療・Biz

Why not Mac?「Macは安心・安全なのか?」

文●福田弘徳栗原亮イラスト●カトウキョーコ

macOSに内蔵される高度なセキュリティの基礎知識

Macの企業導入が進む1つの理由は「セキュリティがしっかりしているから」

日常業務に利用するITシステムに対して、セキュリティ対策を何も講じていない企業はないはずだ。セキュリティポリシーの遵守は、企業や従業員を守るうえで大事なことである。自分たちだけでなく、クライアントや取引先、社会的立場も含めて、その企業に対する信用に大きく影響するからだ。どれだけ時間をかけて積み上げてきた信用や実績も、1つのセキュリティ事故で失うのは一瞬である。

企業のMac導入の現場では、Macの管理方法の経験やノウハウが少なく、セキュリティ対策についてもウィンドウズPCと同等レベルの設定を行うことが多い。ウイルス対策ソフトのインストール、パスワードポリシーの遵守、アカウントの権限設定など、設定すべき項目は膨大だ。

しかし、これらのセキュリティ設定を行うことは利用者の利便性と反する場合もある。たとえば、アカウント権限がなければ自由にアプリケーションを追加できず、管理者に都度インストール作業を依頼することになる。ワイヤレスでファイル共有が可能になるエアドロップ(AirDrop)やiOSデバイスとの各種連携機能といったMacならでは利便性も、セキュリティを守るためという理由から制限されてしまうのが現状だ。そうなると、利用者にとっても管理者にとっても手間ばかりかかって、生産性を高めるはずのMacが逆に負担になってしまう。

Macを導入する際に重要なのは、従来のウィンドウズ環境のセキュリティポリシーをそのまま適用する前に、まずはMacというプラットフォームのセキュリティについてしっかりと理解しておくことだ。実際に、アップル製品がエンタープライズ市場で受け入れられている理由の1つには「セキュリティがしっかりしているから」という理由が挙げられる。iOSデバイス同様にMacでも、利用者のセキュリティを守るためのシステム保護や暗号化の技術が標準機能として実装されているし、アプリケーションやデータ保護、ネットワーク、インターネットといった企業セキュリティを担保するうえでの高度な技術がmacOSには組み込まれている。

Mac、そしてmacOSのセキュリティ機能は、ウィンドウズのそれとは異なる部分も多い。「Macは本当に安心・安全なのか」。まずは、その観点からMac特有のセキュリティ機能を理解し、それから自社のセキュリティポリシーと現在のモバイル中心のビジネスを照らし合わせ、Macの利便性とのバランスを取りながら最適なセキュリティ設定を施してほしい。

もちろん、セキュリティ対策は単に利用するデバイスの機能を制限するだけでなく、システムにアクセスするユーザやネットワーク、扱うデータなどさまざまな側面から検討する必要がある。Macの機能を制限するだけでは対処しきれない問題も数多く存在するし、オンプレミスな環境で自社内のネットワーク内を監視していればデータ資産が守られていた時代はとっくに終わっている。クラウドサービスの利用を前提とした現代においては、従業員がどのようなデバイスを使い、どのネットワークを経由して会社のデータ資産にアクセスするのかを、モバイル前提で検討する必要性もある。昔導入したシステム導入時に策定したセキュリティポリシーでは、テクノロジーの進化や変化の激しいビジネスには対応できない。Mac導入を機に、セキュリティポリシーも、今の時代に柔軟に対応していくための変化が必要だ。

そして、最終的には利用者が扱うデータに対して、日々どれだけリスクを意識して業務が行えているかがセキュリティ対策の面でも重要だと思う。いくらシステムのセキュリティが整っていても、利用者のミスや故意の行為などは防ぎきれないからだ。そうした意味では従業員の日々の教育やリテラシー向上を図るためにも、IT管理者は最低限、いやそれ以上にMacのセキュリティについて熟知しておくべきだろう。

 

 

TOPIC 1

macOSの特長の1つシステム標準の安全性

ハードとソフトの両方を安全に

Macを企業導入するにあたりまず知っておきたいのは、macOSというシステムのセキュリティについてだ。mac OSのコアである「カーネル」部分はUNIX系の「BSD」と「Machマイクロカーネル」を基礎に構築されている。BSDは基本的なファイルシステムやネットワークサービス、ユーザとグループの識別、ファイルやシステムのアクセス制限を行う。一方で、Machはメモリ管理やスレッド制御、ハードウェア抽象化、プロセス間通信の機能を提供する。macOSのセキュリティはこれらを中核として、ハードウェアとソフトウェアの両方が保護されるよう設計されている。

それぞれの詳細な役割と機能に関してはここでは語りきれないので、アップルが公開している「macOSセキュリティオーバービュー」をはじめとする専門ドキュメントに任せるが、いくつかの特徴には触れておこう。

まず、Macのセキュリティにおいて欠かせないのが「アクセス権」だ。データへのアクセスや処理実行時に、フォルダやファイル、アプリケーションレベルで、ユーザやグループに対して実行する権限を付与/拒否できる。これは元々UNIX系OSが同時に複数ユーザがログインし、複数の処理を同時に実行するサーバ向けの「マルチユーザ・マルチタスク」を実現するために設計されていることに由来する。

また、macOSには、デベロッパーが設定したセキュリティ制限を適用し、無効にすることが不可能な「強制アクセス制御」が存在し、ユーザが見えない範囲で安全を確保する。アプリのサンドボックス、ペアレンタルコントロール、特定の環境設定、システム整合性保護(SIP/ファイルシステムの特定の重要な場所にあるコンポーネントを読み取り専用にして、悪意のあるコードがコンポーネントの実行や改ざんをできないようにするもの)に利用されている。

ウィンドウズ系OSではソフトとOSの結びつきが強い傾向にあり、脆弱性への攻撃がシステム全体に悪影響を及ぼすことが多いが、UNIX系OSを基礎に持つmacOSではこの心配は少ない。シングルユーザで利用することが多いMacでも、これら複数レベルのアクセス制御が備わっているためマルウェアの感染や侵入などの攻撃によって管理者権限を奪取される危険性などを下げ、企業導入においては重要なセキュリティ基盤となる。もちろんmacOSにも脆弱性が発見されることはあるが、XD(Execute Disable)、ASLR(Address Space Layout Randomization)、カーネルASLRなどのランタイムプロテクションによりメモリやソフトの破壊を防ぐことができる。

 

セキュリティチップ「T2」などの独自性

Macはハードウェア、ソフトウェア、各種サービスやクラウドに至るまで、根幹となる部分をすべてアップル自身が設計開発・製造しており、この統合的なアプローチはセキュリティを確保するうえでも有利に働く。なぜなら、主要な構成要素についてハード、ソフトの両面からセキュリティに配慮した設計が行えるからだ。しかも、従来ソフトウェア的な方法だけでは実現できなかったセキュリティ上の弱点も、新たなハードウェア技術の実装によって対処していくことが可能となる。

その代表的な例が、現行のMacで採用され始めた「アップルT2セキュリティチップ(以下T2チップ)」だ。T2チップ自体は動画エンコードのアクセラレートなど複数の機能を持つコプロセッサの複合体だが、その中にある「Secure Enclave」コプロセッサはストレージをリアルタイムで暗号化/復号化する機能や指紋認証の「タッチID」などを実現する。なぜローカル環境でわざわざ高度な暗号化処理をしているのかといえば、ストレージ内の情報流出を防ぐため。この先進的なセキュリティ技術は企業など機密情報を扱う組織への導入や管理において大きなアドバンテージとなる。

このように堅牢なシステムをベースに持つmacOSだが、物理的な盗難や紛失に対しては無意味と考える人もいるだろう。しかし、アイクラウド(iCloud)の機能である「Macを探す」を有効にしておけば位置情報を利用してリモートで場所を検出したり、ロックやユーザデータの削除ができる。仮に検出できなくてもストレージ自体が暗号化してあれば情報流出のリスクは低く抑えられるなど、モバイル時代にふさわしいセキュリティ機能も実装されている。

 

Apple独自の統合型アプローチ

  • 2b3e0d41db4af8a1308fc4efc9592011.jpg

Macのセキュリティをいちから学ぶなら、まずはAppleの「セキュリティ」から。「macOSのセキュリティ」と題するPDFにもここからアクセスできる。【URL】https://www.apple.com/jp/macos/security/

 

指紋認証でデータを保護

  • 6b9ed1a868e6788fa52c4d0d0bf0732d.jpg

指紋認証センサであるTouch IDを搭載したMacBook ProやMacBook Airでは、T2プロセッサ内に搭載された「Secure Enclave」コプロセッサと呼ばれるセキュリティアーキテクチャによりパスコードと指紋データが暗号化され重要なデータを保護できる。

 

コア部分はUNIX由来

  • bef788844ce55ab061ea99f41979f3bd.jpg

macOSのコア部分にあたるmacOSカーネルはBSD(Berkeley Software Distribution)とMachマイクロカーネルをベースに構築されている。BSDの強力なセキュリティポリシーとMachによるアクセス制御がローカルセキュリティの基盤となっている。

 

システムレベルの整合性保護

  • d814feeae9d9360dd4aa80ca762c175d.jpg

OS X10.11以降ではSIP(システム整合性保護)というシステムレベルの保護が実装され、デフォルトでオンになっている。これにより悪意のあるコードを実行したり改ざんを防ぐことができる

 

アクセス権を細かく制御

  • 098c7d3bc00915e4a0507c7d39ab3853.jpg
  • bece01b3895435e79d8844c37f9bdb02.jpg

macOSではデータへのアクセスや実行を許可/拒否するアクセス権の制御をフォルダ、サブフォルダ、ファイル、アプリケーションのレベルで細かく付与できる。

 

不正利用をシステムが防ぐ

  • 8f3a1c0b74204134cc7e5c1bc393cee6.jpg

macOSには「MAC(Mandatory Access Control:強制アクセス制御)」と呼ばれるセキュリティポリシーが搭載されている。こちらはユーザが任意に制御できるアクセス権とは異なり、ユーザから見えない形でセキュリティ基盤を提供している。

 

物理盗難を防ぐことも

  • 9b14e61a6f5cda07501968014db814fe.jpg

MB12BRWEDGE

【発売】Compulocks
【価格】1万584円
【URL】https://www.akibakan.com/BCAK0083395/

ケンジントンロックを利用できない12インチのMacBookでも底面にアルミ製のブラケットを装着することでロックできるようにするサードパーティ製品も販売されている。

 

iCloudからMacを探す

  • 2b5f3c897c42a76ae0311425a14ea0da.jpg

iCloudで「Macを探す」機能を事前に有効にしておけば、Macの現在地を検出してサウンド再生、リモートロック、リモートワイプによって情報流出を防ぐことができる。




続きを読むためにはログインが必要です。
月額720円ですべてのコンテンツの閲覧が可能になります。
下のボタンより、お申込手続きを行ってください。

  • ログイン
  • 会員登録

同カテゴリ記事一覧