iOS 製品のセキュリティに関する認定書、評価、ガイダンス

この記事では、iOS プラットフォームに関して、主要製品の認定書、暗号モジュールの評価、セキュリティガイダンスについて、関連資料を紹介しています。ご質問がある場合は、security-certifications@apple.com までお問い合わせください。

暗号モジュール評価

Apple のすべての FIPS 140-2 適合認定書は、CMVP ベンダーのページに掲載されています。Apple では、iOS の各メジャーリリースについて、CoreCrypto モジュールおよび CoreCrypto カーネルモジュールの評価に鋭意取り組んでいます。最終的なモジュールのリリースバージョンに対してのみ評価を実施し、OS の公開リリース時点で公式に申請します。CMVP は、暗号モジュールの評価状況を 2 つの個別のリストに分けて、状況別に掲載しています。モジュールはまず「Implementation Under Test List」に掲載され、「Modules in Process List」に移ります。

iOS 12

Apple では、今年度後半にリリース予定の iOS 12 で使われる CoreCrypto v9.0 モジュールの認定取得に積極的に努めています。

以前のバージョン

以下の以前のバージョンの iOS については、暗号モジュールの評価認定を受け、現在アーカイブされています。

  • iOS 8
  • iOS 7

セキュリティ設定ガイド

セキュリティを重視する組織は、許容される用途に合わせて各種プラットフォームを設定する方法について、綿密に調査して明確にガイダンスを定義しています。セキュリティ設定ガイドには、デバイス保護の強化 ("hardening") に役立つ macOS および iOS の機能について概要が記載されています。世界各国の政府が Apple と協力し、より安全な環境の維持管理を目的とした指示や推奨事項をまとめたガイドを作成しています。 

これらのガイドは、ユーザインターフェイスをよく理解し、対象となるプラットフォームの管理ツールについて実践的な知識を持つ、経験豊富なユーザまたはシステム管理者を対象としています。ネットワークの基本概念についての知識も役に立ちます。ガイドの指示は一部複雑なものもあり、指示から逸脱すると、不具合が生じたり、逆にセキュリティが弱体化したりする場合があります。デバイスの設定を変更したときは、必ず導入前に徹底的にテストしてください。

詳しくは、「iOS のセキュリティ」ガイド (PDF) を参照してください。

セキュリティに関する認定書

Apple が公に認証を取得済みの有効な規格文書を以下にまとめています。

ISO 27001/27018 認証

Apple は、2017 年 7 月 11 日付の適用宣言書 (Statement of Applicability v2.1) に従ったインフラストラクチャ、開発、製品やサービス (Apple School Manager、iTunes U、iCloud、iMessage、FaceTime、管理対象 Apple ID、Siri、スクールワーク) の運用管理について、情報セキュリティマネジメントシステム (ISMS) の ISO 27001 認証および ISO 27018 認証を受けました。Apple の ISO 規格への準拠は、BSI (英国規格協会) により認定されました。BSI の Web サイトに、ISO 27001 認証および ISO 27018 認証の認定書が掲載されています。

Common Criteria Certification

セキュリティに関する国際規格として、Common Criteria コミュニティで提唱している通り、IT 製品のセキュリティ機能に対する明確で信頼性の高い評価基準を定めることを目標としています。製品がセキュリティ規格 Common Criteria Certification を満たしていることを独自に査定することによって、お客様に IT 製品を安心してお使いいただき、十分な情報に基づいて判断していただけるようにしております。

Common Criteria Recognition Arrangement (CCRA) の加盟国および加盟地域は、同じレベルの信頼性で IT 製品の認定を相互承認することに賛同しています。加盟国は毎年増え続け、Protection Profile もさらに幅広く掘り下げて充実し、進化する技術に対応しています。この協定のおかげで、製品の開発者としては、どの認証制度でも承認を 1 回受ければよいことになります。

以前の Protection Profile (PP) はアーカイブされ、具体的な解決策や環境に的を絞った PP が開発され、順次置き換えが始まっています。CCRA の全加盟国の間で相互認識を継続するための協調努力として、International Technical Community (iTC) が、今後のあらゆる PP 開発と、複数の制度のもとで新たに開発される Collaborative Protection Profile (cPP) への移行を継続的に推進していきます。

Apple では、2015 年初期から、Common Criteria のこの新しい枠組みにおいて、一部の PP について認証取得を目指しています。Apple が公に認証を取得済みの有効な規格文書を以下にまとめています。 

iOS 11

 

Protection Profile

VID

完了

モバイルデバイス

PP_MD_v3.1

10851

2018.03.30

MDM エージェント

EP_MDM_Agent_v3.0

10851

2018.03.30

WLAN エージェント

PP_WLAN_CLI_EP_v1.0

10851

2018.03.30

VPN クライアント

PP_VPN_IPSEC_CLIENT_V1.4

10876

2018.05.10

アプリケーションソフトウェア (連絡先)

PP_APP_v1.2

10915

ETA:2018.08

ブラウザ (Safari)

PP_APP_v1.2

PP_APPWEBBROWSER_EP_v2.0

10916

ETA:2018.08

以前のバージョン

以下の以前のバージョンの iOS については認証を取得済みで、現在アーカイブされています

  • iOS 10
  • iOS 9

Common Criteria コミュニティによって Protection Profile のメジャーバージョンのアップデートが公開されるまでには、一般に、Security Functional Requirements (SFR) の補足や改訂を伴い、12 〜 18 か月を要します。

Common Criteria ポータルで、Protection Profile (PP)、Collaborative Protection Profile (cPP)、およびそれらの有効期日の一覧を確認いただけます。また、同じ情報を、米国の制度である National Information Assurance Partnership (NIAP) など、特定の制度について調べることもできます。

政府による使用の認定

政府によるデバイスの使用が認定されている一部の国や地域について、以下に情報をまとめています。

オーストラリア政府


EPL - Evaluated Products List」ページを参考に、概要を以下にまとめています。

Australian Signals Directorate (ASD) が、オーストラリアおよびニュージーランドの政府機関による使用を目的として ASD による評価を受けた ICT セキュリティ製品について、Evaluated Products List (EPL) を維持管理しています。

  • EPL に掲載されている製品は、特定の用途に限り認定されたものです。
  • オーストラリア政府の Information Security Manual (ISM) の記載に従って安全なシステムおよびネットワークを構築する目的で、EPL に掲載されている製品を利用できます。
  • 製品は、国際的に認められた ISO 15408 Common Criteria (CC) に照らして認定されています。CC のポータルには、相互承認による認定を受けたほかの製品が掲載されており、こちらも利用が可能です。
  • ASD の認定機関である Australasian Certification Authority が、認可を受けた民間の認証機関による製品テストを管理する Australasian Information Security Evaluation Program (AISEP) を監督しています。
  • EPL には、ASD の Cryptographic Evaluations も掲載されています。

製品:iOS 9
製品の種類:Mobile Products
製品の状況:Completed
認定レベル:Assessed by ASD
バージョン:9.3.5 以降
ガイドPDF

英国政府


NCSC の「Commercial Product Assurance - products at foundation grade」ページを参考に、概要を以下にまとめています。

CPA が、市販の製品およびその開発元を、セキュリティや開発に関して公開されている標準に照らして評価します。評価に合格したセキュリティ製品は、Foundation Grade の認定を受けることができます。認定を受けた製品は、市販製品としてセキュリティ対策に優れていること、脅威がさほど高くない環境での利用に適していることを証明されたことになります。

  • CPA 認定は 2 年間有効で、有効期間中に、脆弱性対策やアップデートが必要になった時点で製品を更新できます。
  • CPA 認定は、NATO カタログに掲載され、EU カタログに必要な認定の 1 つとして認められています。
  • Foundation Grade について詳しくは、NCSC が詳しく解説しています。

米国政府


Commercial Solutions for Classified」ページを参考に、概要を以下にまとめています。

米国政府のお客様は、任務完遂のため、市場に流通している最新のハードウェアおよびソフトウェアの技術を National Security Systems (NSS) で早急に利用することを求めています。それを受け、National Security Agency/Central Security Service (NSA/CSS) の Information Assurance Directorate (IAD) は、目まぐるしく変わる顧客のニーズに応えるべく、最先端の技術を利用し、よりタイムリーに IA ソリューションを提供する新しい方法を模索しています。

NSA/CSS の Commercial Solutions for Classified (CSfC) プログラムは、NSS の機密データを保護する何層ものソリューションに市販品を活用できるようにするため、発足しました。これに伴い、数か月の間 (数年ではない) 展開可能なソリューションで、商業上の標準に基づいて安全に通信することが可能になります。

Apple のソリューションの導入を望む機密環境の数は増え続けていますが、製品認証の点から導入を控える傾向にありました。Apple が上記の Protection Profile に対して Common Criteria の認証取得を目指していることで、Apple の製品が CSfC のコンポーネントリストに掲載され、利用可能になりました。

関連する各 Protection Profile に対して Apple 製品がほかにも Common Criteria の認証取得を始めれば、対応する Apple コンポーネントについて CSfC コンポーネントリストへの掲載承認申請が提出され、下表にも追記されます。

CSfC コンポーネントリスト

以下の Apple 製品は、CSfC ソリューションでの利用を認められています。

Apple 製品を自国の製品リストに追加する

現在、CPA、EPL、CSfC と類似した自国のプログラムに Apple 製品の追加申請をしたいという政府環境の数は増え続けています。政府のソリューションプログラムの責任者の方で、同等の製品リストへの Apple の製品の掲載に興味がある場合は、security-certifications@apple.com までお問い合わせください。

その他のオペレーティングシステム

製品のセキュリティ、評価、ガイダンスについては、それぞれ以下の該当する記事を参照してください。

Apple 製以外の製品に関する情報や、Apple が管理または検証していない個々の Web サイトは、推奨や承認なしで提供されています。Apple は他社の Web サイトや製品の選定、性能、使用については一切責任を負いません。Apple は他社の Web サイトの正確性や信頼性については一切明言いたしません。インターネットの使用にはリスクがつきものです。詳しくは各社にお問い合わせください。その他の会社名や製品名は、それぞれの所有者の商標である場合があります。

公開日: