Appleプラットフォームのセキュリティ
アプリのセキュリティの概要
現在、アプリはセキュリティアーキテクチャにおいて最も重要な要素の1つです。アプリは生産性においてすばらしいメリットをもたらすと同時に、適切に扱わないと、システムのセキュリティ、安定性、およびユーザデータに悪影響を及ぼす可能性があります。
このため、Appleでは複数の保護レイヤーを構築し、アプリが既知のマルウェアに感染していないこと、および改ざんされていないことを保証しています。アプリからユーザデータへのアクセスを注意深く仲介するための追加の保護も適用されます。これらのセキュリティ制御によって安定した安全なアプリプラットフォームが提供されているので、何千人ものデベロッパによるiOS、iPadOS、およびmacOS用の数十万ものアプリを、システムの整合性を損なうことなく配信することが可能になっています。それにより、ユーザも、ウイルス、マルウェア、不正な攻撃などを過度に心配することなく、Appleデバイス上のこれらのアプリに安心してアクセスできるようになります。
最も厳重な制御を行うため、iPhoneとiPadでは、すべてのアプリはApp Storeから取得され、かつサンドボックス化されます。
Macでは、多くのアプリがApp Storeから取得されますが、Macユーザはインターネットからもアプリをダウンロードして使用します。インターネットからのダウンロードを安全にサポートするため、macOSには制御層がさらに追加されています。まず、macOS 10.15以降、Appleからの公証を受けていないMacアプリはデフォルトで起動できなくなります。この要件により、App Storeで提供されているアプリでなくても、それらのアプリが既知のマルウェアに感染していないことが保証されます。さらに、macOSには、マルウェアをブロックし、必要に応じて削除するための最先端のアンチウイルス保護が含まれています。
アプリによる不正アクセスからユーザデータを保護するのに有効なサンドボックス化が、プラットフォーム全体にわたるさらなる制御をもたらします。さらにmacOSでは、重要な領域内のデータ自体が保護されます。その結果、アクセスしようとしているアプリがサンドボックス化されているかどうかにかかわりなく、デスクトップ、書類、ダウンロード、その他の領域にあるファイルへのすべてのアプリからのアクセスをユーザが確実に制御し続けることができます。
ネイティブの機能 | 他社製の同等機能 |
|---|---|
プラグイン未承認リスト、Safari機能拡張未承認リスト | ウイルス/マルウェア定義 |
ファイルの隔離 | ウイルス/マルウェア定義 |
XProtect/YARAシグネチャ | ウイルス/マルウェア定義。エンドポイント保護 |
Gatekeeper | エンドポイント保護: アプリのコード署名を徹底させることで、信頼されたソフトウェアのみが動作することを保証 |
eficheck (Apple T2セキュリティチップを搭載していないMacの場合は必須) | エンドポイント保護。ルートキットの検出 |
アプリケーションファイアウォール | エンドポイント保護。ファイアウォール機能 |
パケットフィルタ(PF) | ファイアウォールソリューション |
システム整合性保護 | macOS内蔵 |
強制アクセス制御 | macOS内蔵 |
kext除外リスト | macOS内蔵 |
必須のアプリコード署名 | macOS内蔵 |
アプリの公証 | macOS内蔵 |