Appのセキュリティの概要
現在、Appはセキュリティアーキテクチャにおいて最も重要な要素の1つです。Appは生産性においてすばらしいメリットをもたらすと同時に、適切に扱わないと、システムのセキュリティ、安定性、およびユーザデータに悪影響を及ぼす可能性があります。
このため、Appleでは複数の保護レイヤーを構築し、Appが既知のマルウェアに感染していないこと、および改ざんされていないことを保証しています。Appからユーザデータへのアクセスを注意深く仲介するための追加の保護も適用されます。これらのセキュリティ制御によって安定した安全なAppプラットフォームが提供されているので、何千人ものデベロッパによるiOS、iPadOS、およびmacOS用の数十万ものAppを、システムの整合性を損なうことなく配信することが可能になっています。それにより、ユーザも、ウイルス、マルウェア、不正な攻撃などを過度に心配することなく、Appleデバイス上のこれらのAppに安心してアクセスできるようになります。
最も厳重な制御を行うため、iPhone、iPad、およびiPod touchでは、すべてのAppはApp Storeから取得され、かつサンドボックス化されます。
Macでは、多くのアプリケーションがApp Storeから取得されますが、Macユーザはインターネットからもアプリケーションをダウンロードして使用します。インターネットからのダウンロードを安全にサポートするため、macOSには制御層がさらに追加されています。まず、macOS 10.15以降、Appleからの公証を受けていないMacアプリケーションはデフォルトで起動できなくなります。この要件により、App Storeで提供されているアプリケーションでなくても、それらのアプリケーションが既知のマルウェアに感染していないことが保証されます。加えて、macOSには、マルウェアをブロックし、必要に応じて削除する最先端のアンチウイルス機能が搭載されています。
アプリケーションによる不正アクセスからユーザデータを保護するのに有効なサンドボックス化が、プラットフォーム全体にわたるさらなる制御をもたらします。さらにmacOSでは、重要な領域内のデータ自体が保護されます。その結果、アクセスしようとしているアプリケーションがサンドボックス化されているかどうかにかかわりなく、デスクトップ、書類、ダウンロード、その他の領域にあるファイルへのすべてのアプリケーションからのアクセスをユーザが確実に制御し続けることができます。
ネイティブの機能 | 他社製の同等機能 |
---|---|
プラグイン未承認リスト、Safari機能拡張未承認リスト | ウイルス/マルウェア定義 |
ファイルの隔離 | ウイルス/マルウェア定義 |
XProtect/YARAシグネチャ | ウイルス/マルウェア定義。エンドポイント保護 |
Gatekeeper | エンドポイント保護: Appのコード署名を徹底させることで、信頼されたソフトウェアのみが動作することを保証 |
eficheck (Apple T2セキュリティチップを搭載していないMacの場合は必須) | エンドポイント保護。ルートキットの検出 |
アプリケーションファイアウォール | エンドポイント保護。ファイアウォール機能 |
パケットフィルタ(PF) | ファイアウォールソリューション |
システム整合性保護 | macOS内蔵 |
強制アクセス制御 | macOS内蔵 |
kext除外リスト | macOS内蔵 |
必須のAppコード署名 | macOS内蔵 |
Appの公証 | macOS内蔵 |