
デジタル署名と暗号化
アクセス制御リスト
キーチェーンデータは、アクセス制御リスト(ACL)によって分離されて保護されます。このため、他社製アプリが保存した資格情報は、ユーザが明示的に許可しない限り、異なる識別情報を持つアプリからはアクセスできません。この保護機能により、組織内のさまざまなアプリおよびサービスに、Appleデバイス内の認証資格情報を保護するためのメカニズムが提供されます。
メール
「メール」アプリでは、デジタル署名して暗号化したメッセージを送信できます。「メール」によって、互換性のあるスマートカードに添付されたPIV(個人識別情報検証)トークン内のデジタル署名と暗号化証明書から、RFC 5322形式の大文字/小文字が区別される適切なメールアドレスのサブジェクトまたはサブジェクト代替名が自動的に検出されます。設定されたメールアカウントが、添付されたPIVトークン内のデジタル署名または暗号化証明書に含まれるメールアドレスと一致すると、新規メッセージウインドウのツールバーに、署名ボタンが自動的に表示されます。送信先のメール暗号化証明書が「メール」内にある場合、またはMicrosoft Exchangeのグローバルアドレス一覧(GAL)で見つかった場合は、新規メッセージのツールバーに、開いたカギのアイコンが表示されます。閉じたカギのアイコンは、送信先の公開鍵によってメッセージが暗号化されて送信されることを示します。
メッセージごとのS/MIME
iOS、iPadOS、macOSでは、メッセージごとのS/MIMEがサポートされます。これにより、S/MIMEユーザは、メッセージの署名と暗号化をデフォルトで常に行うか、メッセージごとに判断するかを選択できます。
S/MIMEで使用する識別情報は、構成プロファイル、モバイルデバイス管理(MDM)ソリューション、Simple Certificate Enrollment Protocol(SCEP)、またはMicrosoft Active Directory認証局を使用してAppleデバイスに配付できます。
スマートカード
macOS 10.12以降では、PIVカードがネイティブでサポートされます。PIVカードは、企業や政府機関で、2ファクタ認証、デジタル署名、暗号化のために幅広く使用されています。
スマートカードには、公開鍵と秘密鍵のペアおよび関連する証明書が含まれる、1つ以上のデジタル識別情報が組み込まれます。PIN(個人識別番号)でスマートカードをロック解除すると、認証、暗号化、署名の操作に使用する秘密鍵にアクセスできます。証明書では、鍵の用途、関連付けられた属性、認証局(CA)認証によって検証(署名)済みかどうかが判断されます。
スマートカードは2ファクタ認証にも使用できます。カードをロック解除するには、「ユーザが持っているもの」(カード自体)と「ユーザが知っていること」(PIN)の2つの要素が必要です。macOS 10.12以降では、スマートカードによるログインウインドウ認証とSafariでのWebサイトへのクライアント証明書認証もネイティブで対応します。また、Kerberos対応サービスにシングルサインオンするための、鍵ペアを使用したKerberos認証(PKINIT)もサポートされます。スマートカードとmacOSについて詳しくは、「Appleプラットフォーム導入」の「スマートカードの統合の概要」を参照してください。
暗号化ディスクイメージ
macOSでは、暗号化ディスクイメージは、ユーザが機密書類やその他のファイルを安全に保管または受け渡しするためのコンテナとして使用できます。暗号化ディスクイメージは、「/アプリケーション/ユーティリティ/」にあるディスクユーティリティを使用して作成します。ディスクイメージの暗号化には、128ビットまたは256ビットのAES暗号化が使用されます。マウントされたディスクイメージは、Macに接続されたローカルボリュームとして扱われるため、ユーザは、イメージ内に保存されたファイルやフォルダをコピーしたり、移動したり、開いたりできます。FileVaultと同様に、ディスクイメージのコンテンツは、リアルタイムで暗号化および復号されます。ユーザは、暗号化ディスクイメージをリムーバブルメディアに保存したり、メールメッセージに添付して送信したり、リモートサーバに保存したりすることで、書類、ファイル、フォルダを安全にやりとりできます。暗号化ディスクイメージについて詳しくは、「ディスクユーティリティユーザガイド」を参照してください。