macOSでのアプリケーションからファイルへのアクセスの制御
Appleは、アプリケーションがユーザのデータをどのように扱うかについて、ユーザがすべて理解し、同意し、制御できるべきであると信じています。macOS 10.15ではこのモデルが適用され、ユーザの同意を得てからでなければ、アプリケーションから書類、ダウンロード、デスクトップ、iCloud Drive、およびネットワークボリュームにあるファイルにアクセスできないことがシステムとして保証されます。macOS 10.13以降、ストレージデバイスへの全面的なアクセスを必要とするアプリケーションは「システム環境設定」に明示的に追加されていなければなりません。加えて、アクセシビリティおよびオートメーション機能では、ほかの保護を回避させないために、ユーザの許可が必要になります。アクセスポリシーによっては、以下に示すようにユーザにメッセージが表示されたり、「システム環境設定」>「セキュリティとプライバシー」>「プライバシー」で設定を変更する必要が生じたりする可能性があります。
項目 | アプリケーションからユーザへのメッセージ | ユーザがシステムのプライバシー設定を編集しなければならない |
---|---|---|
アクセシビリティ | ||
フルディスクアクセス | ||
ファイルとフォルダ 注記: デスクトップ、書類、ダウンロード、ネットワークボリューム、およびリムーバブルボリュームを含みます | ||
オートメーション(Apple Events) |
ユーザのゴミ箱にある項目は、フルディスクアクセスを使用しているどのアプリケーションからも保護されます。ユーザにアプリケーションのアクセスに関するメッセージが表示されることはありません。アプリケーションからファイルにアクセスできるようにするには、ファイルをゴミ箱から別の場所に移動する必要があります。
MacでFileVaultをオンにしているユーザは、ブートプロセスを続行し、特化した起動モードへのアクセスを得るために有効な資格情報の入力が必要になります。有効なログイン資格情報や復旧キーがなければ、ボリューム全体は暗号化されたままで、物理ストレージデバイスを取り外して別のコンピュータに接続し直しても、不正アクセスからの保護が維持されます。
エンタープライズ環境では、データを保護するために、IT部門がモバイルデバイス管理(MDM)を使用してFileVaultの構成ポリシーを定義し、適用することが推奨されます。組織が暗号化ボリュームを管理する方法は、組織の復旧キー、個人の復旧キー(オプションでエスクロー用にMDMで保存可能)、それらの組み合わせなど、複数あります。キーローテーションもMDMでポリシーとして設定できます。