

9to5MacはIncogniによって提供されています。 あなたの個人情報を詮索好きな目から守りましょう。Incogniを使えば、人物検索サイトを含むウェブ上のデータブローカーから、あなたの非常に機密性の高い情報を削除できます。Incogniは、電話番号、住所、メールアドレス、社会保障番号などの情報の流出を制限します。30日間返金保証で、望ましくないデータブローカーに対抗しましょう。
Apple は顧客のプライバシーを最優先に考えていることで知られており、その取り組みはチップの設計レベルから始まります。
ここでは、Apple デバイスと iCloud の両方に保存されている個人データを保護する 8 層の Apple セキュリティについて説明します。
1. ハードウェアセキュリティ
Appleのハードウェアセキュリティ対策は、すべてのチップに搭載されているBoot ROMという最も基本的なレベルから始まります。これは、Apple自身でさえも書き換えることができないコードであり、Appleはこれが「ハードウェアの信頼の根幹」を形成するものだと述べています。Boot ROMは、起動時にAppleが署名した信頼できるOSソフトウェアのみが読み込まれることを確認する役割を担っています。
Secure Enclave(SE)は、おそらくAppleのセキュリティハードウェアの中で最もよく知られているチップです。これは、デバイスのパスコードやパスワード、そしてFace IDやTouch IDに使用される生体認証データを保存するチップです。重要なのは、Apple独自のオペレーティングシステムでさえSEに保存されたデータにアクセスできないことです。
例えば、Face IDを使ってiPhoneのロックを解除すると、iOSはSEチップに本人確認を要求します。チップは「はい」か「いいえ」でのみ応答し、この判断に使用されたデータは一切開示しません。SEチップには、メインプロセッサと全く同じ保護機能を備えた独自のセキュアブートROMが搭載されています。
最後に、ユーザーデータはSEと非常によく似たアプローチで、オンザフライで暗号化および復号化されます。例えば、MacのTouch IDを使ってロックされたメモを開くとします。macOSはSEチップにTouch IDが本人確認を行ったかどうかを尋ね、チップは「はい」と答えます。しかし、それで終わりではありません。macOSは暗号化されたメモ自体の内容にアクセスすることはできません。代わりに、専用のAESハードウェアエンジンに復号を依頼します。
そのため、A シリーズや M シリーズのチップ内にも、オペレーティング システムでさえ最も機密性の高いデータに直接アクセスできないようにするためのチップが複数あります。
2. オペレーティングシステムのセキュリティ
ハードウェア層がオペレーティングシステムの整合性を保護する方法については、すでにいくつか見てきました。これは、信頼できるコードのみが実行できるように設計されたOS機能によって支えられており、特定のコードセクションが実行されるたびに、複数のチェックが実行されます。
詳細は複雑ですが、カーネルを例に挙げてみましょう。カーネルとは、OSの中核部分であり、その他すべての処理を管理する部分です。カーネルが起動するとすぐに、カーネル整合性保護(KIP)がオンになります。これにより、カーネルが格納されているメモリ領域への書き込みが不可能になり、KIPを有効にするために使用されるハードウェアは起動後すぐにロックされ、再構成できなくなります。
これは、Apple が使用する 6 つの OS レベルの保護のうちの 1 つにすぎません。
3. ファイルの暗号化
Appleデバイスは、データ保護と呼ばれる技術を使用してユーザーデータを暗号化します。これは現在、Intel Macを除くすべてのAppleデバイスで採用されていますが、Intel MacはFileVaultと呼ばれる古い技術を使用しています。
ユーザー(またはアプリ)が新しいファイルを作成するたびに、データ保護機能は新しい256ビットキーを作成し、AESハードウェアエンジンに渡します。AESチップは、ファイルに書き込むデータをそのキーで暗号化します。Macで完全な保護を実現するには、FileVault(AppleはApple Silicon Macでも、分かりやすさを重視してこの用語を使い続けています)をオンにする必要があります。
4. アプリのセキュリティ
Apple は、すべてのアプリが Apple によって認証され、マルウェアがチェックされ、実行時に組み込みのウイルス対策チェックを受けることを保証するという要件から始まる、複数層のアプリ セキュリティを採用しています。
さらに、サンドボックス化と呼ばれるプロセスが採用されています。つまり、デフォルトではアプリは自身のデータにのみアクセスでき、デバイスに変更を加えることはできません。アプリが他のアプリ(例えばサードパーティ製のカレンダーアプリなど)のデータにアクセスする必要がある場合、Appleが提供する特定のサービスを使用して許可を得た場合にのみアクセス可能です。
すべてのサードパーティ製アプリ(そしてほとんどのApple製アプリ)は非特権ユーザーとして実行され、OSにアクセスするにはAppleが作成したAPIを使用する必要があります。つまり、Appleが明示的に許可していない操作はアプリが実行できないため、OSに変更を加えたり、他のアプリを改変したり、自身の権限を昇格したりすることはできません。
5. サービスのセキュリティ
Apple は各サービスに対して広範囲にわたる個別のセキュリティ対策を採用しており、そのすべてをまとめることは現実的ではないため、iMessage を例に挙げます。
すべてのiMessageはエンドツーエンド暗号化を使用しているため、Appleでさえも解読できません。新しい相手にメッセージを送信すると、AppleはまずApple Identity Service(IDS)データベースで相手を検索します。そこから、相手の公開鍵と、登録されている各デバイスの一意の識別子を取得します。
メッセージは受信者のデバイスごとに個別に暗号化され、そのデバイスのみが認識する鍵が使用されます。写真などの添付ファイルの場合、添付ファイルはランダムに生成された256ビットの鍵で暗号化され、iCloudにアップロードされます。その後、リンクと鍵はiMessage自体と同じ形式で暗号化され、受信者のデバイスに送信されます。受信者のデバイスは、このデータを使用して添付ファイルをダウンロードし、復号化します。
6. ネットワークセキュリティ
サービスと同様に、Apple はネットワーク サービスの各要素に対して広範な保護対策を講じており、その詳細は非常に緻密です。
簡単に概要を説明すると、MACアドレスについて見てみましょう。無線ネットワークに接続できるすべてのデバイスには、MAC(メディアアクセス制御)アドレスと呼ばれる固有のアドレスが割り当てられています。このアドレスは、ネットワークが特定のデバイスを識別するために使用され、ハッカーがそれらを標的にするためにも使用される可能性があります。
プライバシー保護のため、Appleは実際のMACアドレスを隠し、代わりにランダムなMACアドレスを使用します。真のMACアドレスを特定できる技術が存在するため、Appleはこれを回避するための追加の保護手段を実装しています(ネットワークマニア向けに説明すると、タイミング同期機能にランダムなオフセットを設定することです)。
7. 開発キット
同様に、セキュリティとプライバシーは、HomeKit のような Apple の各「キット」フレームワークの中心にあります。
これを例に挙げると、AppleデバイスとHomeKit製品間のすべての通信はエンドツーエンド暗号化を使用しています。iPhoneを使ってHomeKit製品をネットワークに追加すると、ホームアプリはデバイスに対し、HomeKitまたはMatter認証の取得済みであることを証明するよう求めます。認証が完了すると、両者はコードを交換して、その特定のデバイスとの通信にのみ使用される固有のエンドツーエンド暗号化キーを作成します。
エンドツーエンドの暗号化は、コマンドだけでなく状態チェックも保護します。たとえば、電球は、ホームだけが知っているキーを使用してメッセージを暗号化しない限り、ホームアプリに電球のオン/オフを伝えることさえできません。
8. 安全なデバイス管理
最後に、Apple は企業が管理対象デバイスに独自のセキュリティ ポリシーを課すことを許可しています。
企業は、社内デバイスをリモートで設定・アップデートし、オペレーティングシステムに強制適用するルールを設定できます。例えば、会社がiPhoneを支給する際に、6桁の数字ではなく複雑なパスワードの使用を義務付け、会社の要件を満たさないパスワードはiPhoneで拒否されるように設定できます。また、特定のアプリのインストールをブロックすることもできます。管理対象デバイスは、リモートでデータを消去することも可能です。
これらは単なる例です。このドキュメントには、Apple のセキュリティに関する詳細なガイドが記載されています。

9to5MacはIncogniによって提供されています。 あなたの個人情報を詮索好きな目から守りましょう。Incogniを使えば、人物検索サイトを含むウェブ上のデータブローカーから、あなたの非常に機密性の高い情報を削除できます。Incogniは、電話番号、住所、メールアドレス、社会保障番号などの情報の流出を制限します。30日間返金保証で、望ましくないデータブローカーに対抗しましょう。
注目のアクセサリー
- Amazonの公式Appleストア
- Anker 511 Nano Pro 超小型iPhone充電器
- SpigenのiPhone 16e用MagFitケースがMagSafe対応に
- iPhone 16モデル用25W出力のApple MagSafe充電器
- 上記に対応するApple 30W充電器
- Anker 240W 編組 USB-C - USB-C ケーブル
UnsplashのMartin Sanchezによる写真
havebin.com を Google ニュース フィードに追加します。
FTC: 収益を生み出す自動アフィリエイトリンクを使用しています。詳細はこちら。