アプリのセキュリティの概要
現在、アプリはセキュリティアーキテクチャにおいて最も重要な要素の1つです。アプリは生産性においてメリットをもたらすと同時に、適切に扱わないと、システムのセキュリティ、安定性、およびユーザデータに悪影響を及ぼす可能性があります。
このため、Appleでは複数の保護レイヤーを構築し、アプリが既知のマルウェアに感染していないこと、および改ざんされていないことを保証しています。アプリからユーザデータへのアクセスを注意深く仲介するための追加の保護も適用されます。これらのセキュリティ制御によって安定した安全なアプリプラットフォームが提供されているので、何千人ものデベロッパによるiOS、iPadOS、macOS、tvOS、visionOS、およびwatchOS用の数十万ものアプリを、システムの整合性を損なうことなく配信することが可能になっています。それにより、ユーザも、ウイルス、マルウェア、不正な攻撃などを過度に心配することなく、Appleデバイス上のこれらのアプリに安心してアクセスできるようになります。
iPadとiPhoneの設計原理は、配信の一元管理、コード署名、厳格なサンドボックス化によって最も厳重な制御を実施することに重点を置いています。デジタル市場法の要件を反映するため、欧州連合(EU)域内のユーザはアプリを別のアプリマーケットプレイスからインストールしたり正規デベロッパのWebサイトから直接インストールしたりすることができますが、これによってリスクが増大します。Appleでは次のような保護を導入しています(ここに挙げられていない保護もあります):
アプリの公証
マーケットプレイスデベロッパの認定
代替決済手段に関する情報開示
アプリに関するAppleの検証を受けた情報をユーザに提供する確認手段のインストール
これらの保護により、リスクを低減し、EU域内のユーザに可能な限り最善で最も安全性の高い体験を提供することができます。これらの保護が導入されていても、マルウェア、不正行為や詐欺、違法な有害コンテンツ、その他のプライバシーとセキュリティに対する脅威がますます蔓延するなど、数多くのリスクが依然として存在します。詳しくは、Apple DeveloperのWebサイトの「欧州連合で配布されるアプリに関する最新情報」を参照してください。
Macでは、多くのアプリがApp Storeから取得されますが、Macユーザはインターネットからもアプリをダウンロードして使用します。インターネットからのダウンロードを安全にサポートするため、macOSには制御層がさらに追加されています。まず、macOS 10.15以降、Appleからの公証を受けていないMacアプリはデフォルトで起動できなくなります。この要件により、App Storeで提供されているアプリでなくても、それらのアプリが既知のマルウェアに感染していないことが保証されます。さらに、macOSには、マルウェアをブロックし、必要に応じて削除するための最先端のアンチウイルス保護が含まれています。
アプリによる不正アクセスからユーザデータを保護するのに有効なサンドボックス化が、プラットフォーム全体にわたるさらなる制御をもたらします。さらにmacOSでは、重要な領域内のデータ自体が保護されます。その結果、アクセスしようとしているアプリがサンドボックス化されているかどうかにかかわりなく、デスクトップ、書類、ダウンロード、その他の領域にあるファイルへのすべてのアプリからのアクセスをユーザが確実に制御し続けることができます。
ネイティブの機能 | 他社製の同等機能 |
|---|---|
アプリの公証 | macOS内蔵 |
kext除外リスト | macOS内蔵 |
強制アクセス制御 | macOS内蔵 |
必須のアプリコード署名 | macOS内蔵 |
システム整合性保護 | macOS内蔵 |
Gatekeeper | エンドポイント保護: アプリのコード署名を徹底させることで、信頼されたソフトウェアのみが動作することを保証 |
アプリケーションファイアウォール | エンドポイント保護。ファイアウォール機能 |
eficheck (Apple T2セキュリティチップを搭載していないMacの場合は必須) | エンドポイント保護。ルートキットの検出 |
パケットフィルタ(PF) | ファイアウォールソリューション |
ファイルの隔離 | ウイルス/マルウェア定義 |
プラグイン未承認リスト、Safari機能拡張未承認リスト | ウイルス/マルウェア定義 |
XProtect/YARAシグネチャ | ウイルス/マルウェア定義。エンドポイント保護 |