アプリのセキュリティの概要
現在、アプリはセキュリティアーキテクチャにおいて最も重要な要素の1つです。アプリは生産性においてすばらしいメリットをもたらすと同時に、適切に扱わないと、システムのセキュリティ、安定性、およびユーザデータに悪影響を及ぼす可能性があります。
このため、Appleでは複数の保護レイヤーを構築し、アプリが既知のマルウェアに感染していないこと、および改ざんされていないことを保証しています。アプリからユーザデータへのアクセスを注意深く仲介するための追加の保護も適用されます。これらのセキュリティ制御によって安定した安全なアプリプラットフォームが提供されているので、何千人ものデベロッパによるiOS、iPadOS、macOS、tvOS、watchOS、およびvisionOS用の数十万ものアプリを、システムの整合性を損なうことなく配信することが可能になっています。それにより、ユーザも、ウイルス、マルウェア、不正な攻撃などを過度に心配することなく、Appleデバイス上のこれらのアプリに安心してアクセスできるようになります。
最も厳重な制御を行うため、iPhoneとiPadでは、すべてのアプリはApp Storeから取得され、かつサンドボックス化されます。デジタル市場法の要件を反映するため、EU域内のユーザはアプリを別のアプリマーケットプレイスからインストールしたり正規デベロッパのWebサイトから直接インストールしたりすることができますが、これによってセキュリティのレベルは低下します。Appleでは次のような保護を導入しています(ここに挙げられていない保護もあります):
アプリの公証
マーケットプレイスデベロッパの認定
代替決済手段に関する情報開示
これらの保護により、リスクを低減し、EU域内のユーザに可能な限り最善で最も安全性の高い体験を提供することができます。これらの保護措置を実施しても、多くのリスクが残ります。詳しくは、Apple DeveloperのWebサイトの「欧州連合で配布されるアプリに関する最新情報」を参照してください。
Macでは、多くのアプリがApp Storeから取得されますが、Macユーザはインターネットからもアプリをダウンロードして使用します。インターネットからのダウンロードを安全にサポートするため、macOSには制御層がさらに追加されています。まず、macOS 10.15以降、Appleからの公証を受けていないMacアプリはデフォルトで起動できなくなります。この要件により、App Storeで提供されているアプリでなくても、それらのアプリが既知のマルウェアに感染していないことが保証されます。さらに、macOSには、マルウェアをブロックし、必要に応じて削除するための最先端のアンチウイルス保護が含まれています。
アプリによる不正アクセスからユーザデータを保護するのに有効なサンドボックス化が、プラットフォーム全体にわたるさらなる制御をもたらします。さらにmacOSでは、重要な領域内のデータ自体が保護されます。その結果、アクセスしようとしているアプリがサンドボックス化されているかどうかにかかわりなく、デスクトップ、書類、ダウンロード、その他の領域にあるファイルへのすべてのアプリからのアクセスをユーザが確実に制御し続けることができます。
ネイティブの機能 | 他社製の同等機能 |
|---|---|
プラグイン未承認リスト、Safari機能拡張未承認リスト | ウイルス/マルウェア定義 |
ファイルの隔離 | ウイルス/マルウェア定義 |
XProtect/YARAシグネチャ | ウイルス/マルウェア定義。エンドポイント保護 |
Gatekeeper | エンドポイント保護: アプリのコード署名を徹底させることで、信頼されたソフトウェアのみが動作することを保証 |
eficheck (Apple T2セキュリティチップを搭載していないMacの場合は必須) | エンドポイント保護。ルートキットの検出 |
アプリケーションファイアウォール | エンドポイント保護。ファイアウォール機能 |
パケットフィルタ(PF) | ファイアウォールソリューション |
システム整合性保護 | macOS内蔵 |
強制アクセス制御 | macOS内蔵 |
kext除外リスト | macOS内蔵 |
必須のアプリコード署名 | macOS内蔵 |
アプリの公証 | macOS内蔵 |