Appleプラットフォームのセキュリティ
- ようこそ
- Appleプラットフォームのセキュリティの概要
- 用語集
- 改訂履歴
- 著作権および商標
macOSでのアプリからファイルへのアクセスの制御
Appleは、アプリがユーザのデータをどのように扱うかについて、ユーザがすべて理解し、同意し、制御できるべきであると信じています。macOS 10.15以降では、システムによってこのモデルが適用されて、すべてのアプリが書類、ダウンロード、デスクトップ、iCloud Drive、およびネットワークボリュームにあるファイルにアクセスする前にユーザの同意を得ていることが保証されます。
macOS 10.13以降では、フルストレージデバイスへのアクセスが必要なアプリは、「システム設定」(macOS 13以降)または「システム環境設定」(macOS 12以前)で明示的に追加する必要があります。加えて、アクセシビリティおよびオートメーション機能では、ほかの保護を回避させないために、ユーザの許可が必要になります。アクセスポリシーに応じて、ユーザは以下の場所で設定を変更するように要求される場合があります:
macOS 13以降の場合: 「システム設定」>「プライバシーとセキュリティ」>「プライバシー」
macOS 12以前の場合: 「システム環境設定」>「セキュリティとプライバシー」>「プライバシー」
項目 | アプリからユーザへのメッセージ | ユーザがシステムのプライバシー設定を編集する必要がある |
|---|---|---|
アクセシビリティ |
|
|
フルディスクアクセス |
|
|
ファイルとフォルダ 注記: デスクトップ、書類、ダウンロード、ネットワークボリューム、およびリムーバブルボリュームを含みます |
|
|
オートメーション(Apple Events) |
|
|
MacでFileVaultをオンにしているユーザは、ブートプロセスを続行し、特化した起動モードへのアクセスを得るために有効な資格情報の入力が必要になります。有効なログイン資格情報や復旧キーがなければ、ボリューム全体は暗号化されたままで、物理ストレージデバイスを取り外して別のコンピュータに接続し直しても、不正アクセスからの保護が維持されます。
エンタープライズ環境では、データを保護するために、IT部門がデバイス管理サービスを使用してFileVaultの構成ポリシーを定義し、適用することが推奨されます。組織の場合、暗号化されたボリュームの管理方法には、組織の復旧キー、個人の復旧キー(任意でデバイス管理サービスに保存してエスクロー可能)、その両方の組み合わせなど、複数のオプションがあります。復旧キーのローテーションをデバイス管理サービスのポリシーとして設定することもできます。