Appleプラットフォームのセキュリティ
暗号化とデータ保護の概要
セキュアブートチェーン、システムのセキュリティ、アプリのセキュリティはすべて、信頼されたコードとアプリのみをデバイスで実行するために有効な機能です。デバイスを紛失したり、信頼されていないコードを実行するなど、セキュリティインフラストラクチャのほかの部分が侵害された場合でも、Appleデバイスはユーザデータを保護するための暗号化機能を搭載しています。これらすべての機能により、個人や企業の情報が保護されるほか、デバイスの盗難または紛失時にも迅速かつ完全にリモートワイプを実行できる手段が提供されるため、ユーザとIT管理者の双方がメリットを得ることができます。
iPhone、iPad、およびApple Vision Proでは、「データ保護」と呼ばれるファイル暗号化方式が使用されます。一方、Intelプロセッサ搭載Macでは、「FileVault」と呼ばれるボリューム暗号化技術によってデータが保護されます。Appleシリコン搭載Macは、データ保護をサポートするハイブリッドモデルを採用しており、これには2つの注意点があります。最も低い保護レベル(クラスD)はサポートされません。また、デフォルトのレベル(クラスC)はボリュームキーを使用し、Intelプロセッサ搭載MacでのFileVaultと同じように動作します。いずれの場合も、鍵管理階層はSecure Enclaveの専用シリコンと、高速な暗号化をサポートする専用のAESエンジンに基づき、侵害を受けるリスクがあるカーネルオペレーティングシステムやCPUに存続期間の長い暗号鍵が公開されない仕組みを確立しています。(Intelプロセッサ搭載Macのうち、T1チップを搭載しているものやSecure Enclaveを搭載していないものでは、FileVault暗号鍵を保護するために専用シリコンは使用されません。)
データ保護とFileVaultを使用してデータへの不正アクセスを防止するだけでなく、Appleのオペレーティングシステムのカーネルによって保護機能とセキュリティ機能が適用されます。カーネルは、サンドボックス化したアプリのアクセス制御と(これによってアプリがアクセスできるデータが制限されます)、Data Vaultと呼ばれるメカニズム(アプリによる呼び出しを制限する代わりに、アプリのデータに対するその他のアプリからのアクセスを制限します)も使用します。