Appleデバイスで内蔵のネットワークセキュリティ機能を使用する
Appleデバイスでは、ユーザの認証とデータ転送中のデータ保護を実現する、組み込みのネットワーク・セキュリティ・テクノロジーが採用されています。Appleデバイスのネットワークセキュリティは以下に対応しています:
内蔵のIPsec、IKEv2、L2TP
App Storeのアプリを使用したカスタムVPN(iOS、iPadOS、visionOS)
他社製VPNクライアントを使用したカスタムVPN(macOS)
Transport Layer Security(TLS 1.0、TLS 1.1、TLS 1.2、TLS 1.3)およびDTLS
X.509証明書を使用したSSL/TLS
802.1Xを使用したWPA/WPA2/WPA3エンタープライズ
証明書ベースの認証
共有シークレットおよびKerberos認証
RSA SecurID、CRYPTOCard(macOS)
iOS、iPadOS、macOS、およびtvOSのネットワークリレー
iOS 17、iPadOS 17、macOS 14、およびtvOS 17以降で新しい内蔵リレーを使用することで、VPNの代替として暗号化されたHTTP/3またはHTTP/2接続を使用し、トラフィックのセキュリティを保護することができます。ネットワークリレーは、パフォーマンス用に最適化され、最新のトランスポートおよびセキュリティプロトコルを使用する、特殊なタイプのプロキシです。特定のアプリ、デバイス全体、内部リソースにアクセスする際のTCPおよびUDPトラフィックを保護するために使用できます。iCloudプライベートリレーを含む複数のネットワークリレーを並行して使うことができます。アプリは必要ありません。詳しくは、ネットワークリレーを使用するを参照してください。
VPNとIPsec
多くの企業環境に、何らかの形態の仮想プライベートネットワーク(VPN)があります。こうしたVPNサービスでは、通常、最小限の設定と構成だけで、Appleデバイスを統合することができます。Appleデバイスは、多くの一般的なVPNテクノロジーと統合できます。
iOS、iPadOS、macOS、tvOS、watchOS、およびvisionOSは、IPsecプロトコルと認証方法に対応しています。詳しくは、「VPNの概要」を参照してください。
TLS
SSL 3暗号化プロトコルとRC4共通鍵暗号スイートは、iOS 10とmacOS 10.12では推奨されません。デフォルトでは、SecureTransport APIで実装されたTLSクライアントまたはサーバでRC4暗号スイートが有効になっていません。このため、使用できる暗号スイートがRC4のみである場合は接続ができません。安全性を高めるには、RC4を必要とするサービスまたはアプリをアップグレードして、暗号スイートを有効にします。
そのほかのセキュリティ機能の強化:
SMB接続に必要な署名(macOS)
macOS 10.12以降では、Kerberos対応NFSの暗号化方式としてAESをサポート(macOS)
Transport Layer Security(TLS 1.2、TLS 1.3)
TLS 1.2でAES 128とSHA-2の両方をサポート。
SSL 3(iOS、iPadOS、visionOS)
DTLS(macOS)
Safari、カレンダー、メールなどのインターネットアプリでは、これらを使用して、iOS、iPadOS、macOS、およびvisionOSと企業サービスの間の通信チャンネルの暗号化を有効にしています。
EAP-TLS、EAP-TTLS、PEAP、およびEAP-FASTを使う802.1Xネットワークペイロードの最小および最大のTLSバージョンも設定できます。例えば、以下のように設定できます:
両方を特定の同じTLSバージョンに設定します
TLS最小バージョンを低い値、TLS最大バージョンを高い値に設定し、そのあとにRADIUSサーバとネゴシエーションを行います
値を設定しません。これにより、TLSバージョンについては802.1XサプリカントがRADIUSサーバとネゴシエーションを行います
iOS、iPadOS、macOS、およびvisionOSでは、サーバのリーフ証明書をSHA-2系の署名アルゴリズムを使って署名し、2048ビット以上のRSAキーまたは256ビット以上のECCキーを使用する必要があります。
iOS 11、iPadOS 13.1、macOS 10.13、およびvisionOS 1.1以降では、802.1X認証にTLS 1.2を使用できるようになります。TLS 1.2をサポートする認証サーバは、互換性を確保するために以下のアップデートが必要になることがあります:
Cisco: ISE 2.3.0
FreeRADIUS: バージョン2.2.10および3.0.16にアップデート。
Aruba ClearPass: バージョン6.6.xにアップデート。
ArubaOS: バージョン6.5.3.4にアップデート。
Microsoft: Windows Server 2012 - ネットワーク・ポリシー・サーバ。
Microsoft: Windows Server 2016 - ネットワーク・ポリシー・サーバ。
802.1Xについて詳しくは、Appleデバイスを802.1Xネットワークに接続するを参照してください。
WPA2/WPA3
すべてのAppleプラットフォームでは業界標準のWi-Fi認証および暗号化プロトコルをサポートしているので、以下の保護されたワイヤレスネットワークへの認証を用いたアクセスと機密保持を提供します:
WPA2パーソナル
WPA2エンタープライズ
WPA2/WPA3トランジショナル
WPA3パーソナル
WPA3エンタープライズ
WPA3エンタープライズ192ビットセキュリティ
802.1Xワイヤレス認証プロトコルのリストを表示するには、Mac用802.1X構成を参照してください。
FaceTimeとiMessageの暗号化
iOS、iPadOS、macOS、およびvisionOSでは、FaceTimeとiMessageの各ユーザに固有のIDを作成することで、通信の適切な暗号化、ルーティング、接続を確保します。