iCloudの高度なデータ保護
iCloudの高度なデータ保護は、Appleのクラウドデータの最高レベルのセキュリティを提供するオプションの設定です。ユーザが高度なデータ保護をオンにすると、大部分のiCloudのデータの暗号鍵にアクセスできるのはユーザ本人の信頼できるデバイスのみになるため、エンドツーエンドの暗号化によってデータが保護されます。高度なデータ保護をオンにしているユーザの場合、エンドツーエンドの暗号化を使用して保護されるデータカテゴリの総数は14から23に増え、iCloudバックアップ、「写真」、「メモ」などが対象に追加されます。
注記: 国や地域によっては、この機能を利用できない場合があります。
高度なデータ保護は、概念的にはシンプルです: デバイスで生成されたあと、Appleのデータセンターの認証後に使用できるiCloudハードウェアセキュリティモジュール(HSM)にアップロードされたすべてのCloudKitサービスキーは、それらのHSMから削除され、代わりにアカウントのiCloudキーチェーン保護ドメイン内に完全に保持されます。それらは、既存のエンドツーエンドで暗号化されたサービスキーのように処理されます。つまり、Appleがこれらのキーを読み取ったりアクセスしたりすることはできません。
高度なデータ保護は、第三者のデベロッパが暗号化済みとしてマークしたCloudKitフィールドとすべてのCloudKitアセットも、自動的に保護します。
高度なデータ保護を有効にする
ユーザが高度なデータ保護をオンにすると、ユーザの信頼できるデバイスは次の2つのアクションを実行します: まず、高度なデータ保護をオンにするというユーザの意図を、エンドツーエンドの暗号化に参加しているほかのデバイスに伝えます。これは、デバイスのローカルのキーで署名された新しい値をiCloudキーチェーンのデバイスメタデータに書き込むことによって行われます。Appleのサーバは、ユーザのほかのデバイスと同期している間、この証明を削除または変更することはできません。
次に、デバイスは認証後に使用できるサービスキーをAppleのデータセンターから削除し始めます。これらのキーはiCloud HSMによって保護されているため、この削除は即時かつ永久的で、元に戻すことはできません。キーが削除されると、Appleはユーザのサービスキーによって保護されたすべてのデータにアクセスできなくなります。この時点で、デバイスは非同期キーのローテーション操作を開始します。これにより、キーが以前にAppleのサーバで利用可能であったサービスごとに新しいサービスキーが作成されます。ネットワークの中断やその他のエラーが原因でキーのローテーションが失敗した場合、デバイスは成功するまでキーのローテーションを再試行します。
サービスキーのローテーションが成功すると、サービスに書き込まれた新しいデータを古いサービスキーで復号することはできなくなります。新しいデータは、ユーザの信頼できるデバイスによってのみ制御され、Appleに提供されたことがない新しいキーで保護されます。
高度なデータ保護とiCloud.comのWebアクセス
ユーザが最初に高度なデータ保護をオンにすると、iCloud.comのデータへのWebアクセスは自動的にオフになります。これは、iCloudのWebサーバが、ユーザのデータを復号して表示するために必要なキーにアクセスできなくなったためです。ユーザは、Webアクセスを再度オンにし、信頼できるデバイスの参加を使用することで、Web上の暗号化されたiCloudデータにアクセスできます。
Webアクセスをオンにしたあと、ユーザは、iCloud.comにアクセスするたびに、信頼できるデバイスのいずれかでWebサインインを承認する必要があります。この承認が、Webアクセスに備えてデバイスを「武装」します。次の1時間の間、このデバイスはAppleの特定のサーバから個々のサービスキーをアップロードする要求を受け入れますが、iCloud.comで通常アクセスできるサービスの許可リストに対応するものだけを受け入れます。つまり、ユーザがWebサインインを承認したあとでも、サーバ要求は、ユーザのデバイスに、iCloud.comでの表示が意図されていないデータ(「ヘルスケア」のデータやiCloudキーチェーンのパスワードなど)のサービスキーをアップロードさせることはできません。Appleのサーバは、ユーザがWeb上でアクセスを要求している特定のデータを復号するために必要なサービスキーのみを要求します。サービスキーは、アップロードされるたびにユーザが承認したWebセッションにバインドされた一時的なキーを使用して暗号化されます。ユーザのデバイスには通知が表示され、データがAppleのサーバで一時的に利用可能になっているiCloudサービスが示されます。
ユーザの選択を保持する
高度なデータ保護とiCloud.comのWebアクセスの設定は、ユーザのみが変更できます。これらの値は、ユーザのiCloudキーチェーンのデバイスメタデータに保存され、ユーザの信頼できるデバイスのいずれかからのみ変更できます。Appleのサーバは、ユーザに代わってこれらの設定を変更したり、以前の構成にロールバックしたりすることはできません。
共有と共同作業のセキュリティへの影響
ほとんどの場合、ユーザがコンテンツを共有して互いに共同作業を行うときに(例えば、共有メモ、共有リマインダー、iCloud Driveの共有フォルダ、iCloud共有写真ライブラリなど)、すべてのユーザが高度なデータ保護をオンにしている場合、Appleのサーバは共有を確立するためだけに使用され、共有データの暗号鍵にはアクセスできません。コンテンツはエンドツーエンドで暗号化されたままになり、参加者の信頼できるデバイスでのみアクセスできます。共有操作ごとに、受信ユーザにプレビューを表示するために、タイトルと代表的なサムネールが標準のデータ保護でAppleによって保存される場合があります。
共同作業を有効にするときに「リンクを知っている人はだれでも」オプションを選択すると、標準のデータ保護の下でAppleのサーバがコンテンツを利用できるようになります。これは、サーバはURLを開くすべての人がアクセスできるようにする必要があるためです。
iWorkの共同作業と「写真」の共有アルバム機能は、高度なデータ保護に対応していません。ユーザがiWork書類で共同作業を行うか、iCloud Driveの共有フォルダからiWork書類を開くと、書類の暗号鍵がAppleのデータセンターのiWorkサーバに安全にアップロードされます。これは、iWorkでのリアルタイムの共同作業では、参加者間の書類の変更を調整するためにサーバ側の仲介が必要になるためです。共有アルバムに追加された写真は、標準のデータ保護で保存されます。この機能により、アルバムをWeb上で公開して共有できるようになります。
高度なデータ保護を無効にする
ユーザは、高度なデータ保護をいつでもオフにすることができます。その場合は、以下のことが行われます:
1.ユーザのデバイスは、まず新しい選択内容をiCloudキーチェーンの参加メタデータに記録します。この設定はすべてのデバイスに安全に同期されます。
2.ユーザのデバイスは、認証後に使用できるすべてのサービスのサービスキーをAppleのデータセンターのiCloud HSMに安全にアップロードします。これには、標準のデータ保護の下でエンドツーエンドで暗号化されるサービス(iCloudキーチェーンや「ヘルスケア」など)のキーは含まれません。
デバイスは、高度なデータ保護がオンになる前に生成された元のサービスキーと、ユーザがこの機能をオンにしたあとに生成された新しいサービスキーの両方をアップロードします。これにより、認証後にこれらのサービスのすべてのデータにアクセスできるようになり、アカウントは標準のデータ保護に戻り、ユーザがアカウントにアクセスできなくなった場合に、Appleはユーザがデータの大部分を復旧するための支援を再度行えるようになります。
高度なデータ保護の対象外のiCloudデータ
グローバルなメール、連絡先、およびカレンダーシステムと相互運用する必要があるため、iCloudのメール、連絡先、およびカレンダーはエンドツーエンドで暗号化されません。
高度なデータ保護がオンになっている場合でも、iCloudはユーザ固有のCloudKitサービスキーの保護なしで一部のデータを保存します。CloudKitレコードフィールドは、保護されるコンテナのスキーマで明示的に「暗号化済み」と宣言する必要があり、暗号化されたフィールドの読み取りと書き込みには、専用のAPIを使用する必要があります。ファイルやオブジェクトが変更された日付と時刻は、ユーザの情報を並べ替えるために使用され、ファイルと写真データのチェックサムは、ファイルや写真自体にアクセスしなくても、AppleがユーザのiCloudとデバイスのストレージの重複を排除して最適化できるようにするために使用されます。 特定のデータカテゴリに対して暗号化がどのように使用されるかについて詳しくは、Appleサポートの記事「iCloudのデータセキュリティの概要」を参照してください。
データの重複排除のためのチェックサムの使用(収束暗号化と呼ばれるよく知られた手法)などの決定は、iCloudサービスが開始された当初の設計の一部でした。このメタデータは常に暗号化されますが、暗号鍵はAppleによって標準のデータ保護で保存されます。すべてのユーザのセキュリティ保護を引き続き強化するために、Appleでは、高度なデータ保護がオンになっている場合に、この種のメタデータを含むより多くのデータがエンドツーエンドで暗号化されるようにすることに取り組んでいます。
高度なデータ保護の要件
iCloudの高度なデータ保護をオンにするための要件は、次の通りです:
ユーザのアカウントは、エンドツーエンドの暗号化に対応する必要があります。エンドツーエンドの暗号化には、Apple Accountの2ファクタ認証と、信頼できるデバイスに設定されたパスコードまたはパスワードが必要です。詳しくは、Appleのサポート記事「Apple Accountの2ファクタ認証」を参照してください。
ユーザが自分のApple Accountでサインインしているデバイスは、iOS 16.2以降、iPadOS 16.2以降、macOS 13.1以降、tvOS 16.2以降、watchOS 9.2以降、および最新バージョンのiCloud for Windowsにアップデートする必要があります。この要件により、以前のバージョンのiOS、iPadOS、macOS、tvOS、またはwatchOSが、誤ってアカウントの状態を修復しようとして、新しく作成されたサービスキーを認証後に使用できるHSMに誤って再アップロードすることで誤って処理することを防ぎます。
ユーザは、自分のアカウントにアクセスできなくなった場合にiCloudデータを復元するために使用できる代替の復旧方法(1つまたは複数の復旧用連絡先または復旧キー)を少なくとも1つ設定する必要があります。
復旧用連絡先の情報が古くなっている場合やユーザがその情報を忘れた場合など、復旧方法が失敗した場合、Appleはユーザのエンドツーエンドで暗号化されたiCloudデータを復元することはできません。
iCloudの高度なデータ保護は、Apple Accountに対してのみオンにすることができます。管理対象Apple Accountとお子様用アカウント(国または地域によって異なります)には対応していません。