Appleプラットフォームのセキュリティ
iCloudのセキュリティの概要
iCloudにユーザの連絡先、カレンダー、写真、書類などを保存すると、ユーザのすべてのデバイスでこれらの情報を自動的に最新の状態に維持できます。他社製アプリもiCloudを使って、書類や、デベロッパによって定義されたアプリデータのキー値の保存および同期を行えます。ユーザはApple Accountでサインインし、使用したいサービスを選択してiCloudを設定します。iCloud DriveなどのiCloudの特定の機能、およびiCloudバックアップは、IT管理者がモバイルデバイス管理(MDM)構成プロファイルを使って無効にすることができます。
iCloudは強力なセキュリティ方式を使用し、ユーザデータを保護するために厳格なポリシーを採用しています。ほとんどのiCloudデータは、まずデバイスで生成されたiCloudのキーを使用してユーザのデバイス上で暗号化されてから、iCloudサーバにアップロードされます。エンドツーエンドで暗号化されていないデータの場合は、ユーザのデバイスでこれらのiCloudのキーがAppleのデータセンターのiCloudハードウェアセキュリティモジュールに安全にアップロードされます。これにより、Appleはユーザのデータ復旧を支援し、必要なとき(新しいデバイスにサインインするとき、バックアップから復元するとき、またはWeb上のiCloudデータにアクセスするときなど)にいつでもユーザに代わってデータを復号できます。ユーザのデバイスとiCloudサーバ間を移動するデータは、転送時にTLSで個別に暗号化され、iCloudサーバでは、保存時に追加の暗号化レイヤーを使用してユーザデータが保存されます。
暗号鍵は、Appleが利用できる場合はAppleのデータセンターで保護されます。他社のデータセンターに保存されたデータを処理する際、これらの暗号鍵にアクセスするのは、安全なサーバ上で実行されるApple製ソフトウェアのみであり、必要な処理が実行されている間に限られます。プライバシーとセキュリティの強化のために、多くのAppleサービスではエンドツーエンドの暗号化を使用しています。これは、iCloudデータにはユーザ本人のみが、自分のApple Accountでサインインした信頼できるデバイスからのみアクセスできることを意味します。
Appleは、iCloudに保存するデータを暗号化して保護するための2つのオプションをユーザに提供しています:
標準のデータ保護(デフォルト設定): ユーザのiCloudデータは暗号化され、暗号鍵はAppleのデータセンターで保護され、Appleはデータとアカウントの復旧を支援できます。特定のiCloudデータ(iCloudキーチェーンのヘルスケアデータとパスワードを含む14のデータカテゴリ)のみがエンドツーエンドで暗号化されます。
iCloudの高度なデータ保護: Appleのクラウドデータの最高レベルのセキュリティを提供するオプションの設定。ユーザが高度なデータ保護をオンにすると、大部分のiCloudのデータの暗号鍵にアクセスできるのはユーザ本人の信頼できるデバイスのみになるため、エンドツーエンドの暗号化によってデータが保護されます。ユーザが高度なデータ保護をオンにすると、エンドツーエンドの暗号化を使用するデータカテゴリの数が23に増え、ユーザのiCloudバックアップ、「写真」、「メモ」などが対象に追加されます。
エンドツーエンドの暗号化で保護されるiCloudデータのカテゴリは、Appleサポートの記事「iCloudのデータセキュリティの概要」に記載されています。