Appleプラットフォームのセキュリティ
macOSでのアプリからファイルへのアクセスの制御
Appleは、アプリがユーザのデータをどのように扱うかについて、ユーザがすべて理解し、同意し、制御できるべきであると信じています。macOS 10.15以降では、システムによってこのモデルが適用されて、すべてのアプリが書類、ダウンロード、デスクトップ、iCloud Drive、およびネットワークボリュームにあるファイルにアクセスする前にユーザの同意を得ていることが保証されます。
macOS 10.13以降では、フルストレージデバイスへのアクセスが必要なアプリは、「システム設定」(macOS 13以降)または「システム環境設定」(macOS 12以前)で明示的に追加する必要があります。加えて、アクセシビリティおよびオートメーション機能では、ほかの保護を回避させないために、ユーザの許可が必要になります。アクセスポリシーに応じて、ユーザは以下の場所で設定を変更するように要求される場合があります:
macOS 13以降の場合: 「システム設定」>「プライバシーとセキュリティ」>「プライバシー」
macOS 12以前の場合: 「システム環境設定」>「セキュリティとプライバシー」>「プライバシー」
項目 | アプリからユーザへのメッセージ | ユーザがシステムのプライバシー設定を編集しなければならない |
|---|---|---|
アクセシビリティ |
|
|
フルディスクアクセス |
|
|
ファイルとフォルダ 注記: デスクトップ、書類、ダウンロード、ネットワークボリューム、およびリムーバブルボリュームを含みます |
|
|
オートメーション(Apple Events) |
|
|
MacでFileVaultをオンにしているユーザは、ブートプロセスを続行し、特化した起動モードへのアクセスを得るために有効な資格情報の入力が必要になります。有効なログイン資格情報や復旧キーがなければ、ボリューム全体は暗号化されたままで、物理ストレージデバイスを取り外して別のコンピュータに接続し直しても、不正アクセスからの保護が維持されます。
エンタープライズ環境では、データを保護するために、IT部門がモバイルデバイス管理(MDM)を使用してFileVaultの構成ポリシーを定義し、適用することが推奨されます。組織が暗号化ボリュームを管理する方法は、組織の復旧キー、個人の復旧キー(オプションでエスクロー用にMDMで保存可能)、それらの組み合わせなど、複数あります。キーローテーションもMDMでポリシーとして設定できます。