リスク排除の設計と、ユーザ体験のバランスが命！社用携帯の iPhone にセキュリティソフトは必要？

企業で導入している iPhone、セキュアに便利に使える環境になっていますか？

iPhone をはじめとするスマートフォンは、今や一昔前の PC と遜色ない作業を処理し、大量のデータを保持することが可能です。働き方が多様化する中で、オフィス外から業務システムにアクセスするデバイスとしても、欠かせないものとなっています。

一方で、セキュリティ面で PC と同等に、かつスマートフォンの特色に意識を割いて対策できている、という企業はまだ少ないのではないでしょうか。
iPhoneに対してウイルス対策やセキュリティソフトは必要なのか、どこまでやるべきなのか、対応を迷っていませんか？

社員に支給しているスマートフォンについては、
「ガチガチのセキュリティで一部システムしかアクセスできない」「出来ることが限られすぎて利用する気にならない」
もしくは
「紛失時の対応と最低限のセキュリティ設定のみ」「半ば BYOD で不安なまま使っている」
といった、両極端のご相談をよく伺います。

セキュリティを縛りすぎて利便性を失ったり、最低限のポリシーしか作ることができていなかったり……という状況は、シャドーIT に繋がる可能性もあり、企業の信頼を失いかねないリスクがあります。

この記事ではiPhoneに標準で備わるセキュリティ機能と組織利用で不足するところを整理してみます。

セキュリティを重視して開発され、社用携帯としてもよく選択肢となる iPhone を例に、管理をどのように考えていくべきかというヒントを提供できれば幸いです。

iPhone に備わるセキュリティ
標準セキュリティだけではどこが不足する？
- デバイス管理ツール（MDM）による解決
- モバイル向けセキュリティソフトによる解決
まとめ

iPhone に備わるセキュリティ

まずは iPhone に標準で備わるセキュリティを、ハードウェア、iOS、アプリケーションの 3 つに分けてご紹介します。

1. ハードウェアのセキュリティ

Appleのハードウェアには、生体認証機能が備わっています。
「生体認証（Face IDやTouch ID）」を用いれば、iPhoneのパスコードの入力をせずとも、iPhoneに顔を向ける、Touch IDであれば指を触れることで簡単にロックを解除することができます。この生体認証は、iPhone内のパスワードやアカウント情報を管理するキーチェーン機能を安全に保護する役割も担っています。

そして、生体認証の情報は「Secure Enclave」という先進的なセキュリティシステムで管理されています。指紋や顔のデータはこのシステム内だけで保管し、デバイス上のOSやアプリケーション、インターネットなどからはアクセスできないようになっています。

パスコードを何度も入力する手間をかけさせればセキュリティは向上するものの、反面でパスコードの簡易化や使い回しといった、人間ならではのリスクが生まれてしまいます。

そのため、2013年のiPhone 5sへのTouch ID搭載以降、Appleのハードウェアはパスコードの入力を省きつつ、内部の重要情報を守ることができる先進的な工夫がなされているのです。

2. iOSのセキュリティ

iOSには、パスコードやApple IDへのアクセス保護、ロックダウンモードといった機能が備わっています。一つずつ見ていきましょう。

パスコード

パスコードの設定はiOSによる暗号化の面で重要な役割を持ちます。デバイスの利用やソフトウェアのアップデートなど、重要な情報が関わる場面では必ずパスコードが要求されます。

他者が勝手に解除しようと総当たりで試行したとしても問題ありません。一定回数パスコードを間違えると再び入力できるまで待ち時間が発生し、その回数が増えるほど待ち時間が長くなるような仕組みになっています。

Apple IDへのアクセス保護

Apple IDとは、App StoreやApple Music、Face TimeなどAppleコンテンツへのアクセスの際に要求される、重要な情報を多く含むアカウントです。

Apple IDへのアクセス自体にもパスワードが必要であり、以下のような条件によって複雑性を持たせるよう工夫がなされています。

8文字以上である
英字と数字の両方を含んでいる
同一文字を3文字以上連続して使用しない
よく使用されるパスワードではない

Apple IDのパスワードを他の人に知られてしまった！という場合も、2ファクタ認証によって防ぐことができます。

2ファクタ認証とは、別のデバイスからApple IDへアクセスする際、パスワードに加えて要求する二重方式の認証です。具体的には、信頼できるiPhoneに表示される「このiPhoneでのアクセスを許可するか」といったポップアップから「許可する」を選択時、または信頼できる電話番号宛に送られた6桁の確認コードを入力することで認証されます。

つまり、Apple IDにアクセスできるのは、パスワードを知っており、ユーザのiPhone（信頼されたiPhone）が手元にある人だけ、ということです。

更に、企業や教育機関で利用できる管理対象Apple IDは、更に法人向けのセキュリティ機能を持っています。通常のApple IDのセキュリティに加え、管理者によって、管理対象Apple IDによる各サービスへのアクセス権を設定することもできるのです。

まとめて管理することで手間も省け、社員による不必要なサービスへのアクセスから起こる情報漏洩などを防ぐことができます。

管理対象Apple IDとは？通常リンク

ロックダウンモード

ロックダウンモードとは、サイバー攻撃の標的になった場合や、なっていると懸念される場合にセキュリティをより強化することができる機能です。

Appleでは「国家によって支援されたスパイウェア」から攻撃を受ける恐れのあるユーザを対象としており、使用するタイミングは滅多にありませんが、もしもの時に重要な役割を果たすかもしれません。

このモードをオンにするとiPhoneの一部機能に制限がかかってしまいますが、制限によって高度な攻撃から守られます。例えば、メッセージに添付されるほとんどのファイルがブロックされたり、写真アプリの他人と共有できるアルバムが使用不可になったりします。

このように、組織の「もしも」を想定した機能もiPhoneには備わっています。

3. アプリケーションのセキュリティ

アプリケーションのセキュリティ保護は、主にApp Storeが担っています。
基本的にiPhoneのアプリは、Appleの公式アプリストアであるApp Storeからダウンロードする仕組みです。App Storeにて公開前のアプリは審査され、厳しいAppleのガイドラインに従い事前に脅威を排除されます。複数の保護機能によって、アプリのマルウェア感染や改ざんが無いように何重にもチェックが行われるのです。

公式ストア以外からのアプリダウンロード（サイドローディング）は、デバイスの保護下にない場所での情報のやり取りが行われセキュリティのリスクが懸念されるためこのような仕様になっているのですが、iOS 17.4以降のデバイスにはEU (欧州連合) 諸国でのみ限定的にサイドローディングが許可されることになりました。

この変更は欧州連合デジタル市場法(DMA)に対応したもので、EUで作ったApple IDを使うことで、外部のマーケットプレイスからアプリをダウンロードできるようになります。
今後、他の地域でも同じような流れができていくのか、注目が集まるところです。

続いて、企業で利用する場面で、セキュリティ面で不足すると思われる部分を考えてみたいと思います。

標準セキュリティだけではどこが不足する？

企業や教育機関などの組織で、標準セキュリティだけではどうしても防ぎきれない部分はどこでしょう。

例えば、不注意や内部不正から情報漏えいが起きる場合です。この脅威はiPhone自体の問題ではなく、データやデバイスを取り扱う際のヒューマンエラーなどをきっかけに起こる可能性があります。

また、外部と通信する際のネットワークが狙われるリスクや、悪意のある攻撃を受けるリスクもあります。iPhoneに届いたSMSからふとアクセスしたサイト経由で、フィッシングやマルウェアの被害に遭う可能性が潜んでいるのです。

こうした可能性に対しては、社用携帯として用いてデータ通信を行う以上、対処を検討しておくべきです。

デバイス管理ツール（MDM）とセキュリティツールを利用することである程度解決することができます。
例えばJamf製品はApple製品を企業で使うための代表的な管理ツールです。適切なツールの利用でヒューマンエラーの少ない管理が可能になり、管理者の負担も軽くなります。

デバイス管理ツール（MDM）による解決

Jamf Proというデバイス管理ツール（MDM）を使えば、管理下にあるデバイスを一覧で見ることができ、現在のOSやアプリのインストール状況などを一台一台確認することが可能です。

また、パスコード設定の強制に加えて文字数や更新頻度といった追加条件の設定、カメラやAirDropといったiPhoneに備わるアプリや機能の制限、指定したアプリのインストール制限といった、独自のポリシーを適用することもできます。

また、Automated Device Enrollmentという仕組みを使うことで、何度デバイスをリセットしてもネットワーク接続時点で自動的にポリシーが適用されるため、ユーザ側の操作で管理環境から逃れてしまうことを防げます。

万が一iPhoneを紛失してしまった場合も、MDMがあれば遠隔で一時的にロックをかけたりデバイスの情報を消去したりすることもできます。

システムで制限を強制することによって内部不正への対応にもなり、脅威へのリスクを大幅に減らすことに繋がりますね。

モバイル向けセキュリティソフトによる解決

また、Jamf Protectというセキュリティソフトでモバイルデバイスに対する脅威の検知、対処を行えます。

Jamf Protect自体は本来、Macに特化したエンドポイントセキュリティの側面が強いツールなのですが、2024年8月に「Jamf Mobile Security」として、下記のモバイルデバイスセキュリティに特化した機能を切り出した製品が登場しました。

ユーザによる、禁止もしくはリスクがあるコンテンツへのアクセスを防ぐコンテンツフィルタリングは、「Wi-Fi通信では許可するがセルラー通信では制限する」など、150を超える豊富なカテゴリから柔軟なグループごとの利用ルールを作成できます。

また攻撃への対処として、高度な機械学習により、既知および新しいフィッシング攻撃、クリプトジャッキング、リスクの高いまたは悪意のあるドメインへのアクセスを防ぎます。

公衆Wi-Fi といったインターネットトラフィックを傍受する中間者攻撃の防御や、暗号化されたセキュアな社内リソースへのアクセスが可能な次世代VPN 環境構築、条件付きアクセスによる高速なゼロトラストアクセスといった、セキュリティを担保しつつ業務利用をサポートするような機能も備わっています。
これまでは一括で制限していた項目も、見直すことができるのではないでしょうか。

ネットワーク関係以外にも、不審なアプリのチェックやOS 脆弱性のレポート、データ通信量を分析し上限を設定する機能などが備わっています。

対応プラットフォームはiOS、iPadOS、Android、Windows タブレットです。
スマホのセキュリティ設計を考え直したいという方には最適なタイミングですので、ぜひご相談ください。