Macはセキュリティが強いという噂は本当?法人利用の目線で検討してみました

  • Apple
  • Apple Blog
  • Macはセキュリティが強いという噂は本当?法人利用の目線で検討してみました
  • Macはセキュリティが強いという噂は本当?法人利用の目線で検討してみました

    企業利用のMacにふさわしいセキュリティ設計とは

    「Macではウィルス対策ソフトは不要」
    「Mac用のウィルスは少ない」
    「Macを使うとセキュリティ対応のコストを抑えられる」
    ……このような話を、聞いたことがある方もいらっしゃるかもしれません。
    実際にApple製品がエンタープライズ市場で導入される理由の一つとして、「セキュリティがしっかりしているから」が挙げられることがあります。
    個人利用ではなく、企業で利用するレベルでも本当にMacのセキュリティは堅牢と言えるのでしょうか?
    法人利用の目線から、検討してみました。

    企業にとってのセキュリティ

    ITシステムに対してセキュリティポリシーを遵守させることは、企業や従業員を守る上で非常に大切です。
    セキュリティに関する失敗はクライアントや取引先、社会的立場も含めて、その企業に対する信用に大きく影響します。

    どれだけ時間をかけて積み上げてきた信用も実績も、一つのセキュリティ事故で失ってしまうことは珍しくなく、挽回するには途方もない時間と努力が求められます。

    このように考えると、様々なITシステムを使って情報をやり取りすることが怖くなってしまいますよね。

    AdobeStock_279596190.jpeg

    しかし企業にとって重要なのは、利便性とセキュリティは表裏一体という点です。

    ビジネスのスピード感を高め、無駄な作業を省いて効率化するには、ITの力を適切に活用することは不可欠と言えるでしょう。

    利便性とセキュリティの最適なバランスには正解がないため、業務内容に応じた判断が必要となってきます。

    Macのセキュリティ標準機能

    企業でまだMac管理の経験やノウハウが少ない場合、セキュリティ対策についても「とりあえずWindows PCと同等レベルの設定を行おう...」と考えられることが少なくありません。

    しかし、Windowsと同じセキュリティポリシーを流用しようにも、「AirDrop」「iOSとの連携機能」「Apple ID」などMac特有の検討事項が管理者の方を悩ませるでしょう。

    結局セキュリティ設定を手動で行なったり、両OSに対応したツールで部分的に対処するような状態となります。

    まずはMacに搭載されているセキュリティの標準機能を理解することが、Macに適切なポリシーを決めていく第一歩となるかもしれません。

    1. ハードウェアセキュリティ

    T1チップまたはApple T2セキュリティチップを搭載したMacコンピュータには、Secure Enclaveというセキュリティ基盤が搭載されています。
    保存されたデータの暗号化、macOSのセキュアブート、および生体認証の基盤です。
    指紋情報など、ID・ハードウェア固有の鍵となるデータはAppleもアクセスできない独立領域に保存され、パスコードを破られない限りはデータが保全されます。

    参考:Secure Enclave - Apple サポート(日本)外部サイト

    Appleデバイスを起動する際のセキュアブートでは、最下位レベルのソフトウェアが改ざんされていないことと、Appleから提供されたOSのみが起動時に読み込まれることが保証されます。
    また、複雑なパスワードポリシー下でも生体認証(FaceID、Touch ID)によってユーザーのアクセスを簡便にします。

    2. システムセキュリティ

    ハードウェアのセキュアブートを引き継ぎ、起動プロセスのセキュリティ処理を順番に確認していく信頼チェーンを構築します。
    新たなセキュリティ上の懸念があった場合は、無償で最新のOSがサポートされているすべてのデバイスに同時に提供されます。

    3. データ保護(暗号化)

    デバイスを紛失した場合や、信頼されていないコードが実行された場合にも、ユーザのデータを保護する暗号化機能が搭載されています。
    Mac OS X 10.3以降を搭載したMacコンピュータでは、保存されたすべてのデータを保護するための内蔵暗号化機能、FileVaultを利用できます。

    参考:macOSでのFileVaultによるボリュームの暗号化 - Apple サポート(日本)外部サイト

    4. Appのセキュリティ

    Appleデバイスのアプリは原則、マルウェアに感染していない、改ざんされていないことを審査された後にApp Storeから入手する仕組みとなっています。
    Macではインターネットからダウンロードしたアプリを利用することもできますが、GateKeeperという機能により、そのソフトウェアの提供元がIDを有するデベロッパであり、そのソフトウェアに既知の悪質なコンテンツがないとAppleが認証し、ソフトウェアが改変されていないことを確認します。

    ※macOS 10.15以降、デベロッパがApple発行の(秘密鍵が設定された)デベロッパID証明書を使って署名し、Appleが認証しない限り、デフォルトのGatekeeper設定下では実行できません。

    5. マルウェアからの保護

    macOSには、マルウェアを確実に素早く検出してブロックするためのXProtectと呼ばれる最先端のウイルス対策テクノロジーが搭載されています。 
    XProtectに使用されるシグネチャは自動的にアップデートされ、新しいマルウェアの感染と傾向を常に監視しています。これに基づいて既知のマルウェアが自動的に検出されると、その実行がブロックされます。

    また、万が一マルウェアが侵入している場合でも、macOSには感染に対処するためのマルウェア削除ツール(MRT)が搭載されています。Appleから自動的に配信されるアップデートに基づいてマルウェアを削除し、引き続き再起動およびログイン時に状況を監視しています。


    全てを網羅することは難しいですが、Appleデバイスが標準で提供するセキュリティ機能を一部ご紹介しました。
    個人利用やスモールビジネスでは、そのままで十分に安全に利用できる設計と言えるのではないでしょうか。

    AdobeStock_219363630.jpeg

    まだセキュリティ担保に多くの費用を割けない!というスタートアップ企業では、セキュリティ機能が整っている点でMacを選ぶという選択肢もあり得るかと思います。

    しかし、人数が多い企業になると個々のPC設定に目が行き届かなくなりがちです。
    また、業種や提供サービスの種類によっては、人数に限らず更にセキュリティ意識を高める必要があります。

    運用設計とウィルス対策

    せっかく様々なセキュリティ機能が搭載されていても、設定でオフになっていれば意味がありません。
    大人数の法人で安心して使うには、標準機能を確実に有効化するための施策や、ヒューマンエラーを防ぐ設計が追加で必要となる事でしょう。

    AppleはiOSデバイスと同じ管理フレームワーク(MDM)をmacOS向けにも提供しています。
    これにより、Macのセキュリティ対策設定を一括かつ遠隔で適用したり、暗号化がかかっているMacを管理者が復旧することができたり、より組織のポリシーに沿った運用を楽に行えるようになります。

    【よく取られるセキュリティ対策設定の例】

    • パスコードポリシーの強制 
    • 端末ログイン時のFileVault有効化 
    • アカウントの権限設定
    • AirDropやiCloud等の利用可否設定

    Appleのセキュリティ機能をどう適用させ、Mac特有の生産性を高めるための機能をどこまで利用させるか。
    利用者にとっても管理者にとっても管理の手間ばかりかかって、生産性を高めるはずのMacがコストになっている...とならないように考えたいところです。

    セキュリティは、システムにアクセスするユーザやネットワーク・扱うデータなど様々な側面で検討する必要があるため、Macの機能を制限するだけでは対処しきれない問題も数多く存在します。

    従業員がどのようなデバイスを使い、どのネットワークを経由して、会社のデータ資産にアクセスするのかを整理してから、MDMやウィルス対策のツールを適切に検討していきましょう。

    Macではウィルス対策が不要と言われたのは、過去の時代です。
    Macのウィルスは確かにWindowsのものより数が少ないかもしれませんが、それでも深刻なマルウェア等の被害は報告されています。

    AdobeStock_305233649.jpeg

    セキュリティの世界は日々変容するので、残念ながら新しいウィルスや脆弱性のリスクは、どのような環境でも0%になることはないでしょう。
    業務上の大切なデータを扱うデバイスでは、被害を最小限に抑えるためのウィルス対策を行うことを推奨します。

    この点、MacはWindows PCと比べて、ハードウェアとソフトウェアの組み合わせに限りがあるため、脆弱性に比較的対処しやすいというメリットがあります。

    セキュリティ設計の考え方

    会社の資産やデータを守るためとはいえ、何でも制限すれば良いというものではありません。
    しかし、利便性や生産性を優先して、セキュリティ設定は見逃していいというものでもありません。

    何か設計の基準が欲しい...という場合は、CIS(Center for Internet Security)というサイバーセキュリティに取り組む非営利団体が、安全にシステムを利用するためのガイドラインを発行しています。

    参考:CIS Apple macOS Benchmarks外部サイト

    認証、ネットワーク、FireWall設定など複数分野にわたって基本の推奨設計が記載されているので、こちらを参考に自社に合う形を検討できます。

    「CISベンチマークに基づいた設定を遵守しているか」を確認できるセキュリティツールと組み合わせ、端末状況を可視化することもおすすめです。

    Jamf Protectの管理画面

    Macに特化したエンドポイントセキュリティ:Jamf Protect

    古い設計は定期的に見直しながら、利便性とセキュリティのバランスを取っていきましょう。

    しかし最終的に重要なのは、「利用者が扱うデータに対して日々どれだけリスクを意識して業務が行えているか」です。
    日常的にセキュリティに対するリテラシーを高めることが、一番のセキュリティ対策となります。

    送信者不明のメールのURLに不用意にアクセスしない、電車やカフェで機密情報を開かない、業務で作成した資料やコードを外部に出さない……など。

    当たり前のことにどれだけ気をつけられているか、改めて社内で確認することで、従業員のリテラシーに沿ったポリシーを検討できるでしょう。

    結論として、Macは製品開発の時点でセキュリティ設計を重視しており、強固なセキュリティ機能を搭載していることは事実です。
    しかし、暗号化や生体認証といった各機能がオフになっていれば意味がありません。法人で利用する際に、セキュリティ設定を確実にできる仕組み(MDM)は必要です。
    また、情報漏洩の大部分は不注意や人的ミスから発生します。確実な安全性やミスを防ぐ設計と併せて、ユーザーのリテラシーを向上し、取り扱う情報についての意識を高める動きも、継続的に取ることをおすすめします。

    記事は2021年2月18日現在の内容です。

    Apple Blog Topへ

    おすすめ記事を見る