Oligur

• ニュース

Apple は、Mountain Lion のさまざまな機能を統合することで、一部の主要な Mountain Lion 機能が意図しているセキュリティ強化ではなく、ビジネスおよびエンタープライズ顧客に対して Mac のセキュリティを低下させることを奨励することになるかもしれない。

関係する技術はいくつかあるが、中心となるのは iCloud と、Mac App Store で販売されるアプリは Apple のアプリケーション サンドボックス技術をサポートする必要があるという Apple の要件である。

まずはサンドボックスから始めましょう。Appleは昨年、Macアプリ向けの新しいセキュリティシステムを実装すると開発者に通知しました。サンドボックスと呼ばれるこのシステムは、悪意のあるアプリがOS Xのシステムコンポーネントや他のアプリケーションに損害を与えるのを防ぐことを目的としています。これを実現するために、アプリは動作に必要なデータとリソースを含むデジタルサンドボックスに閉じ込められます。通常、サンドボックス外のシステムコンポーネントやサービスなどにはアクセスできず、他のアプリとのやり取りも制限されています。

アプリをサンドボックス内に保存することで、システムやユーザーデータへの影響を最小限に抑えることができます。これは、ウイルスやマルウェアが個々のMacや、家庭やオフィスのネットワーク上の他のMac、PC、その他のデバイスに及ぼす被害を最小限に抑える、強引ではあるものの確実な方法です。また、質の低いアプリが信頼性やパフォーマンスに広範囲にわたる悪影響を及ぼすのを防ぐのにも役立ちます。

サンドボックス化されたアプリには、「エンタイトルメント」と呼ばれる例外がいくつか認められています。開発者がこれらの例外を利用する場合、Appleに対し、追加のアクセスが必要であると考える理由を説明する必要があります。Appleはまた、既存のアプリをサンドボックス要件を満たすように再設計することは困難で労力を要する可能性があることを認め、アプリの準拠作業中は一時的なエンタイトルメントを申請できることを開発者に通知しました。

多くのITプロフェッショナルにとって、サンドボックス化という概念は確かに魅力的です。実際、多くのIT部門は、マルウェアの拡散、不正アクセス、そしてユーザーによる潜在的な損害（意図的か否かに関わらず）を防ぐために、MacやPCをロックダウンしようとしています。

Appleがサンドボックス化を強制する方法として、Mac App Storeで販売されるすべてのアプリにサンドボックス化を必須としました。Mac App Storeはサービス開始以来、多くのMacユーザーがソフトウェアを探す際に最初に訪れる場所となっています。このマーケットプレイスから締め出されれば、開発者がMacソフトウェアを開発して得られる収益に影響が出る可能性があります。

Appleのサンドボックス化アプローチと、Mac App Storeで販売するために開発者に遵守を義務付ける要件は、これまで議論を呼ばずに済んだわけではありません。長年Mac開発者として活動してきた多くの開発者は、サンドボックス化に準拠するためにアプリから削除しなければならない機能について不満を漏らしていました。Appleは、この要件が正式に発効した先月初めまで、遵守期限を繰り返し延期していました。

サンドボックス化を必須とするもう一つの要因は、Mac App Storeで販売されるアプリ（つまりサンドボックス化のルールに準拠するアプリ）のみが、ユーザーのiCloudアカウントに保存されているファイルやその他のデータにアクセスできることです。iCloudはMountain LionとiOSの主要機能であるため、ユーザーのiCloudアカウントとそのクラウドベースのファイルストアにアクセスできることは、開発者にとって大きなメリットとなります。

しかし、企業にとって、他の多くの個人向けクラウドサービスと同様に、iCloudへのアクセスはセキュリティ上の懸念を引き起こします。iCloudを使用すると、会社所有のコンピューターやデバイスからビジネス文書やファイルを非常に簡単に移動できます。

iCloudは、ユーザーが使用するあらゆるデバイスにあらゆる情報を同期するように設計されているため、オフィスのコンピュータからiCloudに機密性の高いビジネス情報を簡単に同期し、そこから子供が使用するiPadやiPod touch、自宅のiMac、個人所有で管理されていないiPhoneなど、あらゆる個人デバイスに同期させることができます。さらに重要なのは、IT部門がこの情報漏洩に気付かない可能性があることです。

つまり、紛失または盗難にあったデバイス、たとえ業務に使用されていない個人所有のデバイスであっても、深刻なデータ漏洩の原因となる可能性があるということです。従業員が機密情報を故意に社外に共有している可能性も考慮に値します。

この問題は、全く新しいものではありません。昨年、AppleがiOS 5の一部としてiCloudを導入した際に懸念が高まりました。この機能は、Apple Configuratorなどの無料ツールを含む、市販のモバイル管理ソリューションを使って簡単に無効化できます。しかし、入手可能な情報に基づくと、Mountain Lion搭載のMacでは同じことが言えません。現時点では、iCloudの同期とストレージへのアクセスをオフにする管理オプションが存在しないのです。

完全に確実とは言えない選択肢の一つは、iCloudのシステム環境設定パネルへのアクセスをユーザーに拒否することです。これにより、職場のMacでiCloudを設定することが不可能にはなりませんが、困難になります。この制限はiCloudへのアクセスを阻止するものではなく、ユーザーがiCloudの環境設定パネルを開けないようにするだけです。Macが管理対象として初期登録されていない場合、またはIT部門がプロファイルマネージャのセルフサービスWebポータルを使用してユーザーにMac（会社所有または個人所有）を登録させている場合、ユーザーはiCloudの環境設定パネルへのアクセスが実質的にブロックされる前にiCloudを設定してしまう可能性があります。パワーユーザーであれば、環境設定パネルを使用せずにiCloudを設定できる可能性もあります。

管理者がオフィス外への仕事用文書の拡散を制限するために実行できるもう 1 つの方法は、ユーザーがコンテンツを Mac 上のローカル ファイル システムやネットワーク共有ではなく iCloud ストレージに保存できるようにするアプリを禁止することです。

iCloudへのアクセスを提供する可能性のあるアプリケーションを調査するのは非常に困難な作業です。Appleは、意図的ではありますが、IT担当者がiCloudを利用する可能性のある膨大な数のアプリを非常に簡単に除外できるようにしています。Mac App Storeのアプリをすべて禁止するだけで済みます。ユーザーがMac App Storeでのみ利用可能なアプリの必要性を表明した場合、IT担当者はiCloudへのアクセスに問題がないかチェックできますが、Mac App Storeとそのコンテンツへのアクセスを全体的に禁止することは、アプリによるiCloudへのアクセスを阻止する非常に効果的な方法です。

Mac App Storeを避けるのは、それほど難しいことではありません。AppleはiOS App Storeの一括購入プログラムをMac App Storeに導入していません。つまり、企業や学校がソフトウェアを購入する必要がある場合、既存のベンダーを通じた従来のサイトライセンスまたは一括ライセンスの方が、はるかにシンプルで効果的な選択肢となるのです。

しかし、これは組織がAppleがMountain LionのGatekeeper機能で提供する第一層の保護を効果的に回避できることを意味します。これは注目すべき点です。Gatekeeperは、より広範なMac管理やユーザー制限が適用されることが多い企業や教育機関での使用よりも、一般消費者での使用に適していますが、AppleはIT部門が2つの異なるセキュリティ課題のコストを比較検討し、どちらがより大きなリスクをもたらすかを判断しなければならない状況を作り出しました。率直に言って、これは実に奇妙な状況です。