従業員ID管理
エンドポイント管理
エンドポイント検知・対応
脆弱性管理
コンプライアンス自動化
トラストセンター
暗号化とは
どのデバイスにおいても、暗号化とはデジタルデータ(プレーンテキスト)を暗号化された情報(暗号文)に変換することを指します。暗号文は、有効な暗号鍵を持つ人だけがアクセスできる形式のコードです。
ただし、暗号化は完全ではありません。暗号化もコードであるため、データを暗号化する際に使用された暗号鍵を入手したり破ったりできる者がいれば、そのデータを解読できてしまいます。また、デバイスとの送受信中のデータは、通信中に暗号化されていない場合、脆弱になる可能性があります。さらに、デバイス上で暗号化されているアプリケーション固有のデータも、その情報にアクセスできるサービスが侵害された場合にはリスクにさらされる可能性があります。
データ保護と iPhone の暗号化を理解する
iPhone のデータは、ユーザーが Apple ID とパスコードを設定すると、デフォルトで暗号化されます。これらが設定されている場合、情報はデバイスがロック解除されたときにのみ復号されます。また、一部のアプリを通じて共有される場合や、場合によっては iCloud に保存される際にも復号されることがあります。
iPhone の暗号化によって保護されるデータには、次のようなものがあります。
- パスワード
- Wi-Fi 設定、ヘルスデータ、位置情報
- Safari、Messages、通話履歴
- 写真などユーザーが作成したデータ
- デバイスに保存されているドキュメント
なお、iCloud に保存されるデバイスバックアップはデフォルトでは暗号化されていません(詳細は後述)。そのため、多くの場合、企業データを個人の iCloud アカウントに保存することは推奨されません。
Apple の Platform Security ガイドでは、iPhone のセキュリティモデルである Data Protection が、プロセッサ上の暗号化技術に支えられたソフトウェアベースの暗号鍵の階層構造を利用していることが説明されています。iPhone 上でファイルが作成されると、システムはハードウェアの AES エンジンに新しい 256 ビットの鍵を提供し、そのファイルの暗号化および復号に使用します。その結果、これらの鍵と暗号化されたファイルにアクセスできるのは、認可されたユーザーのみとなります。
管理された環境では、管理者はポリシーをデバイス群に配布して暗号化を強制することができます。Apple は IT システムがデバイスを管理できるよう、2 つの方法を提供しています。組織所有のデバイスは Automated Device Enrollment を利用して MDM ソリューションに自動登録できます。一方、従業員所有のデバイスは、管理者が提供する Enrollment Profile を使用して登録できます。いずれの方法でも登録後は、MDM ソリューションを利用してセキュリティおよび暗号化ポリシーを適用し、ユーザーのプライバシーを保護しながら企業資産へのアクセスを管理できます。
iPhoneの暗号化を有効にする前に知っておくべきこと
暗号化されていないデバイスは、誰でも内容を読み取れる状態にあります。iPhone の暗号化も 100% 完全とは言えませんが、その保護を破ることは非常に困難です。Apple の Data Protection システムでは、デバイスのロック解除時に復号処理が行われるため、わずかな遅延が発生します。デバイスが一度ロック解除されると、そのデバイスにアクセスできる人はデータにもアクセスできる可能性があります。
通常、iPhone の標準的な暗号化は、ユーザーがデバイスに パスコード を設定するだけで有効になります。MDM に登録されたデバイスでは、これらのパスコードを管理者がリモートで設定することも可能です。また、MDM システムを使用すれば、デバイスが紛失した場合やユーザーが退職した場合に、会社が保護しているデータへのアクセスを無効化することもできます。
iPhoneを暗号化する手順
パスコードを有効にする
iPhone では、デバイスのロック解除にパスコードまたは Touch ID / Face ID を設定すると、自動的に暗号化が有効になります。設定は 設定 > Face ID とパスコード(または Touch ID とパスコード)で確認できます。画面の下部に 「データ保護が有効です」 と表示されていれば、暗号化が有効になっています。
MDM を使用してパスコードを有効化する
MDM サービスを使用すると、パスコードの要件や設定を強制できます。たとえば Kandji では、Passcode Library Item を利用して、パスコードの必須化、簡単なパスコードや短いパスコードの禁止、英字・数字・記号を組み合わせた複雑なパスコードの要求、定期的なパスコード変更の強制などを管理者が設定できます。
検討すべき追加のセキュリティ対策
データの削除
コンシューマー向けデバイスの「探す(Find My)」と同様に、iPhone が紛失した場合、IT 管理者は MDM ソリューションを使用してデバイス上のすべてのデータを消去できます。また、Activation Lock をリモートで適用することも可能です。
iTunes および iCloud のバックアップファイルを暗号化する
Apple はこれまで iCloud にバックアップされる一部のデータを暗号化してきましたが、デバイスバックアップやメッセージのバックアップ、iCloud Drive、写真などの重要なデータカテゴリーの一部は暗号化されていませんでした。現在、Apple は iCloud の Advanced Data Protection を導入しており、iCloud に保存されるほぼすべてのデータを暗号化できるようになっています。これは、iCloud に保存されるデバイスバックアップを暗号化する唯一の方法です。
パスコードの要求までの待機時間を短縮する
iPhone で Face ID や Touch ID を使用している場合、または Wallet に支払いカードが保存されている場合、デバイスが未使用の状態でロックされると、すぐにパスコードまたは生体認証による確認が求められます。ユーザーは生体認証を無効にしたりカードを削除したりすることでこの挙動を変更できますが、管理者は MDM を使用してこの待機時間を制御することもできます。