企業利用のMacにふさわしいセキュリティ設計とは

「Macではウィルス対策ソフトは不要」
「Mac用のウィルスは少ない」
「Macを使うとセキュリティ対応のコストを抑えられる」

・・・・このような話を、聞いたことがある方もいらっしゃるかもしれません。

実際にApple製品がエンタープライズ市場で導入される理由の一つとして、「セキュリティがしっかりしているから」が挙げられることがあります。

個人利用ではなく、企業で利用するレベルでも本当にMacのセキュリティは堅牢と言えるのでしょうか?
法人利用の目線から、検討してみました。

目次

  1. 企業にとってのセキュリティ
  2. Macのセキュリティ標準機能
  3. 運用設計とウィルス対策
  4. セキュリティ設計の考え方

■企業にとってのセキュリティ

ITシステムに対してセキュリティポリシーを遵守させることは、企業や従業員を守る上で非常に大切です。
セキュリティに関する失敗はクライアントや取引先、社会的立場も含めて、その企業に対する信用に大きく影響します。

どれだけ時間をかけて積み上げてきた信用も実績も、一つのセキュリティ事故で失ってしまうことは珍しくなく、挽回するには途方もない時間と努力が求められます。

このように考えると、様々なITシステムを使って情報をやり取りすることが怖くなってしまいますよね。

AdobeStock_279596190.jpeg しかし企業にとって重要なのは、利便性とセキュリティは表裏一体という点です。

ビジネスのスピード感を高め、無駄な作業を省いて効率化するには、ITの力を適切に活用すること。
現代ではほとんどの業態で不可欠と言えるでしょう。

利便性とセキュリティの最適なバランスには正解がないため、業務内容に応じた判断が必要となってきます。

■Macのセキュリティ標準機能

企業でまだMac管理の経験やノウハウが少ない場合、セキュリティ対策についても「とりあえずWindows PCと同等レベルの設定を行おう…」と考えられることが少なくありません。

しかし、Windowsと同じセキュリティポリシーを流用しようにも、「AirDrop」「iOSとの連携機能」「Apple ID」などMac特有の検討事項が管理者の方を悩ませるでしょう。

結局セキュリティ設定を手動で行なったり、両OSに対応したツールで部分的に対処するような状態となります。

まずはMacに搭載されているセキュリティの標準機能を理解することが、Macに適切なポリシーを決めていく第一歩となるかもしれません。


  1. ハードウェアセキュリティ
  2. T1チップまたはApple T2セキュリティチップを搭載したMacコンピュータには、Secure Enclaveというセキュリティ基盤が搭載されています。
    保存されたデータの暗号化、macOSのセキュアブート、および生体認証の基盤です。

    参考:Secure Enclaveの概要

    Appleデバイスを起動する際のセキュアブートでは、最下位レベルのソフトウェアが改ざんされていないことと、Appleから提供されたOSのみが起動時に読み込まれることが保証されます。
    また、複雑なパスワードポリシー下でも「生体認証(FaceID、Touch ID)」によってユーザーのアクセスを簡便にします。

  3. システムセキュリティ
  4. ハードウェアのセキュアブートを引き継ぎ、起動プロセスのセキュリティ処理を順番に確認していく信頼チェーンを構築します。
    新たなセキュリティ上の懸念があった場合は、無償で最新のOSがサポートされているすべてのデバイスに同時に提供されます。

  5. データ保護(暗号化)
  6. デバイスを紛失した場合や、信頼されていないコードが実行された場合にも、ユーザのデータを保護する暗号化機能が搭載されています。
    Mac OS X 10.3以降を搭載したMacコンピュータでは、保存されたすべてのデータを保護するための内蔵暗号化機能、FileVaultを利用できます。

    参考:FileVaultがオンになっている場合の内蔵ボリュームの暗号化

  7. Appのセキュリティ
  8. Appleデバイスのアプリは原則、マルウェアに感染していない、改ざんされていないことを審査された後にApp Storeから入手する仕組みとなっています。
    Macではインターネットからダウンロードしたアプリを利用することもできますが、「GateKeeper」という機能により、そのソフトウェアの提供元がIDを有するデベロッパであり、そのソフトウェアに既知の悪質なコンテンツがないとAppleが認証し、ソフトウェアが改変されていないことを確認します。

    ※macOS 10.15以降、デベロッパがApple発行の(秘密鍵が設定された)デベロッパID証明書を使って署名し、Appleが認証しない限り、デフォルトのGatekeeper設定下では実行できません。

  9. マルウェアからの保護
  10. macOSには、マルウェアを確実に素早く検出してブロックするための「XProtect」と呼ばれる最先端のウイルス対策テクノロジーが搭載されています。 
    XProtectに使用されるシグネチャは自動的にアップデートされ、新しいマルウェアの感染と傾向を常に監視しています。これに基づいて既知のマルウェアが自動的に検出されると、その実行がブロックされます。

    また、万が一マルウェアが侵入している場合でも、macOSには感染に対処するための「マルウェア削除ツール(MRT)」が搭載されています。Appleから自動的に配信されるアップデートに基づいてマルウェアを削除し、引き続き再起動およびログイン時に状況を監視しています。


全てを網羅することは難しいですが、Appleデバイスが標準で提供するセキュリティ機能を一部ご紹介しました。
個人利用やスモールビジネスでは、そのままで十分に安全に利用できる設計と言えるのではないでしょうか。

AdobeStock_219363630.jpeg
まだセキュリティ担保に多くの費用を割けない!というスタートアップ企業では、セキュリティ機能が整っている点でMacを選ぶという選択肢もあり得るかと思います。

■運用設計とウィルス対策


せっかく様々なセキュリティ機能が搭載されていても、設定でオフになっていれば意味がありません。
大人数の法人で安心して使うには、標準機能を確実に有効化するための施策や、ヒューマンエラーを防ぐ設計が追加で必要となる事でしょう。

AppleはiOSデバイスと同じ管理フレームワーク(MDM)をmacOS向けにも提供しています。
これにより、Macのセキュリティ対策設定を一括かつ遠隔で適用したり、暗号化がかかっているMacを管理者が復旧することができたり、より組織のポリシーに沿った運用を楽に行えるようになります。

よく取られるセキュリティ対策設定の例
  • パスコードポリシーの強制 
  • 端末ログイン時のFileVault有効化 
  • アカウントの権限設定
  • AirDropやiCloud等の利用可否設定

Appleのセキュリティ機能をどう適用させ、Mac特有の生産性を高めるための機能をどこまで利用させるか。
利用者にとっても管理者にとっても管理の手間ばかりかかって、生産性を高めるはずのMacがコストになっている…とならないように考えたいところです。

セキュリティは、システムにアクセスするユーザやネットワーク・扱うデータなど様々な側面で検討する必要があるため、Macの機能を制限するだけでは対処しきれない問題も数多く存在します。

従業員がどのようなデバイスを使い、どのネットワークを経由して、会社のデータ資産にアクセスするのかを整理してから、MDMやウィルス対策のツールを適切に検討していきましょう。

Macではウィルス対策が不要と言われたのは、過去の時代です。
Macのウィルスは確かにWindowsのものより数が少ないかもしれませんが、それでも深刻なマルウェア等の被害は報告されています。

AdobeStock_305233649.jpeg
セキュリティの世界は日々変容するので、残念ながら新しいウィルスや脆弱性のリスクは、どのような環境でも0%になることはないでしょう。
業務上の大切なデータを扱うデバイスでは、被害を最小限に抑えるためのウィルス対策を行うことを推奨します。

■セキュリティ設計の考え方

会社の資産やデータを守るためとはいえ、何でも制限すれば良いというものではありません。
しかし、利便性や生産性を優先して、セキュリティ設定は見逃していいというものでもありません。

何か設計の基準が欲しい…という場合は、CIS(Center for Internet Security)というサイバーセキュリティに取り組む非営利団体が、安全にシステムを利用するためのガイドラインを発行しています。

参考:macOSのベンチマーク
認証、ネットワーク、FireWall設定など複数分野にわたって基本の推奨設計が記載されているので、こちらを参考に自社に合う形を検討できます。

「CISベンチマークに基づいた設定を遵守しているか」を確認できるセキュリティツールと組み合わせ、端末状況を可視化することもおすすめです。

スクリーンショット 2021-02-16 14.02.55.pngMacに特化したエンドポイントセキュリティ:Jamf Protect

古い設計は定期的に見直しながら、利便性とセキュリティのバランスを取っていきましょう。

しかし最終的に重要なのは、「利用者が扱うデータに対して日々どれだけリスクを意識して業務が行えているか」です。
日常的にセキュリティに対するリテラシーを高めることが、一番のセキュリティ対策となります。

送信者不明のメールのURLに不用意にアクセスしない、電車内で機密情報を開かない、業務で作成した資料やコードを外部に出さない・・・など。

当たり前のことにどれだけ気をつけられているかを改めて社内で確認することで、従業員のリテラシーに沿ったポリシーを検討できるでしょう。


セキュリティの設計や最適なツールの相談はもちろん、導入に関する不安やご懸念な点がありましたら、Apple相談会にて経験豊富なスタッフに何でもご相談ください。

Apple相談会汎用.png

MDMについて、弊社ではApple製品の管理に特化した「Jamf Pro」を推奨しております。
Mac・iPad・iPhone・AppleTVに至るまで、柔軟でセキュアな設計が可能です。

Apple専用の統合デバイス管理Jamf Pro


ありがとうございました。

他にも法人導入に役立つTipsやマニュアルを配信する予定ですので、ぜひご覧ください!
Apple法人導入Tipsへ

page top