「iPhoneは本当に安全か」、米Appleのセキュリティ資料が明かす新事実 という記事を見つけました
米Appleはこれまで、同社のモバイルOS「iOS」の内部の仕組みについて情報を公開することを渋ってきた。この透明性の欠如は、エンタープライズという重要な市場にスマートフォンの「iPhone」が浸透することを妨げてきた。セキュリティの専門家にとって、iPhoneが企業のLANやデータにもたらすリスクがどの程度かを評価するのが困難だったからだ。
「iOS 6」は、暗号処理製品のセキュリティ要件を規定した米国の標準規格「FIPS 140-2」のレベル1認定を取得している。この認定は、政府機関がデバイスを使用する際、最低レベルの安全検査で十分な状況でのみ使用を許可するものであり、デバイスの安全性保証の検証までしかしない。エンタープライズ環境では、スマートフォンとタブレットのセキュリティは製品を差異化する大きな要因となる。「セキュリティ上の理由からiPhoneを所有できない」とオバマ米大統領が発言したことは、Appleにとって痛手だったに違いない(参考:オバマ大統領が「iPhone」を使わない“やっぱり”な理由)。
だがAppleでは最近、これまでとは異なる取り組みが見られる。今まで非公開だったiOSのセキュリティに関する情報を、「iOS Security February 2014」というホワイトペーパーで公開したのだ。
本稿では、このホワイトペーパーで公開された主な新事実について解説する。この新事実が、セキュリティ要件の厳しいエンタープライズ環境にもたらす意味、新しいセキュリティに関する知識と理解が、エンタープライズ環境でAppleのモバイルデバイスを使用する説得力のある事実となるのかどうかを考察する。
「iOS Security February 2014」に書かれていたこと
iOS Security February 2014を分析したところ、AppleがiPhoneにゼロからセキュリティを組み込んでいる素晴らしいアプローチが見て取れる。プロセッサから始まり、Appleの「iCloud」との通信に至るまで、全面的にセキュリティが施されている。
このホワイトペーパーでは過去2年、特に「iOS 7」でAppleが導入したセキュリティとプライバシーの機能を取り上げている。例えば、指紋認証の仕組みである「Touch ID」の指紋センサーの仕組みに加え、シングルサインオンが企業のアプリケーションやサービスとどのように統合されるのか、Wi-Fi/Bluetooth接続のセキュリティについて詳しく説明している。また、アカウント情報管理機能の「iCloudキーチェーン」を使用して、強力なパスワードを作成および管理する方法についても言及している。
だがこれらの機能は、iOSをエンタープライズ環境で採用する価値があるOSへと押し上げるほどのものだろうか。主な機能について詳しく見ていく。
iOSとUID
Appleが「iPhone 5S」で導入した64ビットプロセッサ「A7」には、コプロセッサの「Secure Enclave」が搭載されている。Secure Enclaveには、デバイス固有のID(UID)が割り当てられている。UIDは製造時に作成され、システムの他の部分からアクセスすることは不可能であり、Appleも把握していない。
iOS搭載デバイスの電源投入時には、セキュリティが確保されたブートプロセスにより、下位レベルのソフトウェアを改ざんから保護する。加えて一時キーを作成し、UIDと関連付ける。この一時キーは、Secure Enclaveがデバイスのメモリ領域の暗号化に使用する。このようにして、メモリに対する潜在的な攻撃から保護している。
また、SSDに保存されている暗号化キーを安全に削除し、削除したファイルを読み取れないようにするために、専用領域である「Effaceable Storage」を搭載する。
iOSと暗号化
暗号化に関しては、iOSのセキュリティアーキテクチャ全域にわたって、データのセグメント化と何重もの暗号化による保護が施されている。この措置は攻撃者がデバイスにある情報にアクセスするのを防ぐためだ。
例えば、ユーザーの指紋のデジタルデータは暗号化された状態でローカルに保存されている。ただし、IDに関するデータは一緒には保存されていない。指紋データはiPhoneから違う場所に移動されることはなく、iCloudにバックアップされることもない。Secure Enclaveのみが読み取り可能だ。
Secure Enclaveは、使用するデータと自身の動作の両方を保護するように設計されている。Secure Enclaveに関するデータは公開されていないので、潜在的な攻撃者にとってデバイスにあるデータにアクセスを試みることは難解な挑戦になる。
AppleとiCloud
Appleは、ユーザーがiCloudキーチェーンで管理するパスワードについて、米国家安全保障局(NSA)のような機関でも取得できなくする方法を用意している。
iCloudキーチェーンのデータベースは、iCloudにバックアップされた後も、UIDと関連付けられたキーで保護される。このデータベースは、機密な認証データが保存されているので、バックアップ元のデバイスにしか復元できない。ただし、Appleが自社のサービスに対して独占所有権を持っていることから、「Appleがユーザーの個人的なデータを読み取れること」「Appleが法執行機関にアクセスを提供できること」などに関して数多くの議論が交わされてきた。
こうした行為は、プロセスを変更したり、iCloudキーチェーンの保護とアクセスに使用しているハードウェアセキュリティモジュール(HSM)を侵害すれば可能だ。だがユーザーは、iCloudキーチェーンを保護するランダムなコードである「iCloudセキュリティコード」を生成して、Appleや政府機関も含めた第三者によるこうした行為を防ぐことができる。
iCloudセキュリティコードは、iCloudキーチェーンを保護しているランダムキーの暗号化に使用される。このiCloudセキュリティコードはAppleに送信されることはなく、傍受されることもない。多くの企業が、クラウドに保存されているデータの機密性に対する懸念を正当化していることを考えると、この予防手段は単に歓迎される追加機能となるだけでなく、多くの企業で形勢一変させる可能性を秘めている。
企業ではiOSの受け入れ体制が整っているのか
iOSは合格基準に達したのだろうか。広範なセキュリティ制御とその仕組みに関して最近公開された新事実をもってしても、概念実証のコードと公開されている脆弱性から、iPhoneとタブレットの「iPad」といったiOSデバイスは、他のデバイスと同じように100%安全ではないことが判明している。
Appleが公開したリポートの内容を「完全に検証することはできない」と主張する人もいる。一方でこのリポートは、セキュリティとユーザーのデータ保護についてAppleが真剣に考えていることを示す、誠実な取り組みの表れとして捕らえることもできる。
だがこのリポートに、iPhoneやiPadに対する企業の考え方を変えるほどの効力はあるのだろうか。企業のビジネスニーズとセキュリティ要件は千差万別であり、そのような効力があるとは言い難いだろう。ただし、企業のLANでiOSデバイスの使用を許可した場合に、LAN全体のセキュリティにどのような影響を及ぼすのかを理解するのには、間違いなく十分な情報が提供されている。
それなりにはやってあるようだが それで終わってはいけない
米Appleはこれまで、同社のモバイルOS「iOS」の内部の仕組みについて情報を公開することを渋ってきた。この透明性の欠如は、エンタープライズという重要な市場にスマートフォンの「iPhone」が浸透することを妨げてきた。セキュリティの専門家にとって、iPhoneが企業のLANやデータにもたらすリスクがどの程度かを評価するのが困難だったからだ。
「iOS 6」は、暗号処理製品のセキュリティ要件を規定した米国の標準規格「FIPS 140-2」のレベル1認定を取得している。この認定は、政府機関がデバイスを使用する際、最低レベルの安全検査で十分な状況でのみ使用を許可するものであり、デバイスの安全性保証の検証までしかしない。エンタープライズ環境では、スマートフォンとタブレットのセキュリティは製品を差異化する大きな要因となる。「セキュリティ上の理由からiPhoneを所有できない」とオバマ米大統領が発言したことは、Appleにとって痛手だったに違いない(参考:オバマ大統領が「iPhone」を使わない“やっぱり”な理由)。
だがAppleでは最近、これまでとは異なる取り組みが見られる。今まで非公開だったiOSのセキュリティに関する情報を、「iOS Security February 2014」というホワイトペーパーで公開したのだ。
本稿では、このホワイトペーパーで公開された主な新事実について解説する。この新事実が、セキュリティ要件の厳しいエンタープライズ環境にもたらす意味、新しいセキュリティに関する知識と理解が、エンタープライズ環境でAppleのモバイルデバイスを使用する説得力のある事実となるのかどうかを考察する。
「iOS Security February 2014」に書かれていたこと
iOS Security February 2014を分析したところ、AppleがiPhoneにゼロからセキュリティを組み込んでいる素晴らしいアプローチが見て取れる。プロセッサから始まり、Appleの「iCloud」との通信に至るまで、全面的にセキュリティが施されている。
このホワイトペーパーでは過去2年、特に「iOS 7」でAppleが導入したセキュリティとプライバシーの機能を取り上げている。例えば、指紋認証の仕組みである「Touch ID」の指紋センサーの仕組みに加え、シングルサインオンが企業のアプリケーションやサービスとどのように統合されるのか、Wi-Fi/Bluetooth接続のセキュリティについて詳しく説明している。また、アカウント情報管理機能の「iCloudキーチェーン」を使用して、強力なパスワードを作成および管理する方法についても言及している。
だがこれらの機能は、iOSをエンタープライズ環境で採用する価値があるOSへと押し上げるほどのものだろうか。主な機能について詳しく見ていく。
iOSとUID
Appleが「iPhone 5S」で導入した64ビットプロセッサ「A7」には、コプロセッサの「Secure Enclave」が搭載されている。Secure Enclaveには、デバイス固有のID(UID)が割り当てられている。UIDは製造時に作成され、システムの他の部分からアクセスすることは不可能であり、Appleも把握していない。
iOS搭載デバイスの電源投入時には、セキュリティが確保されたブートプロセスにより、下位レベルのソフトウェアを改ざんから保護する。加えて一時キーを作成し、UIDと関連付ける。この一時キーは、Secure Enclaveがデバイスのメモリ領域の暗号化に使用する。このようにして、メモリに対する潜在的な攻撃から保護している。
また、SSDに保存されている暗号化キーを安全に削除し、削除したファイルを読み取れないようにするために、専用領域である「Effaceable Storage」を搭載する。
iOSと暗号化
暗号化に関しては、iOSのセキュリティアーキテクチャ全域にわたって、データのセグメント化と何重もの暗号化による保護が施されている。この措置は攻撃者がデバイスにある情報にアクセスするのを防ぐためだ。
例えば、ユーザーの指紋のデジタルデータは暗号化された状態でローカルに保存されている。ただし、IDに関するデータは一緒には保存されていない。指紋データはiPhoneから違う場所に移動されることはなく、iCloudにバックアップされることもない。Secure Enclaveのみが読み取り可能だ。
Secure Enclaveは、使用するデータと自身の動作の両方を保護するように設計されている。Secure Enclaveに関するデータは公開されていないので、潜在的な攻撃者にとってデバイスにあるデータにアクセスを試みることは難解な挑戦になる。
AppleとiCloud
Appleは、ユーザーがiCloudキーチェーンで管理するパスワードについて、米国家安全保障局(NSA)のような機関でも取得できなくする方法を用意している。
iCloudキーチェーンのデータベースは、iCloudにバックアップされた後も、UIDと関連付けられたキーで保護される。このデータベースは、機密な認証データが保存されているので、バックアップ元のデバイスにしか復元できない。ただし、Appleが自社のサービスに対して独占所有権を持っていることから、「Appleがユーザーの個人的なデータを読み取れること」「Appleが法執行機関にアクセスを提供できること」などに関して数多くの議論が交わされてきた。
こうした行為は、プロセスを変更したり、iCloudキーチェーンの保護とアクセスに使用しているハードウェアセキュリティモジュール(HSM)を侵害すれば可能だ。だがユーザーは、iCloudキーチェーンを保護するランダムなコードである「iCloudセキュリティコード」を生成して、Appleや政府機関も含めた第三者によるこうした行為を防ぐことができる。
iCloudセキュリティコードは、iCloudキーチェーンを保護しているランダムキーの暗号化に使用される。このiCloudセキュリティコードはAppleに送信されることはなく、傍受されることもない。多くの企業が、クラウドに保存されているデータの機密性に対する懸念を正当化していることを考えると、この予防手段は単に歓迎される追加機能となるだけでなく、多くの企業で形勢一変させる可能性を秘めている。
企業ではiOSの受け入れ体制が整っているのか
iOSは合格基準に達したのだろうか。広範なセキュリティ制御とその仕組みに関して最近公開された新事実をもってしても、概念実証のコードと公開されている脆弱性から、iPhoneとタブレットの「iPad」といったiOSデバイスは、他のデバイスと同じように100%安全ではないことが判明している。
Appleが公開したリポートの内容を「完全に検証することはできない」と主張する人もいる。一方でこのリポートは、セキュリティとユーザーのデータ保護についてAppleが真剣に考えていることを示す、誠実な取り組みの表れとして捕らえることもできる。
だがこのリポートに、iPhoneやiPadに対する企業の考え方を変えるほどの効力はあるのだろうか。企業のビジネスニーズとセキュリティ要件は千差万別であり、そのような効力があるとは言い難いだろう。ただし、企業のLANでiOSデバイスの使用を許可した場合に、LAN全体のセキュリティにどのような影響を及ぼすのかを理解するのには、間違いなく十分な情報が提供されている。
それなりにはやってあるようだが それで終わってはいけない