Appleの公開するセキュリティガイドから「セキュリティの未来は垂直統合にある」とメディアが主張

Appleは自社製品のセキュリティに関する情報をまとめたガイドライン「Appleプラットフォームのセキュリティ」を公開しています。このセキュリティガイドラインにはAppleが提供するデバイス・OS・クラウドサービスを保護する主要なセキュリティ機能についての詳細な説明があるのですが、これを読み解き「サイバーセキュリティの未来は垂直統合にある」とApple関連メディアのTidBITSが報じています。

Appleプラットフォームのセキュリティ - Apple サポート
https://support.apple.com/ja-jp/guide/security/welcome/web

Apple Platform Security Guide Reveals Focus on Vertical Integration - TidBITS
https://tidbits.com/2021/02/18/apple-platform-security-guide-reveals-focus-on-vertical-integration/

Appleは2012年以降、同社サービスにおけるセキュリティ上の取り組みに関する詳細を定期的に発表してきました。当初はiOS端末とmacOS端末向けのセキュリティガイドを別々に公開してきたAppleですが、2019年12月以降はAppleが提供するデバイス・OS・サービスにおけるセキュリティ上の詳細をまとめて解説する「Appleプラットフォームのセキュリティ」を公開しています。この「Appleプラットフォームのセキュリティ」について、TidBITSは「開発者向けの高度に技術的なドキュメントと、消費者向けの読みやすいドキュメントの中間にあるよう」と説明しており、Appleが提供するセキュリティサービスを理解したい人にとって便利なリソースになっているとしました。

Appleプラットフォームのセキュリティを読み解くと、「サイバーセキュリティの未来は垂直統合にあることがわかる」とTidBITSは報じています。TidBITSは「この場合の垂直統合は、包括的なエコシステムを構築するためのハードウェア・ソフトウェア・クラウドサービスの組み合わせを意味します。セキュリティを強化するための垂直統合は、Apple内のトレンドというだけでなく、Amazon Web Serviceなどの主要なプレーヤーを含む業界全体で広く見られるトレンドです。ハードウェア・ソフトウェア・サービスなどのスタックを完全に制御できない場合、垂直統合型のセキュリティと競争することは困難です」と説明しています。

「Appleプラットフォームのセキュリティ」の概要ページ上で、Appleは同社のセキュリティについて「すべてのAppleデバイスでは、ハードウェア、ソフトウェア、およびサービスを連携して機能するように統合することで、個人情報の保護という究極の目的を果たすために、最高のセキュリティと透過的なユーザ体験を実現しています。カスタム・セキュリティ・ハードウェアが重要なセキュリティ機能を強化しています。ソフトウェア保護によって、オペレーティングシステムと他社製Appの安全性が保たれます。サービスによって、適切な時期にソフトウェアを安全にアップデートするためのメカニズムが提供され、Appのエコシステムの安全性が高まり、通信や支払いが保護され、より安全なインターネットの利用体験を実現します」と説明しています。これこそがまさに垂直統合型のセキュリティであるとTidBITSは主張。

垂直統合型のセキュリティはとても強力なものですが、「顧客がセキュリティの一部を制御できなくなる」という独自の懸念も生じるとTidBITSは指摘。

「Appleプラットフォームのセキュリティ」を読み解くと、垂直統合型のセキュリティを形成するための事例が「ハードウェア」「ソフトウェア」「サービス」という3つの異なるレイヤーに分けて説明されているそうです。各レイヤーのセキュリティについて、Appleは以下のように説明しています。

ハードウェア：
すべてのApple Silicon端末の中核には、暗号化キーの管理やパスコードの保管、Face ID/TouchIDに関するデータの保護といった、機密情報を処理するためのSecure Enclaveを含むセキュリティ専用ハードウェアがあります。Secure Enclaveは、Appleの提供するエコシステムにおいてハードウェアのRoot of Trust(RoT)となるものであり、すべてのデバイスが可能な限り本質的に安全であり、Appleサービスに安全に接続できることを保証するためのものです。

ソフトウェア：
Appleの提供するOSおよびアプリは、ハードウェアのセキュリティ機能に緊密に統合されています。例えば、ハードウェアとソフトウェアの統合によりCPUに組み込まれているハードウェアのRoTと、ソフトウェア上のセキュリティ機能を使用し、より高度なメモリ保護やデータ保護が可能になります。

サービス：
Appleはクラウドサービスをエコシステムのセキュリティモデルとますます統合しようとしています。例えば、AppleのサーバーはSecure EnclaveのRoTによって検証できるキーを使用することで、App Store上のアプリに安全に署名します。

このような3つのレイヤーにわたるセキュリティの提供により、「Appleユーザーは実用的なセキュリティ上の利点を多く利用できるようになる」とTidBITSは指摘。例えば、ハードウェア上で動作するソフトウェアコンポーネントは、すべてAppleにより暗号化されており、工場出荷前のSecure Enclaveに焼き付けられた暗号化キーと関連付けられます。そして、Appleはハードウェアに埋め込まれたデジタル証明書とセキュリティポリシーを活用し、OSの最新版はAppleが承認する端末のみインストールできるようにします。これにより、Appleはクラウドサーバーに依存しながら適切なOSをハードウェア向けに提供できるようになり、OSの古いバージョンや脆弱性のあるバージョンをユーザーがインストールしてしまうことが防げるようになるわけです。

実際、こういった垂直統合型のセキュリティにより脆弱性のある古いバージョンのOSがインストールされる機会が減り、ハードウェアを接続して起動中にMacをクラックしたり、起動中に侵入するルートキットをインストールしたりする危険性が大幅に減少した模様。

そして、このアプローチがOSやアプリ、その他サービスのセキュリティ上の基盤を構築することにつながっているとTidBITSは記しています。例えばAppleの提供するメッセージアプリのiMessageは、Secure Enclaveを使用してメッセージを保護するための暗号化キーを保護しています。これによりAppleはiMessageでやり取りされるすべてのメッセージをのぞき見することができなくなっているとのこと。

垂直統合型のセキュリティを提供しているのはAppleだけではありません。実際、多くのAndroid端末が独自バージョンのSecure Enclaveのようなセキュリティチップを搭載しています。しかし、Androidの場合は端末メーカー側が独自のOSやサービスを提供しているわけではないので、Appleレベルのセキュリティを提供することは困難です。

TidBITSは垂直統合型のセキュリティについて、「現在と未来の脅威から身を守るための要となるものです。今日の攻撃者は非常に高度で熱心になっているため、OSとハードウェアを完全に統合しないまま安全なデバイスを構築することは非常に困難です」と説明し、ハッカーなどによる攻撃が高度に進化しているため、より高度な保護を提供できる垂直統合型のセキュリティの必要性を主張しています。

一方で、特定ベンダーのクラウドサービスに依存するということは、サービスがダウンした場合、あるいはベンダーがサービスの提供を中止した場合、ユーザーはハードウェア・ソフトウェア・サービスのすべてを使用できなくなってしまいます。Appleがすぐにサービスの提供をやめるということはありませんが、macOSの最新版である「macOS Big Sur」が配信された際には、Macが低速化するという事態が発生しました。

Mac向けの最新OS「macOS Big Sur」の公開でBig Sur以外のOSまで低速化する事態に - GIGAZINE

なお、「Appleプラットフォームのセキュリティ」の最新版が公開されたことにより、M1搭載Macには隠しブートモードの「1True Recovery」が存在することも明らかになっています。1True Recoveryを利用するには電源ボタンを2回長押しする必要があるとのこと。ただし、M1搭載MacBook Proでは1True Recoveryを利用することができたものの、M1搭載Mac miniでは利用することができなかった模様。

M1 Macs have another hidden boot mode – The Eclectic Light Company
https://eclecticlight.co/2021/02/20/m1-macs-have-another-hidden-boot-mode/