iOS の多層的セキュリティ設計

• iOSは、ハードウェアからアプリケーションまで複数の層で構成された保護システムを採用しています。
• セキュアエンクレーブによる暗号化処理や、システム完全性保護など、高度なセキュリティ機能を備えています。
• ユーザーによる適切な管理と基本的な注意により、さらに高い安全性を実現することができます。

1. iOSセキュリティの多層構造

iOS（iPhoneやiPadのOS）は、複数の層による保護システムを採用しています。

• ハードウェアによる保護
  セキュアエンクレーブ（専用の保護チップ）
• システムレベルでの保護
  セキュアブート機能
  サンドボックス方式
• データの保護
  ファイルシステムレベルでの暗号化
  デバイスロック時のデータアクセス制限
  セキュアエンクレーブでの暗号化キー管理
• アプリケーションのセキュリティ
  App Store審査プロセス
  ユーザーによるアクセス権限の管理
• ネットワークセキュリティ
  TLSやVPNなどの暗号化プロトコル対応
  iCloudキーチェーンによる安全なパスワード管理
• ユーザー認証
  生体認証、パスコードによる認証
  認証データのセキュアエンクレーブでの保護

この設計により、データやプライバシーを守る堅牢な防御を実現しています。

1-1. 端末の中核を守る仕組み（セキュアエンクレーブ）

iOSデバイスには、高度なセキュリティ機能が搭載されています。

「セキュアエンクレーブ」と呼ばれる専用チップが、重要な暗号化処理を安全に行います。
生体認証データの処理、暗号化キーの保管、セキュアな決済処理などを、メインシステムから分離した専用の保護環境で行っているのです。

例えば、Face IDやTouch IDなどの生体認証データも、このチップで厳重に保護されています。

デバイスの起動時には、セキュアブートと呼ばれる機能が働きます。
これは、システムが正しく改ざんされていないことを確認する仕組みです。

1-2. マルウェアを動作させないシステム

iOSは、システムを保護する仕組みを備えています。

端末の電源を入れると、起動の段階ごとに正しいプログラムかどうかの確認が行われます。
この「セキュアブート」は、不正なプログラムの実行を防ぎます。

また、アプリは他のアプリから隔離された環境で動作します。
これは「サンドボックス」と呼ばれ、アプリ同士が互いに干渉することを防ぎます。

• 他のアプリのデータにアクセスできない
• システムリソースへのアクセスが制限される
• 明示的に許可された機能のみ使用可能

1-3. 動かすアプリの範囲を選ぶ（AppStoreとアクセス権限）

App Storeで公開されるアプリは、アップル社が厳しく審査します。
この審査では、悪意のあるプログラムが含まれていないかを確認します。

1. すべてのアプリは、Appleによる審査と署名が必要です。
2. アプリが実行される際は、改ざんされていないことが確認されます。
3. アプリのデータは自動的に暗号化されます。
4. パスワードなどの重要な情報は、キーチェーンと呼ばれる安全な場所に保管されます。

利用者は、アプリごとにGPS情報やカメラの使用許可を設定できます。
これにより、アプリによる情報の過剰な収集を防げます。

1-4. 通信を守る仕組み

iOSは、インターネット通信を暗号化する仕組みを備えています。
また、iCloudキーチェーンという機能で、パスワードを安全に管理できます。

1-5. Face IDやパスキーによる認証

Face IDやTouch IDといった生体認証に加え、暗証番号による確認も可能です。
また、オンラインサービスを利用するときに、パスワードの代わりに端末内に保存した「パスキー」を使うこともできます。
これらの認証情報は、セキュアエンクレーブで厳重に保護されています。

2. セキュリティリスクと対策

もちろん、完全な防御は難しいため、以下のような対策も重要です：

1. システムを常に最新の状態に保つ
2. 不審なプロファイルをインストールしない
3. URLやメールの送信元を慎重に確認する
4. 二要素認証を利用する
5. 定期的にアプリの権限設定を見直す
6. 使わないアプリは削除する

このような多層的な保護により、iOSは高い安全性を実現しています。
ユーザーが基本的な注意を払うことで、さらに安全性を高めることができます。

こちらもどうぞ。

「多層防御」とは？

セキュリティ対策は、物理的・管理的・技術的という3つの方法で守ります。システムへの攻撃は入口・内部・出口の3段階で防ぎます。複数の守りを重ねると、一つの対策が破られても別の対策で防げます。【入門】セキュリティ対策の全体像私たちのスマートフォンやパソコンを守るセキュリティ対策には、守りを何重にも重ねる「多層防御（multi-layered security, defense in depth）」という考え方があります。一つの防御が破られても、別の防御で食い止められるようにする方...

chiilabo.com

[iPhone]ダウンロードしたファイルはどこにある？（iOSのファイル管理）

iPhone内の写真やビデオは「写真ライブラリ」に保存され、さまざまなアプリで「共有」できる仕組みになっています。しかし、iPhoneのアプリ内のデータは、基本的にアプリごとに「隔離」された保存領域（Data Container）に保存されます。ダウンロードしたデータも同様です。ただし、PDFや文書ファイルなどあとから閲覧するファイルなどは、「File Provider API」で「連携」させて、「ファイル」アプリの「ダウンロードフォルダ」に保存しています。「ファイル」アプリ...

chiilabo.com

iPhoneに「ウイルススキャン」がないのはどうして？（iOSの予防型セキュリティモデル）

リアルタイムスキャンはバッテリー消費が大きいですが、iOS環境では効果が限定的です。iOSではアプリのインストールをApp Storeからに限定している上、アプリ間のデータアクセスも厳しく制限しているからです。仮に悪意のあるプログラムがあっても、ユーザーのアクセス許可なしには、iPadやiPhone内にあるデータにアクセスできません。つまり、アクセス権限の確認で従来の「スキャン」を前倒しにしているわけです。従来型のウイルス対策ソフトが前提としていた脅威モデルそのものを、システ...

chiilabo.com

もしものためのiPhoneの機能リスト

iPhoneの主なセキュリティ機能を、端末内だけの設定、インターネットと連携する設定に区別して整理しておきましょう。もしものためのiPhoneの機能画面ロックとパスコードFace ID/Touch ID（生体認証）盗難デバイスの保護2ファクタ認証（二段階認証）iCloudバックアップ（データ復元）iPhoneを探す（iCloud）iPhone端末のセキュリティ（ローカル）iPhone端末で設定できる主なセキュリティ機能は、画面ロックとパスコードFace ID / Touch ...

chiilabo.com

「パスキーのすゝめ」（仕組みと二要素認証との違い）

パスキーは、パスワードに代わる新しい認証方法で、秘密鍵と公開鍵のペアを使用します。この方法は、フィッシング攻撃に強く、生体認証と組み合わせることで高いセキュリティと利便性を提供します。パスキーは同期サービスを通じて複数のデバイスで使用でき、将来的にオンライン認証の標準となる可能性があります。

chiilabo.com

問題. 「盗難デバイスの保護」と表示されたら、どうする？（iPhone）

iPhoneをアップデートしたら、「盗難デバイスの保護」という画面が出てきました。オンにしてもよいでしょうか？ デメリットはありますか？回答例「盗難デバイスの保護」は「オンにする」が良いと思います。iPhoneが盗まれたときに不正アクセスされるのを防ぎ、パスワード変更などを一時制限できるセキュリティ機能だからです。ほとんどのユーザーにとってメリットが大きいです。一応、デメリットを挙げるとすれば、iPhoneの故障などで生体認証が正しく作動しないと、パスワード変更などが面倒な点...

chiilabo.com

QRコードを読み込むと、関連記事を確認できます。