Appleが大手IT企業のライバル企業との差別化を図る上で、同社がこれまで自社の実績を力強くアピールしてきた分野が一つあります。それはセキュリティとプライバシーです。App StoreからHomeKitに至るまで、Appleはユーザーのデータがユーザーの所有物であることを徹底して保証することを強調しています。
これは当然のことのように思えるかもしれません。結局のところ、私たちはデバイスに人生の最もプライベートな情報を託し、その生活をますますオンラインで送っています。しかし、セキュリティが重要となるのは明白な場所(強力なパスワードの作成や二要素認証の使用など)だと思いがちですが、他にも個人データが漏洩する可能性のある方法は数多くあります。
時には、平均的なユーザーには理解しづらく、説明もしにくい小さな変更を加える必要があるかもしれません。しかし、長期的には大きなメリットをもたらす可能性があります。過去1年間だけでも、Appleはセキュリティ強化のために、ユーザーが意識していないような方法でいくつかの対策を講じてきました。また、意図した効果が得られなかった対策もいくつかあります。
信頼するが、証明する
2月にAppleは、9月以降Safariが13ヶ月以上経過したHTTPS証明書を受け入れなくなると発表しました。これはすぐに納得できるものではないかもしれませんが、それでも重要なことです。HTTPS証明書とは、ウェブサイトがユーザーの情報(名前、連絡先、クレジットカード番号など)を暗号化して安全に保つための暗号化メカニズムです。ブラウザのアドレスバーに表示される小さな南京錠アイコンで確認できます。
では、なぜこれらの証明書の有効期限を一定期間に限定する必要があるのでしょうか?運転免許証を例に考えてみてください。例えば、10年か20年ごとに更新するだけで済むとしたら、免許証はすぐに期限切れになってしまう可能性があります。写真が本人と似ていなかったり、住所が古かったり、眼鏡をかけているのに気づかなかったりするかもしれません。あるいは、誰かがあなたの身分証明書を入手して勝手に使用してしまう可能性さえあります。
ブラウザは、証明書の更新頻度を高めることで、すべての証明書が常に最新の状態であることを保証します。多くの企業は、管理下にある様々なサイト(例えばテストや開発用)向けに多数の証明書を作成しますが、それらのサイトが目的を終えると、それらは廃棄されてしまうことがあります。しかし、有効な証明書が長期間保存されることがあるため、悪意のある攻撃者によって悪用される危険性があります。
良いニュースは、この変更はすでに行われており、おそらく何も気づいていないということです。さらに、GoogleはChromeにも同様の変更を加えることに同意しました。ブラウジングの安全性はすでに向上しており、何もする必要はありませんでした。
Appleがインターネットセキュリティの強化に取り組んだのは、これだけではありません。先週、クパティーノに拠点を置く同社は、ウェブインフラおよびセキュリティ企業のCloudflareと提携し、DNSリクエストのより安全な方法を開発すると発表しました。
ドメインネームシステム(DNS)は、インターネットの電話帳のようなものです。ブラウザで「apple.com」と入力すると、コンピュータはIPアドレス「17.253.144.10」(実際には状況に応じて様々なIPアドレスが考えられますが、ここではあまり複雑には考えないことにします)のウェブサイトにアクセスしたいと認識します。
DNSシステムは分散型です。つまり、この情報を保存し、定期的に同期させるサーバーが無数に存在します。インターネットユーザーのほとんどは、おそらくインターネットサービスプロバイダー(ISP)が提供するDNSサーバーを使用しているでしょう。しかし、そこに問題があります。デフォルトでは、DNSリクエストは暗号化されずにプレーンテキストで送信されるため、ISP(またはサーバーの管理者)は、ユーザーがリクエストしたすべてのサイトを閲覧できます。つまり、その情報は(良くても)広告目的でユーザーをプロファイリングするために利用され、(最悪の場合)リクエストを傍受して偽のウェブサイトにリダイレクトされる可能性があります。
暗号化されたDNSリクエストが一般的になりつつある中、AppleとCloudflareは追加のセキュリティ対策として「オブリビアス・リクエスト」を提案しました。これはDNSクエリを暗号化するだけでなく、プロキシサーバー(ユーザーのコンピュータとDNSサーバーの間に設置されたコンピュータ)を経由させます。DNSサーバーはリクエストの内容を暗号化するだけでなく、リクエストの発信元や発信元を特定できません。
この提案はまだ標準化団体に正式に採用されていませんが、Appleが少なくとも実装を検討している可能性が高いようです。今後1、2年の動向に注目してください。
ファイアウォールを起動する
Appleの努力にもかかわらず、セキュリティ向上に向けたAppleの試みが必ずしも完全に成功しているわけではない。例えば、macOS Big Surが特定のトラフィック、つまりApple独自のアプリからのトラフィックをシステムのファイアウォールの通過から除外するという最近の発表があった。
りんご一見すると、これは理にかなっているように思えるかもしれません。結局のところ、Appleは自社アプリが安全だとわかっているはずです。問題は、承認されたアプリを悪用して、事実上あらゆるデータをファイアウォールを通過させることが、それほど難しくないということです。この記事の執筆時点では、Appleはこの決定に関する問い合わせにまだ回答しておらず、変更に向けた動きも見られません。今後のOSアップデートでこの決定が修正されることを期待しましょう。
テクノロジーとの関わり合いは常に利便性とセキュリティのバランスを取ろうとします。AppleはOblivious DNSやHTTPS証明書の有効期限短縮といったケースでは、そのバランスを巧みに保ってきたかもしれませんが、常に正しいバランスを保っている企業などありません。それでも、全体として見ると、Appleの傾向は、たとえほとんどのユーザーが気付かないようなケースであっても、セキュリティの向上に向かっているように見受けられます。
