Appleは長年Macの安全性を誇りとしてきましたが、Flashbackトロイの木馬のような最近の出来事は、同社が自社OSのセキュリティを当然のこととは考えられないことを証明しました。そして、Mountain Lionのセキュリティ強化は、Appleがそう考えていないことを如実に示しています。
門番
Mountain Lionの目玉となる新しいセキュリティ機能はGatekeeperですが、システム環境設定にはGatekeeper用の新しいパネルはありません。代わりに、「セキュリティとプライバシー」環境設定パネルの「一般」タブを開き、(管理者の認証情報を入力して)「ダウンロードしたアプリケーションの実行を許可」オプションをオンにします。この設定がGatekeeperのフロントエンドとなります。
そこには 3 つのオプションがあります。Mac App Store からダウンロードしたアプリ、Mac App Store および確認済みの開発者からのアプリ、またはどこからでもダウンロードしたアプリのみを実行するように選択できます。
最初の選択肢と最後の選択肢は分かりやすいものです。最初の選択肢は、Macで実行できるアプリをMac App Storeから入手したものに制限し、最後の選択肢はMacで実行できるアプリに制限を設けません。真ん中の選択肢については説明が必要です。開発者は誰でもAppleに登録して、アプリに暗号署名するための固有の証明書を取得できます。この署名のおかげで、Macは特定のアプリの背後にどの開発者がいるのかを識別できます。また、署名されたアプリが改ざんされているかどうかも判断できます。署名されたアプリが悪意のある動作をしていることが判明した場合、Appleはその開発者の証明書を取り消すことができます。その場合、ユーザーがアプリをインストールする前に警告が表示されます。
Gatekeeperは、アプリを初めて起動した時のみ保護効果を発揮します。そのため、Mountain Lionにアップグレードし、Mac App StoreのみのGatekeeper設定を選択した場合でも、過去に起動したことのある他のアプリであれば、引き続き自由に起動できます。
多くのMacユーザーは、Gatekeeperがポップアップ表示するメッセージに似たものを既に目にしたことがあるでしょう。以前のOS Xでは、インターネットからダウンロードしたアプリを初めて起動する際に、Macは確認を求めてきました。Gatekeeperでは、警告は新しくなりましたが、基本的な操作性は同じです。
Gatekeeperの設定によって起動できないアプリに遭遇した場合、システム環境設定を開いて修正する必要はありません。代わりに、実行しようとしているアプリのアイコンをControlキーを押しながらクリック(または右クリック)し、表示されるコンテキストメニューから「開く」を選択してください。すると、警告ダイアログボックスのバリエーションが表示されます。このダイアログボックスには、Gatekeeperの重大な警告を無視してアプリを起動するオプションが追加されています。この操作を行うと、それ以降はアプリを通常通り起動できるようになります。
その他の改善点
Mountain Lion は Gatekeeper に加えて、Mac のセキュリティを維持するためにさまざまなテクノロジーを活用します。
最も重要なのは、Mountain Lionではアプリを「サンドボックス化」するというLionの要件が拡張されていることです。サンドボックス化では、アプリがMacで何をしたいのかを具体的に要求する必要があります。つまり、何でも自由に実行できるという包括的な許可を与えるのではなく、アプリがMacで何を行いたいのかを具体的に要求する必要があります。サンドボックス化により、アプリがMac上で悪意のあるアクティビティを実行するのを防ぎ、セキュリティが侵害されたアプリがマシンに及ぼす損害を軽減できます。Mac App Storeの新しいアプリはすべてサンドボックス化されています。さらに、Appleが提供するいくつかのアプリ(FaceTime、メール、リマインダー、メモ、Game Center、Safariなど)もMountain Lionでサンドボックス化されています。
その他の新しいセキュリティツール:Mountain Lionはカーネルアドレス空間レイアウトのランダム化(ASLR)を採用し、悪意のある攻撃者がMacの低レベルシステム機能を悪用することを困難にしています。FileVaultをご利用の場合は、fdsetupコマンドラインツールの管理機能がアップデートされ、サードパーティ製ソフトウェアからFileVaultの様々な機能を制御・設定できるようになりました。セキュリティとプライバシー環境設定パネルで、位置情報へのアクセスを許可または拒否するアプリを選択できます。また、位置情報、連絡先、Twitterの認証情報にアクセスできるアプリをより細かく制御できるようになりました。
最後に、Mountain Lionはソフトウェアアップデートを毎日チェックします。以前のバージョンのOS Xでは、システムがアップデートをチェックする頻度を手動で設定でき、デフォルトは週1回でした。しかし、Mountain LionではソフトウェアアップデートがMac App Storeに移行し、Mac App Storeが起動していないときでもアップデートをチェックできるようになりました。新しいOS Xアップデートが利用可能になると、通知センターに通知が表示されます。そのため、Macを狙った新たなマルウェアが拡散し始め、Appleが修正プログラムをリリースした場合、Macユーザーは少なくとも以前よりも早く修正プログラムが利用可能になったことを認識できるはずです。
