セキュリティとスパム MacとWindows の互換性: ビジネスのためのクイックスタートガイド 2 セキュリティとスパム ビジネスのためのクイックスタートガイド 基礎情報 ハッカーやその他の脅威から身を守ることは、避けられない現実といえるでしょう。Mac OS X には、様々な攻撃から身を守ったり、不適切なメールが受信箱に届くのを防ぐための内蔵テクノロジ がいくつも用意されています。 ユーザにとってのメリット:スパムやその他のコンピュータセキュリティ上の脅威から守られて いれば、ユーザはスパムメールを削除したり、ウィルス感染したコンピュータの復旧依頼で IT 部署 に連絡したりといった、無駄な時間を費やすことなく業務に専念できます。 企業にとってのメリット:スパム対策を含むコンピュータのセキュリティ対策が万全であれば、 作業時間の逸失や予期せぬ IT 緊急費を最低限に抑えることができ、結果的には相当な費用削減に つながることがあります。また、業務上の機密情報が外部に漏洩するような事態も防げます。 各種規格と注目のキーワード 次にセキュリティとスパムに関連する主な用語を解説します。 AES-128 ビットと256 ビットの暗号化 AES(Advanced Encryption Standard:先進暗号化 規格)は、機密情報の保護手段として米国政府が推奨する暗号化テクノロジです。Mac OS X に 搭載の FileVault(ホームディレクトリ保護テクノロジ)、Disk Utility(暗号化されたディスクイメージ 作成ユーティリティ)といった機能には、この 2 つのなかでもより強力なAES-256が採用されています。 ファイアウォール ネットワーク経由でコンピュータと通信しようとしている相手がいないかを 監視するためのハードウェアおよび(または)ソフトウェアであり、危険と判断されるトラフィック をブロックする効果・役割もあります。Mac OS X にはファイアウォールが組み込まれており、設定 の詳細はシステム環境設定の「セキュリティ」ペインにて調整可能です。 キーチェーン 保護されたネットワークサービスへのアクセスや、暗号化されたディスクイメージ の解読などの操作に必要な「キー」 (つまり、パスワードとその他の個人情報)を保管するための、 Mac OS X に用意されたソフトウェアです。Mac OS X にログインするとシステムがキーチェーン を開くため、ユーザはユーザ名やパスワードをいちいち記憶する必要がありません。個々のアカウ ントのキーチェーンには、当該 Mac ユーザアカウントのログイン名とパスワードを知るユーザの みがアクセスできます。 3 フィッシング 詐欺の電子メールメッセージを用いて、秘密情報を得ようとする手法です。フィ ッシング詐欺のメッセージは、一見、正当な送信者(金融機関など)から送られたものに見えますが、 実際にはサイバー犯罪者によって送信が行われています。当該メッセージには、企業の正当なWebサ イトであるかのようなデザインを施した、偽Webサイトへのリンクが配置されていることが一般的 です。これらのサイトでクレジットカード番号やその他の個人情報を入力すると、入力情報が詐欺 メッセージを送信した個人または団体によって取得されます。 ポート コンピュータのネットワーキングソフトウェアが送受信したトラフィックを所定のサー ビスに割り振るための数値識別子です。例えばメールを送信する場合、ユーザのコンピュータはイ ンターネットサービスプロバイダのメールサーバアドレスのあるポートに接続します。そして、メ ールを受信する際には、ユーザコンピュータのアドレスの別ポートが用いられます。 スパム 迷惑メールのことです。スパムは受信箱が氾濫する状態を引き起こすことがあります。ま た、不適切なテキストやグラフィックスを含んでいたり、ウィルスやその他の不正なコンピュータ プログラムを普及・伝播させたりすることがあります。スパムに対しては、堅牢なアンチスパムテ クノロジを導入するインターネットサービスプロバイダを探す、Mailなどのアプリケーションの 内蔵スパムフィルタツールを利用するなど、多角的な対策を講じることが重要です。 SSL/TLS セキュアソケットレイヤ(Secure Sockets Layer)と転送レイヤセキュリティ( Transport Layer Security)の略です。この2つのプロトコルは、インターネット上で2台のコンピ ュータが通信するにあたり、セキュアで暗号化されたチャネルを提供します。例えばHTTPS接続で あれば、ユーザコンピュータとネットバンクWebサイトなどの間のトラフィックはSSLまたはTLS を用いて暗号化されます。Mac OS XはSSLとTLSに完全対応しています。 スパイウェア ユーザのアクティビティ(Webサイトの閲覧履歴やキーボードの打鍵履歴など) を記録し、その情報をほかのサイトに送信するコンピュータプログラム。スパイウェアはパスワー ドやその他の極秘情報を取得するために用いられることがあります。Mac OS Xはプログラムのイ ンストールに先だって、あらかじめユーザの指示・操作を求めることで、スパイウェアを排除する 手助けをします。 トロイの木馬 実際には別の目的があるにもかかわらず、無害(ゲームなど)を装ったコンピュー タプログラムのことです。例えばあるトロイの木馬プログラムは、ユーザを欺いてハッカーが当該 コンピュータを制御できるようにするためのソフトウェアをインストールさせようとします。ト ロイの木馬やその他の不正コードに対しては、Mac OS XのベースであるUNIXと、Apple独自開発 のセキュリティ機能が共同で堅牢な保護対策を提供します。 VPN Virtual Private Network(仮想プライベートネットワーク)の略です。自宅からダイアル アップ接続やブロードバンド接続(ケーブル/DSL)で会社のファイルサーバにアクセスするよう な場面でも、VPNを利用すれば遠隔地のコンピュータとの間でセキュアな接続を確立できます。 Mac OS Xシステム環境設定の「ネットワーク」ペインには、L2TPとPPTPのどちらのVPN接続に も対応できる設定が用意されています。 WEP/WPA Wired Equivalent PrivacyとWi-Fi Protected Accessの略です。WEPとWPAはユ ーザをワイヤレス通信の不正傍受から守るための2つの方法です。AppleのAirMacワイヤレスネ ットワーキングテクノロジは、これら両方のプロトコルに対応しています。 ネットワーキングおよびセキュリティ用語のさらに詳しい解説については、 Mac OS X Server用語集(www.apple.com/jp/server/documentationに掲載)およびMac OS Xセキュリティテクノロジブリーフィング(www.apple.com/jp/macosx/features/securityに リンクあり)をご覧ください。 Macの対応策 どのMacも箱から取り出した状態で非常にセキュアですが、さらなるセキュリティ対策を講じる ことも可能です。LeopardはOpen Brand UNIX 03 登録製品であり、ユーザの個人情報やオン OS X に組み込まれた セキュリティ機能の多くはデフォルトで有効化されています。Mac を保護するために専門家にな ラインアクティビティを保護するよう設計・開発されています。さらに、Mac らなくても済むよう、これらの機能は扱いやすく、しかも、ユーザの邪魔にならないよう配慮され ています。お使いのコンピュータに対する脅威が発生した場合は、Apple がインストールと管理に 手間のかからないソフトウェアアップデートを適宜提供し、素早く対応します。 4 もちろん、あなたの Mac と Mac 上に保管されている重要な情報に対しては、利用可能なすべての リソースを用いてセキュリティ対策を講じることが賢明です。Mac OS X 向けのアンチウィルス プログラムは商用製品とオープンソースのものが両方存在しています。また、Mail アプリケーション 内蔵のメールフィルタを補完するかたちで、メールフィルタソフトウェアを別途インストールすると いったことも可能です。ウィルス・スパム対策に関しては、インターネットサービスプロバイダ側 でも強力な保護策が講じられていることを確認するようにしてください。 出荷状態のセキュリティ対策 パーソナルファイル共有やリモートログインをはじめとするネイティブサービスは、すべてデフォ ルトでオフに設定されています。どのポート、どのサービスをオンにするかは利用者が制御できます。 たとえ特定のポートを開放する場合でも、内蔵のパーソナルファイアウォールがネットワークから の受信トラフィックを監視してコンピュータを不正アクセスから守ります。Mac OS X のパーソナ ルファイアウォールが有効化されている場合、受信接続はユーザが明示的な許可を与えない限り すべて拒否されます。Mac にはステルスモードも用意されています。このモードを利用すれば、 攻撃対象を探している不正ユーザにあなたの Mac の存在を知られることさえありません。 Mac OS X は、ユーザを欺くようなソフトウェアアプリケーションからユーザを守るようにも開発 されています。コンピュータへの不正アクセスを狙う攻撃者は、画像、ムービーまたは非実行形式 のファイルに見えるように、悪質なプログラムを偽装することがあります。これらのファイルは Web 閲覧中のダウンロード、または電子メールやチャットを介して入手することがあります。 ユーザが、認識のないコンピュータプログラムを含む恐れがあるファイル(不正プログラムが隠さ れた JPEG ファイルなど)をダウンロードすると、Mac はこれを検知して警告を発し、ユーザに処理 継続の許可を求めます。 セキュリティ上の Mac OS X 最大の強みといえば、Open Brand UNIX 03 の登録製品であることと、 SUSv3 および POSIX 1003.1 規格に準拠していることです。Mac OS X のコアには Mach 3.0 と FreeBSD 5 をベースに開発された UNIX 完全準拠のオープンソースオペレーティングシステムで ある、Darwin が採用されています。Darwin はオープンソースプロジェクトであるため、世界中の コンピュータプログラマとセキュリティ専門家が常にさらなる安全策と強化策を検討し続けて います。Apple は Darwin プロジェクトに積極的に関与しており、Darwin コミュニティからの最善 の提案・提言を Mac OS X のアップデートや最新リリースにて取り入れています。Apple は CERT/CC、FIRST、FreeBSD セキュリティチーム、米国国土安全保障省といった数々のセキュリティ 対策組織との間でも協業体制を敷いています。 セキュリティアップデートとセキュリティ関連ツール コンピュータのセキュリティ対策として最も重要なのは、オペレーティングシステムのアップデート が発表され次第、これを可能な限り迅速にインストールすることです。Mac OS X はアップデートの 有無を毎週確認するようにデフォルトで設定されています。しかも、さらなる安心を得るために、 セキュリティアップデートを自動的にダウンロードするよう設定することも可能です。Appleでは これらのアップデートに電子署名を付与しているため、ユーザはアップデートが信頼済みの発行元 から提供されていることを安心することができます。 Mac のほかのアプリケーションにも、セキュリティ関連のツールが内蔵されています。Safari には、 Web の閲覧履歴や入力した個人情報をキャッシュせずに Web サーフィンできる、プライベート ブラウズと呼ばれるオプションがあります。このオプションを利用すれば、あたかも Web を閲覧し ていなかったようにすることさえ可能です。また、Mail は、抜群のスパム検出精度を誇る、スパム発 信者からユーザを守るための強力な保護策と、ユーザの要求にあわせてカスタマイズできる柔軟 さを備えたフィルタを装備しています。 ホームフォルダの傘下にあるすべての情報は、他人の目にふれないようにすることさえ可能です。 Mac OS X 内蔵機能の FileVault は、最新の行政暗号化規格である AES-128 を用いて、ユーザの大切 な情報を守ります。FileVault はオンデマンドで即座にファイルの暗号化と解読を行うため、作業の 邪魔をするようなことはありません。ラップトップ型の Mac システムを外出先で使用しているよ うなケースでは、ホームフォルダの安全対策が特に重要です。 5 ホームフォルダに関しては、たとえ Mac を他のユーザと共用していても、Mac OS X に搭載されて いる UNIX ベースのマルチユーザ機能が、あなたのデータが他のユーザによって閲覧されることを 防止します。個々のユーザには独自のユーザ名、パスワード、キーチェーン、ホームディレクトリを それぞれ用意できます。しかも、管理者は各ユーザに許可する操作を指定して、さらなる制御性を 発揮することも可能です。 Leopardにはほかにも様々な面でセキュリティ対策が講じられています。一部では、ハッカーが アプリケーションを乗っ取って、不正コードを実行しようとすることがあります。Mac OS X Leopard に組み込まれているサンドボックス機能は、アクセス可能なファイルを制限したり、 ネットワークとの通信や他のアプリケーションの別途起動の可否を制限したりすることで、 アプリケーションが本来の目的のみに用いられることを促進します。また、Bonjour やSpotlight インデックス作成機能のためのソフトウェアといった Leopard の様々なヘルパーアプリケーションは、 攻撃者対策としてサンドボックスに入れられています。 プライベートブラウズ プライベートブラウズは図書館やネットカフェ、事務所などにある共用コンピュータを使用する 際に便利な機能です。「 Safari 」メニューの「プライベートブラウズ」をオンにすると、次のような 動作になります。 • 履歴ファイルには Web ページの閲覧履歴が追加されません。 •「ダウンロード」ウィンドウの項目が自動的に削除されます。 • 名前やパスワードなどの情報が自動入力に保存されません。 • Google 検索ボックスの検索履歴ポップアップメニューに検索項目が追加されません。 Mac OS X の重要なセキュリティ機能には、ほかにも以下のものがあります。 セキュアなキーチェーン Mac OS X のキーチェーンにはユーザ名やパスワードが保管できるので、 これらの情報を記憶しておく必要がありません。一度、1 つのパスワードを用いてキーチェーンの ロックを解除すると、ファイルサーバやWebサイト、電子メールアカウント、.Mac アカウントなど への認証がすべて自動的に行われます。キーチェーンにどのデータを保管し、どのデータを保管し ないかはユーザが指定できます。 ワイヤレスの暗号化 ワイヤレスネットワーク通信時には、WPA または WEP のいずれかを使って データを安全に暗号化できます。 認証 Mac OS X は、ネットワークリソースと LDAP バージョン3 へのシングルサインオン認証に は Kerberos 、ディレクトリサービスへの認証には Active Directory にそれぞれ対応しています。 Kerberos 化されたアプリケーションには、Safari と Mail が含まれます。 Virtual private network(VPN) 企業組織ネットワークへのセキュアなリモートアクセスには、 L2TP とPPTP のどちらのプロトコルも利用できます。 6 MacとWindowsの互換性 Mac コンピュータは様々な業界規格と Microsoft のプロプライエタリプロトコルに対応して いるので、Windows ベースのセキュリティ環境にもスムーズに Mac を統合できます。 Mac OS X ユーザは Kerberos 認証を導入する様々なオンラインリソースにアクセスできます。 Apple の Open Directory アーキテクチャは業界標準の LDAP バージョン3 プロトコルをベースに 開発されています。社内で Microsoft のプロプライエタリな Active Directory システムを導入して いる場合、ネットワーク管理者は単一の認証ポリシーを設定して Mac OS X ユーザと Windows ユーザの両方がログインと認証を済ませられるようにすることが可能です。Mac OS X は Microsoft の NTLM バージョン2 認証プロトコルにも対応しています。 Mac OS X 内蔵のVPN クライアントは、L2TP と PPTP の両方のプロトコルに対応しているため、 Cisco や Microsoft のものも含め、一般的な VPN サーバとの互換性があります。 また、Mac ユーザは、ワイヤレス接続のセキュリティ対策として広く普及する、WPA と WEPの どちらで保護されたネットワークにも接続できます。 Mac OS XのMailはスパム対策として、Brightmail AntiSpam、Apache SpamAssassinなどの ネットワークメールセキュリティ製品によって処理されたフィルタリングを利用できます。 この際、これらの製品がどのコンピュータプラットフォームで実行されているかは問われません。 セキュリティ対策を始める Mac OS Xにはユーザを守るためのセキュリティ機能が数多く用意されています。ここからは、 より一般的な項目について解説します。 パスワードアシスタント よりセキュリティの高いパスワード設定を支援するために、Mac OS Xには「パスワードアシス タント」と呼ばれる機能があります。このアシスタントが候補として挙げるパスワードは、Macや セキュアな Web サイトへのログイン、あるいはその他の様々な用途のパスワードとして利用できます。 システム環境設定を開き、 「アカウント」をクリックします。 「アカウント」ウィンドウが開いたら、自分のアカウントを選択します。画面下部の南京錠が施錠 された状態の場合は、Mac ユーザアカウントのパスワードを入力してこのロックを外す必要が あります。自分のアカウント情報が表示されたら、 「パスワード」タブを選択し、 「パスワードを変更」 ボタンをクリックします。 「新しいパスワード」欄のそばにあるカギのアイコンをクリックします。 「パスワードアシスタント」ウィンドウが開きます。 7 パスワードアシスタントでは、候補に挙げるパスワードのタイプ(「記憶しやすい」や「ランダム」 など)とその文字列の長さが指定できます。設定の調整が完了したら、パスワードアシスタントが 品質分けされた10 個のパスワード候補を表示します。この画面の「手入力」を選択し、一度、自分で 考えついたパスワードの安全品質を確認してみてください。 タイプの選択肢には、 「FIPS-181準拠」が含まれています。このパスワードタイプは、米国商務省が 定める発音可能なランダム生成パスワードの要件を満たしています。 アプリケーションダウンロード時の警告 Apple 製 Web ブラウザのSafari は、通常のファイルと実行可能形式のアプリケーションが含まれた ファイルを区別することができます。後者がダウンロードされた場合、Safari は警告を発します。 ダウンロードしたアプリケーションが必要なものであれば「続ける」を、実行可能形式のプログラムを 予期していなかった場合は、 「キャンセル」をそれぞれクリックします。 ソフトウェアインストール時の認証 Mac にはユーザの同意なしにソフトウェアはインストールされません。インストーラを使用する 際、あるいは「アプリケーション」フォルダにプログラムをドラッグする際には、必ずパスワードを 入力する必要があります。 迷惑メールフィルタ Apple の Mail アプリケーションは、迷惑メールが受信箱に配信されるのを防止するお手伝いを します。Mail ではすでに、ある条件の迷惑メールフィルタが有効化されています。このフィルタを 切ることもできれば、設定をカスタマイズすることも可能です。設定を調整するには、 「Mail」 メニューの「環境設定」を選択します。そして、 「迷惑メール」アイコンをクリックし、設定オプション を適宜調整します。 ご利用中のインターネットサービスプロバイダが Apache SpamAssassin 、Brightmail AntiSpam などのスパム解析ツールを導入している場合、Mail はこれらのサービスの恩恵を受けることが できます。インターネットサービスプロバイダのフィルタリングサービスを利用したくない場合は、 「インターネット・サービス・プロバイダが設定した迷惑メールヘッダを信頼」のチェックを外します。 8 一部の迷惑メールには、HTML を利用して、送信者のサーバから読み込む際にユーザのコンピュータ のインターネットアドレスが漏洩する仕組みを含んだグラフィックスが埋め込まれていることが あります。Mail がメッセージを迷惑メールと判定した場合、当該メッセージに関連づけられた HTML 画像は読み込まれません。仮にこれらの画像を表示したい場合は、メッセージ本文の上に 表示される迷惑メール警告内の「イメージを読み込む」ボタンをクリックします。 「迷惑メール」設定ウィンドウの「カスタムの操作を実行」を選択し、 「詳細」ボタンをクリック します。この画面では、迷惑メールとするメッセージの判定基準と、判定後の Mailの動作を設定し たフィルタが調整できます。前ページのスクリーンショットは詳細設定ウィンドウの一部の項目を 示したものです。 パーソナルファイアウォール Mac OS X はネットワークトラフィックを監視することで、不正アクセスから Mac を守るファイア ウォールとしても機能します。パーソナルファイアウォールが有効化されている場合、ユーザが 明示的な許可を与えたものを除き、受信接続はすべて拒否されます。Mac OS X のファイアウォールは、 インターネット上で最も重要な基幹業務に用いられる、UNIX コンピュータの保護テクノロジを ベースに開発されています。 Mac OS X のファイアウォールを有効化するには、まず、システム環境設定の「セキュリティ」 ペインを開き、 「ファイアウォール」タブをクリックします。 「開始」をクリックしてファイアウォールを有効化します。 ステルスモード ステルスモードは Mac 自体の存在を隠すことによって、あなたのMacを不正接続から守ります。 ハッカーが攻撃対象のコンピュータを探すために、インターネット上で「ピング」を送信したとし ても、ステルスモードを有効化した Mac は反応しません。 ステルスモードを有効化するには、 「ファイアウォール」ウィンドウの「詳細」ボタンをクリックします。 「ステルスモードを有効にする」オプションにチェックを入れると、インターネットに接続している、 あなたのMac の存在を隠すことができます。 ステルスモードを有効化するほかにも、パーソナルファイアウォールのアクティビティをログに 記録することが可能です。 9 確実にゴミ箱を空に Mac OS X では、不要になった機密ファイルを永久的に削除することができます。従来のファイル 削除処理ではファイル名がディスクのディレクトリから削除されるだけで、当該ファイルのデータは そのままになります。一方の「確実にゴミ箱を空にする」を使用すると、削除したファイルは即座 に無意味なデータで上書きされます。当該ファイルは抹消され、復元することもできません。 このさらにセキュアなファイル削除機能を利用するには、単に、 「 Finder 」メニューの「ゴミ箱を空 にする」の代わりに、 「確実にゴミ箱を空にする」を選択します。 その他のセキュリティ設定 システム環境設定の「セキュリティ」ペインでは、その他の追加セキュリティオプションも設定で きます。Dockの「システム環境設定」アイコンをクリックして、システム環境設定を起動します。 次に、 「セキュリティ」アイコンをクリックします。 「セキュリティ」ペインでは FileVault の暗号化機能や、コンピュータのアクセス制御に関するいく つかの機能が有効化できます。(注意:管理者としてではなく、一般ユーザとして Mac にログイン している場合、これらの設定にアクセスできないことがあります。) 「セキュリティ」ペインの設定には、一部、特にモバイルユーザにとって重要なものがあります。 例えば FileVault を有効化すると、データを AES 128-bit で暗号化し、ホームフォルダを保護する ことができます。ラップトップが悪質な第三者の手に渡るようなことがあっても、ユーザのログイン 情報とパスワードなしには、データを解読したり、データにアクセスすることができません。また、 「リモートコントロール赤外線レシーバー無効にする」を有効化しておけば、最寄りの IR 機器に よって使用中のコンピュータが不正に制御される事態を防ぐことができます。(赤外線受信を完全 に無効化する方法以外にも、Mac OS X では特定のリモコン機器とMacを関連づける方法があります。) さらに、スクリーンセーバ表示やスリープモードを解除する際には、パスワードの入力を強制する ことも可能です。 職場から離れても 自宅には複数のコンピュータがありませんか? Apple の AirMac Extreme ベースステーションと Time Capsule は、宅内ネットワークとインターネットを分けるために利用できる、ファイアウォール 機能を内蔵しています。このファイアウォールがあれば、自宅のすべてのコンピュータをインター ネットの脅威から守りつつも、家族全員にとって便利なワイヤレスネットワークを構築することが できます。 詳しくは、www.apple.com/jp/airmacextreme/security.html をご覧ください。 Mac OS Xのセキュリティ機能については、www.apple.com/jp/macosx/security/でご覧いた だけます。 10 Mac OS Xのその他のセキュリティ機能 • セキュアなバックアップ作成とデータ転送を可能にするディスクイメージ暗号化機能 • リモートコンピュータへのセキュアなログインを可能にするセキュアシェル(SSH) • 暗号化と認証に対応したインターネット通信で実現する(電子メールやチャットセッション用 などの)セキュアな Web( SSL および TLS ) • 電子メールのための S/MIME 暗号化 • Webサイト認証のための X.509 電子証明書(詳しくは www.apple.com/jp/macosx/security/をご覧ください)。 関連情報 www.apple.com/jp/macosx/security/ www.apple.com/jp/why-mac/better-os/#viruses www.apple.com/jp/macosx/what-is-macosx/safari.html www.apple.com/jp/macosx/what-is-macosx/mail-ical-address-book.html Macとビジネスについてさらに詳しくは、www.apple.com/jp/businessをご覧ください。 © 2008 Apple Inc. All rights reserved. Apple、Appleロゴ、Keychain、Mac、Mac OSは、米国およびその他の国で登録されているApple, Inc.の Inc.の商標です。AppleCare、Apple Store、.Macは、米国およびその他の国で登録されているApple, Inc.の サービスマークです。Intel、Intel Coreは米国およびその他の国で登録されているIntel Corp.の商標です。UNIXは、米国およびその他の国で登録されて いるThe Open Groupの登録商標です。Mac OS X Serverバージョン10.5 Leopardは、Open Brand UNIX 03登録製品です。この資料に記載されて 商標です。FileVault、LeopardはApple いるその他の製品名および会社名は、各社の商標または登録商標です。製品仕様は予告なく変更されることがあります。本資料は情報提供の目的で 提供されています。Appleは、本資料の使用による責を一切負いません。 2008年4月 L369477A-US
© Copyright 2024 Paperzz
