エンタープライズにおける Macコンピュータのセキュリティ

Appleテクニカルホワイトペーパー
エンタープライズにおける
Macコンピュータのセキュリティ
2012年10月
Mountain Lion 10.8
目次
概要
3
サービスとアプリケーションの保護
4
Gatekeeper
4
デジタル署名とDeveloper ID
4
アプリケーションのサンドボックス化
5
強制アクセス制御
5
ランタイム保護
6
実行の無効化
6
システムライブラリのランダム化
6
アドレス空間レイアウトのランダム化
6
データ保護
7
FileVault
7
暗号化されたディスクイメージ
7
キーチェーン
8
確実な消去
8
リモートロックおよびリモートワイプ
9
安全なネットワーキング
10
強力な認証
10
セキュアトランスポート
10
ファイアウォール
10
隔離
10
アプリケーションのプライバシー
11
結論
12
Appleテクニカルホワイトペーパー
エンタープライズにおけるMacコンピュータのセキュリティ
概要
OS Xは自動的で使いやすいシステムセキュリティの提供と保守に徹底的に配慮してデザ
インされています。Appleは、高度な設定や特別なツールなしに、OS Xがシステム、ソ
フトウェア、データに対して保護を確実に提供するよう努力しています。組織のセキュ
リティ戦略の検討にあたり、不正なユーザーやアクセスから保護するとともに、ビジ
ネスのニーズにも適合する、さまざまなテクノロジーを組み合わせることが非常に重
要です。
Macは、一連の保護システムと、潜在的な脅威を特定してこれを未然に防ぐアプローチ
によって、セキュリティの脅威に対し強固な防御策を提供するよう設計されています。
以下のような防御策があります。
• 詳細レベルでのシステムリソースへのアクセス管理
• 高度なランタイム攻撃の回避
• ネットワークに起因する脅威に対する保護
• ソフトウェアの整合性と正当性の検証
• 不明なファイルの隔離
またAppleは、ユーザーと企業データの両方の機密性を保護するための多くのセキュ
リティ機能も実装しています。こうした機能は、ローカルボリュームまたはリムーバブ
ルボリュームに格納されているデータ(静的に保存されているデータ)の保護や、
ローカルネットワーク上で共有されているデータや、インターネット経由で移動する
データ(送信中のデータ)の保護を提供します。こうしたテクノロジーの多くはオペ
レーティングシステムの設計に内在しており、設定をしなくとも有効になっていま
す。FileVault
2など、ユーザーでもIT部門でも簡単に有効にして設定できるその他の
機能もあります。
OS Xはオープンソースコンポーネントを基盤に構築されています。この基盤は、長年
にわたってApple、サードパーティのデベロッパ、およびセキュリティの専門家によ
る徹底的な精査を受けてきました。Appleは、OS Xの多くのコンポーネントの開発プ
ロセスをサードパーティのデベロッパと共有することで、オープンソースコミュニティ
に参加しています。Appleのこの取り組みにより、改善意見を取り入れ、OS
Xの重要
なコンポーネントの多くに可能な限りの安全性を装備するために必要な透明性が確保
されます。
Appleはまた、CERT、FIRST、FreeBSDセキュリティチーム、政府のセキュリティ専
門家を含む幅広い情報セキュリティコミュニティとも協力しています。こうした取り組
みにより、テクノロジー実装の見直しと検証を共同で行うことができるほか、継続的
なセキュリティガイダンスが生み出されています。OS Xシステムのセキュリティ設定
の改良に関するディスカッションの詳細は、Appleの一般公開ページ「Apple製品のセ
キュリティ」(www.apple.com/jp/support/security/)で参照できます。また、
NSA Information Assurance Webサイト(www.nsa.gov/ia/mitigation_guidance/
security_configuration_guides/operating_systems.shtml)でも参照できます。
3
Appleテクニカルホワイトペーパー
エンタープライズにおけるMacコンピュータのセキュリティ
サービスとアプリケーションの保護
OS Xには、Macシステムのセキュリティを確保する幅広いテクノロジーが搭載されて
います。最も重要なテクノロジーの1つに、アプリケーションが安全であり、個人、マ
ルウェアまたはファイル破損によって改ざんされていないことを証明するためのデジ
タル署名の使用があります。アプリケーションとサービスのサンドボックス化は、問
題のあるアプリケーションやプロセスの影響を最小限にとどめます。強制アクセス制
御はほかのセキュリティテクノロジーと連係し、システム、アプリケーション、データ
の安全性を確保します。
Gatekeeper
Gatekeeperを使うと、アプリケーションのインストールに必須のセキュリティレベ
ルを設定できます。安全性を最優先にする場合は、Mac App Storeのアプリケーショ
ンだけをインストールするように設定します。Mac App Storeのアプリケーション
と、Developer IDがあるアプリケーションだけのインストールに限定することもでき
ます。さらに社員や組織は、これまでと同様にあらゆるソースからアプリケーション
をインストールできます。また、あらゆるアプリケーションをインストールできるよ
う、設定を一時的にいつでも変更することもできます。組織でGatekeeperを使用する
場合は、モバイルデバイス管理(MDM)を使用してこの設定を管理できます。
デジタル署名とDeveloper
ID
OS Xは、システムとアプリケーションのセキュリティを大幅に強化するために、シス
テム上の各アプリケーションにデジタル署名を使用します。 Apple Developer
Programでは、各企業がMac用ソフトウェアを作成し、Developer IDを使ってアプ
リケーションに署名を付けることを許可しています。Appleが確認するこのデジタル証
明書は、2つのレベルで保護を提供します。
まず、OS
XはMacシステムにインストールされたアプリケーションが、デベロッパか
ら入手した本物のアプリケーションであることを確認します。ユーザーがアプリケー
ションを起動すると、Macシステムはそのアプリケーションの信頼性を検証します。
署名がアプリケーションに埋め込まれているため、正当なアプリケーションに一致する
名前、アイコン、その他のコンテンツを持つ項目であっても偽物であることを特定でき
ます。この機能はマルウェアまたはスパイウェアの存在をユーザーに警告します。
次に、OS
Xはデジタル署名を使ってアプリケーションのデータの整合性を検証し、マ
ルウェアによる改ざんがないこと、破損または感染していないことを確認します。改
ざんされている場合や、破損または感染している場合、ユーザーが障害のあるアプリ
ケーションを起動しようするとシステムが警告します。アプリケーションにデベロッ
パの署名がない場合でも、OS
Xはアプリケーションの初回実行時にローカル署名を
使ってアプリケーションに署名し、この署名を基にアプリケーションを検証します。
構成プロファイル、さらにはペアレンタルコントロールなど、OS
Xのクライアント管
理オプションはすべて、アプリケーションの署名を使ってアプリケーションへのアク
セスを制限しています。ユーザーが制限されたアプリケーションの名前を変更して
も、実行することはできません。
4
Appleテクニカルホワイトペーパー
エンタープライズにおけるMacコンピュータのセキュリティ
アプリケーションのサンドボックス化
サンドボックス機能は、アクセスを許可するデータを制限したり、ネットワーク上で
通信したり、ほかのアプリケーションを起動したりできないようにして、アプリケー
ションを制御します。これにより、ソフトウェアが意図した処理だけを実行し、不正
なコードがアプリケーションやシステムサービスをハイジャックできないようにしま
す。Mac
App Storeからダウンロードしたアプリケーションは、サンドボックス化さ
れた状態でのみ実行されます。サンドボックス機能をデジタル署名と組み合わせて使
用することで、AppleのMac
App Storeから購入したソフトウェアの安全性が確保さ
れます。組織内でこうしたアプリケーションを中心に標準化すれば、Macシステムに
配備するアプリケーションを安心して使うことができます。
サンドボックス化は、個々のアプリケーションだけにとどまりません。OS
Xの多くの
システムサービスが、システムのセキュリティを確保するためにサンドボックス化さ
れています。高レベルのサンドボックス化の例には、BonjourやSpotlightなど、任意
のファイルにアクセスしたり、ネットワーク上で通信したりできるサービスがありま
す。Appleはこうしたサービスやアプリケーションを使って、機能を犠牲にすること
なく、統合されたレベルでセキュリティを提供できるよう努めています。
強制アクセス制御
OS Xは、強制アクセス制御という、詳細なアクセス制御メカニズムを備えています。
この制御では、ネットワーク、ファイル、プロセス実行など、システムリソースへのア
クセスが制限されます。この制限はスーパーユーザー(「root」)として実行するプ
ロセスにも適用され、明示的に許可されたリソースのみを使用できるようにします。
強制アクセス制御は、Gatekeeperやアプリケーションのサンドボックス化など、OS
Xの複数の機能の基礎となっています。
5
Appleテクニカルホワイトペーパー
エンタープライズにおけるMacコンピュータのセキュリティ
ランタイム保護
OS Xは、オペレーティングシステムとアプリケーションを保護するための多くのハー
ドウェアおよびソフトウェア手法を採用しています。こうしたランタイム保護は、悪
質なコードの不正な実行を防ぎ、高度な攻撃の影響を軽減して、データやシステムリ
ソースへの不正なアクセスを防ぎます。このような内蔵テクノロジーのすべてを組み合
わせることで、マルウェアに対する多層的な保護が可能になります。
実行の無効化
システムに不正にアクセスするためによく使う攻撃の 1 つに「バッファオーバーフ
ロー」があります。バッファオーバーフローでは、入力データ用に確保されたメモリを
いっぱいにすることで、悪質なペイロードを送信して実行します。OS
Xは、Intelマイ
Disable)機能を利用して、この攻撃に対
する保護を提供します。コンパイル時、Xcodeデベロッパツールは、実行可能コード
とデータ含むアプリケーションの特定の部分をマークします。Macプロセッサは実行
クロプロセッサで使用可能なXD(eXecute
時にこれらのフラグに従って、バッファオーバーフロー攻撃のリスクを軽減します。
システムライブラリのランダム化
「return-to-libc」は、スタックとシステムライブラリのメモリアドレスを操作するこ
とで、Macに悪質なコードを実行させようとする攻撃です。OS
Xでは、システムライ
ブラリのメモリアドレスはインストール時にランダムに生成されます。このランダムな
アドレス生成は、システムソフトウェアのアップデート後に実行されますが、コマン
ドラインツールを使って手動で開始することもできます。いずれの Mac システムで
も、特定のライブラリ関数のメモリアドレスは、数千というランダムな位置の1つに固
定されます。エンタープライズ全体での配備におけるランダム化はすべてのMacで異な
るため、「return-to-libc」攻撃がはるかに困難になります。
アドレス空間レイアウトのランダム化
ASLR(Address Space Layout Randomization)は、メモリアドレスをさらに複雑
にして潜在的な攻撃を防ぐよう設計されています。Macの大容量の64ビットのメモリ
スペースを使用することで、ASLRは実行可能コード、システムライブラリ、関連する
プログラム構成要素をPIE(Position Independent Execution)のランダム化された
場所に配置します。これにより、「return-to-libc」や「シェルコード」攻撃などの高
度な攻撃に対する防御を強化します。
6
Appleテクニカルホワイトペーパー
エンタープライズにおけるMacコンピュータのセキュリティ
データ保護
OS Xは、Macシステムに保存されているデータの安全性を確実にするための使いやす
い方法を提供します。ほかのシステムやデバイスと同じように、OS Xではファイルと
データの暗号化を使ってプライバシーを確保します。Appleは、信頼できるユーザー
にできるだけ意識させず、安全で使いやすい暗号化ツールの提供に取り組んできまし
た。さらに、OS
XはMacシステム上のデータのサニタイズ処理を安全にするための
ローカルおよびリモートでの方法を提供します。この方法を使用すれば、コンピュー
タを廃棄、再利用する場合や、紛失、盗難時でもデータの復元を防ぐことができま
す。OS
Xの確実な消去機能は、磁気メディアのサニタイズに関する米国国防総省の規
格に準拠しています。
注意:OS X Mountain Lionの確実な消去機能は、MacBook Airなどのフラッシュ
ストレージのサニタイズについては規格に準拠していません。
FileVault
FileVault 2では、「静的に保存されているデータ」をボリューム全体の暗号化によっ
て保護します。この保護は、内部ドライブおよびリムーバブルドライブの両方に適用
できます。FileVault
2では、Macシステムの紛失、盗難の際にもすべてのデータを保
護できるように、XTS-AES-128暗号化が採用されています。エンタープライズ組織で
は、Macシステム上、特にMacBook
Airなどのポータブルシステムに保存されている
機密情報の保護にFileVault 2の使用を検討すべきです。
MacシステムでFileVault 2を有効にした場合、プリブート認証によってユーザーのロ
グイン認証情報の入力が求められます。起動プロセスを続行するには、有効な認証情
報を入力する必要があります。また、ターゲットディスクモードなど特殊な起動モー
ドへのアクセスを取得する場合も、有効な認証情報の入力が必要です。有効なログイ
ン認証情報または復旧キーを入力しない限り、物理ドライブが取り外され、別のシス
テムに接続された場合も、ボリューム全体は暗号化され、不正なアクセスから保護さ
れた状態が維持されます。
FileVault 2を有効にした場合、最初の暗号化はユーザーに意識させることなくバック
グラウンドで高速に処理されます。FileVaultは、バランスの取れたシステム性能を実
現するため、より優先度の高いユーザータスクやアプリケーションにプロセッササイ
クルを譲渡します。最初の暗号化が完了すると、データはすべて保護されます。
FileVaultは、使用されているデータが暗号化され、必要に応じて実行時に復号化され
るようにします。
FileVault 2の設定の際、ユーザーがパスワードを忘れた場合や使用できない場合に備
え、暗号化されたボリュームへのアクセスを許可するための個人の復旧キー(PRK)
が生成されます。エンタープライズ環境では、IT組織(BYODの場合は、コンピュータ
の所有者)がこのPRKを記録し、安全な場所に保管できます。IT部門は、必要に応じ
て法的および電子的な検出プロセスに対応できるよう、団体の復旧キー(IRK)を導入
する必要があります。
暗号化されたディスクイメージ
「ディスクユーティリティ」およびサードパーティ製ツールを使用すると、暗号化され
たディスクイメージを作成できます。システム配備で使用されるイメージとは異なり、
暗号化されたディスクイメージは機密書類やその他のファイルの保存または転送に使
7
Appleテクニカルホワイトペーパー
エンタープライズにおけるMacコンピュータのセキュリティ
用される安全なコンテナとして機能します。ディスクイメージは128ビットまたは256
ビットAES暗号化のいずれかで暗号化できます。マウントされているディスクイメージ
は、 Mac システムに接続されているローカルボリュームとして扱われるため、この
ディスクイメージに保存されているファイルやフォルダのコピー、移動、または開くこ
とができます。FileVault 2と同じように、ディスクイメージの中身はリアルタイムで暗
号化および復号化されます。暗号化したディスクイメージをリムーバブルメディアに保
存したり、Eメールで送信したり、リモートサーバに保存したりすることで、書類、
ファイル、フォルダを安全に交換することができます。
キーチェーン
セキュリティ上、リソースごとに別のパスワードを使用することが望ましい方法です
が、今日ユーザーが使用しているファイルサーバ、ウェブサイト、 E メールアカウン
ト、暗号化されたボリューム、パスワードで保護されているその他のリソースの数を
考えると、これは非常に困難です。OS
Xは、キーチェーンと呼ばれる安全な保存方法
を提供します。キーチェーンは、デジタル ID 、ユーザー名とパスワード、暗号化
キー、秘密メモなどの認証情報を保存する便利で安全なリポジトリです。キーチェー
ンを使用すると、各リソースの認証情報の入力が不要になり、認証情報を覚える必要
さえなくなります。デフォルトで各Macユーザーにキーチェーンが作成されますが、
特定の目的のために追加のキーチェーンを作成することもできます。
ユーザーキーチェーンのほか、OS
Xは多くのシステムレベルのキーチェーンを使用し
て、ネットワーク認証情報や公開 インフラストラクチャ(PKI)など、ユーザーに固
有ではない認証アセットを管理します。「システムルート」と呼ばれるキーチェーン
は、インターネットPKIルート認証情報の変更不可の格納場所で、オンラインバンキン
グやEコマースなどの一般的なタスクを容易にします。IT管理者は、社内サイトやサー
ビスを検証するために、社内で提供された認証局(CA)の証明書を管理対象のMacに
導入できます。
確実な消去
OS Xを含む標準的なコンピューティングモデルでは、ファイルやデータは、「削除さ
れた」データが使用していた保存場所に別のファイルが書き込まれると、ストレージ
デバイスから削除されます。商用のディスク管理、データ復元および科学捜査ツールの
多くは、削除されたデータをデバイスから復元する機能を提供します。データが部分
的に上書きされている場合でも、元のファイルはある程度再構築されます。
これは、エンタープライズや個人のユーザーにとってセキュリティ上のリスクとなり
ます。データを復元できないようにするには、2つのオプションがあります。1つ目の
オプションは、データを安全に暗号化し、システムまたは外付けドライブのユーザー
認証情報と復旧キーのセキュリティを確保することです。物理メディアの紛失や盗難
時、障害発生時でも、復号化の認証情報が安全であればデータの安全性は保たれます。
2つ目のオプションは、「確実な消去」というサニタイズ機能を使用することです。前
述の通り、OS Xは元のドライブの中身(または、未使用領域とマークされ、削除済み
のファイルを含むドライブの一部)を上書きすることでデータをサニタイズ処理する
ツールを提供します。パスの回数と、各パスで特定のデータパターンやランダムデータ
が使用されるかどうかに応じて、さまざまなセキュリティレベルが可能です。OS
Xの
「ディスクユーティリティ」は、ボリューム全体または未使用領域での複数のサニタイ
8
Appleテクニカルホワイトペーパー
エンタープライズにおけるMacコンピュータのセキュリティ
ズ処理オプションを提供します。磁気メディアのサニタイズに関する米国国防総省の
規格(DOD 5220-22M)に準拠する7回消去オプションを使用できます。
また、Finderの「確実にゴミ箱を空にする」コマンドを使ってファイルを削除して、
サニタイズ処理を開始することもできます。このコマンドにより、1回消去を使って削
除されたファイルが上書きされます。
リモートロックおよびリモートワイプ
OS X Serverのプロファイルマネージャ(およびサードパーティのMDMソリューショ
ン)を使用すると、システムの紛失または盗難の際にシステムをリモートでロックし
てワイプできます。多くのMDMソリューションには、ユーザーがMacシステムを登録
し、承認済みアプリケーションをダウンロードできるセルフサービスポータルが含ま
れています。ほとんどのMDMパッケージには、IT部門からのサポートに頼ることな
く、このセルフサービスポータルを使ってMacシステムやその他のデバイスをリモー
トでロックおよびワイプし、場所を特定する機能が搭載されています。
9
Appleテクニカルホワイトペーパー
エンタープライズにおけるMacコンピュータのセキュリティ
安全なネットワーキング
今日のモバイル社会では、多くのデバイスが信頼できないネットワークから企業のリ
ソースに接続しています。OS
Xには、Macが安全なネットワークに接続し、ユーザー
とシステムを認証して、受信ファイルを隔離および検証し、送信データを保護するテ
クノロジーが組み込まれています。またOS
Xには、連絡先や位置情報などの個人情報
が誤って漏洩されないように設計されている機能もあります。
強力な認証
OS Xは、Microsoft Active Directory、RADIUS、802.1xなど、多くの一般的な認証
システムと連携します。管理者はこうしたテクノロジーを使って、ユーザーアカウント
をコントロールし、ネットワークサービスへのアクセスをユーザーに許可することが
できます。またOS
Xは、パスワードトークンシステムやスマートカードなどのデジタ
ル証明書やマルチファクター認証にも対応しています。
セキュアトランスポート
OS Xには、標準的なエンタープライズ仮想プライベートネットワーク(VPN)テクノ
ロジーが組み込まれています。Cisco IPSec、L2TP、PPTP、SSLベースVPNなどの
VPNプロトコルが含まれます。OS Xは、アプリケーションレイヤーでのデータ送信を
安全にするために、業界標準のSSL/TLSを導入しています。ネットワーク認証情報と
構成はMDMを使って配備できるため、MacシステムへのVPNサービスの設定と配備
が容易になります。
ファイアウォール
OS Xに内蔵されているアプリケーションレイヤーのファイアウォールを使うと、従来
のポート単位のファイアウォールシステム(内蔵のパケットフィルタサービスを使って
使用できるオプション)とは対照的に、アプリケーション単位で接続を制御できま
す。Macシステムでは、有効なデジタル署名を持つアプリケーションによる接続の受
信がデフォルトで許可されているため、Mac
App Storeの信頼できるアプリケーショ
ンは、設定することなくネットワークやインターネットにアクセスすることができま
す。設定可能なファイアウォールオプションを使用すると、すべての受信接続をブ
ロックしたり、アプリケーション単位で受信接続を管理したり、Internet
Control
Message Protocol(ICMP)通信またはPingを無視したりできます。OS Xには、パ
ケットレベルでトラフィックを処理する、パケットフィルタという、従来のUNIXベー
スのファイアウォールも含まれています。
隔離
OS Xでは、ダウンロードされたファイルは特別なファイルシステムのメタデータに
よってタグ付けされます。このプロセスでは、潜在的に危険なファイルを自動的に
マークして、これを隔離します。メタデータはZIPアーカイブ、ディスクイメージ、同
様のデジタルコンテナからその中身に伝搬され、項目が確実に隔離されるようにしま
す。ダウンロードした項目に実行可能コード、署名、コードパターン、その他のプロ
パティが含まれる場合は、既知のマルウェアリストと照合されます。マルウェアの署
名が検出されると、OS
Xはただちにダウンロードされた項目を削除して、ユーザーに
通知します。Appleはマルウェアの署名をアップデートして、ソフトウェアアップデー
トを通じて毎日Macシステムに配信しています。
10
Appleテクニカルホワイトペーパー
エンタープライズにおけるMacコンピュータのセキュリティ
またOS
Xは、既知のマルウェアとして認識されない実行可能ファイルにもタグを付け
Xはユーザーに警告し、ファイルの
ます。こうしたファイルをはじめて開く場合、OS
入手元と入手日時に関する詳細を提供します。ユーザーは項目を開くか、これを削除
することができます。デベロッパが提供したデジタル署名によって署名されていない
アプリケーションを開くと、OS
Xが動的にアプリケーションに署名します。この署名
は、ファイルを開くたびにアプリケーションの整合性(改ざんや破損がないこと)の
確認のために使用されます。
アプリケーションのプライバシー
ユーザーは、さまざまなデバイスやオンラインサービスで、位置情報、個人情報や職
業上の情報、その他の情報を共有することがあります。さらにユーザーは、さまざま
なアプリケーション、Macシステム、その他のデバイスでデータにアクセスします。未
承認のシステムに個人情報や機密情報、ビジネスデータを公開すると、企業ポリ
シー、業界の規定、各地域または国の法律に違反するプライバシーおよびセキュリ
ティの侵害が発生することがあります。OS
Xの「セキュリティ」環境設定には、イン
ストール済みのアプリケーションやサービスを一元的に管理できる幅広いプライバ
シーオプションが含まれています。
注意:収集され、Appleに送信される診断および使用状況データは、Appleプライバ
シーポリシー(www.apple.com/jp/privacy)にそって保護および使用されます。
11
Appleテクニカルホワイトペーパー
エンタープライズにおけるMacコンピュータのセキュリティ
結論
セキュリティは、すべてのIT部門にとって絶えず存在する懸念事項です。OS
Xが提供
する充実したセキュリティコンポーネントは、すべてのMacに内蔵され、業界標準ソ
リューションを統合し、米国連邦政府機関の厳格なセキュリティガイドラインに適合
するか、それを超えた性能を備えています。さらにAppleは、エンタープライズ環境で
Macを詳細に管理したいというIT部門のためのツールやガイダンスを提供しています。
OS Xのセキュリティに関する詳細は、Apple製品取扱店またはAppleアカウントチー
ムにお問い合わせください。
12
Appleテクニカルホワイトペーパー
エンタープライズにおけるMacコンピュータのセキュリティ
Apple Inc.
© 2012 Apple Inc. All rights reserved.
FileVault、Keychain、Mac、MacBook、MacBook Air、Mac OS、OS X Mountain Lion、およびSafariは、米国および他の国々で
登録された米国Apple Inc.の商標です。
OS X version 10.8 Mountain Lionは、Open Brand UNIX 03の登録製品です。
Microsoft Windowsは、米国および他の国々のMicrosoft Corporationの登録商標です。
本書に記載されている会社名および製品名は、それぞれの会社の商標です。本書に記載されている他社商品名はあくまで参考目的であり、
それらの使用を推奨するものではありません。これらの製品の性能や使用について、当社では一切の責任を負いません。すべての同意、
契約、および保証は、ベンダと将来のユーザーとの間で直接行われるものとします。本書に記載されている情報の正確性には最大の注意を
払っています。ただし、誤植や制作上の誤記がないことを保証するものではありません。
10/03/12
13