macOSの起動セキュリティ
起動セキュリティポリシーは、Macを起動できるユーザとMacの起動に使用できるデバイスを制限するのに役立ちます。
Appleシリコンを搭載したMacでの起動ディスクのセキュリティポリシー制御
Intelプロセッサ搭載Macコンピュータのセキュリティポリシーとは異なり、Appleシリコンを搭載したMacのセキュリティポリシーは、インストールされているオペレーティングシステムごとに対応します。これは、同じマシンで、バージョンとセキュリティポリシーが異なる複数のインストール済みmacOSインスタンスが存在できることを意味します。そのため、起動セキュリティユーティリティにオペレーティングシステムピッカーが追加されました。
Appleシリコンを搭載したMacの場合、起動セキュリティユーティリティは、kextのブートやSIP(システム整合性保護)の構成など、macOSのユーザが構成したセキュリティ全般を示します。セキュリティ設定を変更するとセキュリティが大幅に低下したりシステムが危険にさらされやすくなる場合、ユーザが変更を行うためには、電源ボタンを押したままrecoveryOSで再起動する必要があります(これによりマルウェアが信号をトリガできなくなり、物理的にアクセスできる人間だけがトリガできるようになります)。このため、Appleシリコンを搭載したMacもファームウェアパスワードを必要としなくなります(サポートしなくなります)。すべての重要な変更はユーザ認証によってすでに制御されています。SIPについて詳しくは、「Appleプラットフォームのセキュリティ」の「システム整合性保護」を参照してください。
ただし、組織は、macOS 11.5以降で使用可能なrecoveryOSパスワードを使用することで、起動オプション画面などのrecoveryOS環境へのアクセスを防止できます。詳しくは、下の「recoveryOSパスワード」セクションを参照してください。
セキュリティポリシー
Appleシリコンを搭載したMacには3つのセキュリティポリシーがあります:
完全なセキュリティ: システムはiOSやiPadOSのように動作し、インストール時に利用可能だった最新であることが既知のソフトウェアのブートのみを許可します。
低セキュリティ: このポリシーレベルでは、システムは古いバージョンのmacOSを実行できます。古いバージョンのmacOSには必然的にパッチが適用されていない脆弱性があるため、このセキュリティモードは低と呼ばれます。モバイルデバイス管理(MDM)ソリューションを使用しないカーネル機能拡張(kexts)の起動や、Apple School Manager、Apple Business Manager、またはApple Business Essentialsによる自動デバイス登録に対応するために手動で構成する必要があるポリシーレベルでもあります。
セキュリティ制限なし: このポリシーレベルは、独自のカスタムXNUカーネルを構築、署名、およびブートするユーザをサポートします。「セキュリティ制限なし」モードを有効にする前に、SIP(システム整合性保護)を無効にする必要があります。詳しくは、「Appleプラットフォームのセキュリティ」の「システム整合性保護」を参照してください。
セキュリティポリシーについて詳しくは、「Appleプラットフォームのセキュリティ」の「Appleシリコンを搭載したMacの起動ディスクのシステムポリシー制御」を参照してください。
recoveryOSパスワード
Appleシリコンを搭載し、macOS 11.5以降を使用しているMacは、SetRecoveryLockコマンドを使用したMDMでのrecoveryOSパスワードの設定に対応しています。recoveryOSパスワードを入力しない限り、ユーザは、起動オプション画面などのリカバリ環境にアクセスできなくなります。recoveryOSパスワードはMDMを使ってのみ設定でき、MDMで既存のパスワードをアップデートまたは削除する場合にも現在のパスワードを入力する必要があります。recoveryOSパスワードはMDMによってのみ設定、アップデート、または削除できるため、recoveryOSパスワードが設定されているMacコンピュータのMDMへの登録を解除すると、パスワードも削除されます。MDM管理者は新しいVerifyRecoveryLockコマンドを使ってrecoveryOSの正しいパスワードが設定されているかどうかを確認することもできます。
注記: recoveryOSパスワードを設定しても、Apple Configuratorを使用して、Appleシリコンを搭載したMacをDFUモードで復元することはできます。この場合も、Mac上にある以前のデータは暗号化されてアクセスできなくなります。
起動セキュリティユーティリティ
Apple T2セキュリティチップおよびIntelプロセッサ搭載Macコンピュータでは、起動セキュリティユーティリティが複数のセキュリティポリシー設定を処理します。このユーティリティは、recoveryOSをブートし、「ユーティリティ」メニューから「起動セキュリティユーティリティ」を選択することでアクセスでき、サポートされているセキュリティ設定が攻撃者によって容易に改ざんされないようにします。
安全な起動のポリシーは、「完全なセキュリティ」、「中程度のセキュリティ」、「セキュリティなし」という3つの設定のいずれかに構成できます。「セキュリティなし」では、Intelプロセッサ上の安全な起動の評価が完全に無効になるため、ユーザは任意のブートを実行できます。
セキュリティポリシーについて詳しくは、「Appleプラットフォームのセキュリティ」の「Apple T2セキュリティチップを搭載したMacの起動セキュリティユーティリティ」を参照してください。
ファームウェアパスワードユーティリティ
Appleシリコンを搭載していないMacコンピュータでは、特定のMacのファームウェア設定が誤って変更されないようにするためにファームウェアパスワードを使用できます。ファームウェアパスワードを使用して、ユーザがrecoveryOSまたはシングルユーザモードで起動したり、未承認のボリュームから起動したり、ターゲットディスクモードで起動したりといった代替起動モードを選択できないようにします。ファームウェアパスワードの設定、アップデート、または削除は、firmwarepasswdコマンドラインツール、ファームウェアパスワードユーティリティ、またはMDMを使用して行うことができます。MDMでファームウェアパスワードをアップデートまたは消去できるようにするには、まず既存のパスワードがMDMに認識される必要があります(該当する場合)。
注記: ファームウェアパスワードを設定しても、Apple Configuratorを使用して、Apple T2セキュリティチップのファームウェアをDFUモードで復元することはできます。Macが復元すると、そのデバイスに設定されていたファームウェアパスワードは削除され、内蔵ストレージにあるデータは安全に消去されます。