Appleデバイスは、多くの一般的なインターネットセキュリティ標準を採用しています。それぞれの標準の機能と、Mac、iPhone、iPadでの使い方をご紹介します。
私たちが暮らすネットワーク化された世界では、インターネット接続はどこにでもあります。
ネットワーク通信の安全性を確保することは、インターネット技術において最も重要な側面の一つです。数十年にわたり、ネットワークとデバイスの安全性を確保するために、様々な標準規格が開発されてきました。
この記事では、これらの標準のいくつかと、それらが Apple デバイスとどのように関係するかについて説明します。
IPsec、IKEv2、L2TP
安全な接続と VPN には、IPsec、IKEv2、L2TP という 3 つの主要テクノロジが使用されます。
IPSecは、初期のDARPA ARPANET研究から生まれたセキュリティ標準です。その後、MIT、Motorola、NISTによって正式に策定されました。
IPSecは主にVPNで使用され、安全な認証、鍵交換、暗号化、データ整合性機能を提供します。AppleデバイスにVPNソフトウェアをインストールしたことがあれば、IPSecを使用したことになります。
これは、後ほど説明するレイヤー 2 プロトコルの上に位置する「レイヤー 3」プロトコルであると考えられています。
IPSecを扱った優れた書籍は数多くあり、その中にはIPSec VPN Design などがある。
Cisco の「IPSec: Securing VPNs」およびCarlton Davis の「IPSec: Securing VPNs」です。
IKEv2はインターネット鍵交換プロトコルです。このプロトコルには、IKE、IKEv1、IKEv2の3つのバージョンがあります。
IPSecおよびDNSでは、接続時に安全な鍵ペアを作成・交換するために共有鍵が使用されます。共有鍵は、パスワードを不要にする公開鍵基盤(PKI)の一部です。
IKEは、OakleyプロトコルとISAKMPという2つの初期のプロトコルに基づいています。これらのプロトコルは、初期のインターネット通信が多くの場合安全でないことが明らかになった1990年代後半に、インターネット接続のセキュリティを確保するための取り組みから生まれました。
Oakley プロトコルは、現在では有名になった Diffie-Helman 鍵交換アルゴリズムを使用して、暗号化用の鍵を安全に交換します。
ネットワークセキュリティサーバールーム
ISAKMPは、IKEなどの鍵交換プロトコルで使用されるセキュリティアソシエーションと鍵を提供する鍵交換フレームワークです。Ciscoは、ほとんどのVPNおよびルータ製品にOakleyプロトコルとISAKMPプロトコルの両方を採用しています。
他にも、Kerberized Internet Negotiation of Keys (KINK) や SKEME などの鍵交換プロトコルがあります。
L2TP(レイヤー2トンネリングプロトコル)は、ネットワーク通信中の制御メッセージに使用されるトンネリングプロトコルです。L2TPはデータやコンテンツ自体を保護または暗号化するのではなく、接続で使用される制御信号のみを暗号化します。
このプロトコルは、シスコのL2FプロトコルとマイクロソフトのPPTPプロトコルの結果として形成されたRFC 2661仕様で1999年に公式化されました。また、パケット転送時にはユーザーデータグラムプロトコル(UDP)を使用します。
UDP の主な利点は、確認応答のないブロードキャスト プロトコルであることです。このプロトコルでは、リスナーは送信者に応答することなく、特定のポートで情報を待機します。
L2TPは、ダイヤルアップモデムがまだ広く普及していた時代に、PPP(ポイントツーポイントプロトコル)のセキュリティ強化のために開発されました。データパケットは、他の暗号化プロトコルのいずれかを使用することで、レイヤー2トンネルを介して転送できます。
セキュアトンネリングは、トンネル内を移動するすべてのデータが2点間でのみ暗号化され、制御されることを保証します。これにより、攻撃者によるリプレイ攻撃や中間者攻撃の実行が困難になります。
インターネットは世界中に広がっているため、セキュリティは重要です。
L2TP は主に企業の VPN で安全なアクセスに使用されます。
Appleデバイス向けのVPNアプリは、App Storeから多数入手できます。ほとんどのAppleオペレーティングシステムには、デバイスにVPNプロファイルを簡単に追加できる組み込み機能も備わっています。
IPsec、IKEv2、L2TP はほとんどがバックグラウンドで動作し、特定の設定を変更する必要がある場合を除き、通常はこれらを意識する必要はありません。
TLS、SSL、X.509証明書
1990年代後半にウェブが初めて普及したとき、すべてのウェブ通信を暗号化する必要があることがすぐに明らかになりました。ブラウザとサーバー間のデータが傍受されたり盗聴されたりしないようにするためです。
その結果、Secure Sockets Layer(SSL)が開発されました。現在ではTransport Layer Security(トランスポート層セキュリティ)と呼ばれるこのプロトコルは、Webブラウザとサーバー間のトラフィックのほとんどを暗号化します。
「https」の「s」は「secure」の略で、安全な接続を介して Web サイトを閲覧していることを示します。
SSL/TLSは、一部の安全な電子メール通信にも使用できます。TLSも1999年に提案され、3回の改訂を経て、現在のバージョンはTLS 1.3です。
SSLは、1994年にNetscapeのNavigatorブラウザ(現在はMozilla Firefoxに進化)の初期バージョン向けに開発されました。また、データグラムトランスポート層セキュリティ(DTLS)プロトコルも存在します。
TLSはX.509証明書を使用し、暗号化と暗号化ハンドシェイクを用いて情報を交換します。ハンドシェイクが完了すると、サーバーは通常、クライアントアプリに証明書を提供し、サーバーの信頼性を高めます。
X.509証明書を使用すると、クライアントアプリはサーバーの信頼性を検証できるため、なりすまし攻撃を阻止できます。X.509規格は、国際電気通信連合(ITU)によってRFC 5280で定義されています。
TLSの最大の利点は、データ交換を傍受している可能性のある人物が、データを暗号化された状態で読み取ることを阻止できることです。これはすべて、データが暗号化されているからです。
最近のAppleデバイスと、Appleデバイス上で動作するほとんどのソフトウェアは、TLSの使用方法を自動的に認識するため、心配する必要はありません。ウェブ閲覧時に「https」接続を使用している限り、TLSは自動的に使用されます。
Mozilla Thunderbird などの一部の電子メール クライアント アプリでは、通信セキュリティ標準として TLS/SSL を指定できます。
Mozilla Thunderbird の TLS セキュリティ設定インターフェース。
WPA/WPA2/WPA3 エンタープライズおよび 802.1X
前世紀末に WiFi ネットワークが初めて登場したとき、ワイヤレス ネットワークを他のデバイスに安全に接続できるようにするための新しいセキュリティ標準である WEP (Wired Equivalency Privacy) が開発されました。
WEPには重大なセキュリティ上の欠陥があり、それに対処するためにWi-Fi Protected Access(WPA)が開発されました。このプロトコルは2000年代初頭から3回の改訂を経て、現在のバージョンはWPA3です。
Apple のデバイスを含むほとんどの最新の WiFi デバイスは、接続に WEP3 を提供します。
AppleのWi-FiデバイスとEthernetデバイスはどちらも、802.1Xと呼ばれる別のセキュリティプロトコルを使用した接続も提供しています。このプロトコルは、IEEEが定義する802ネットワーク規格の一部であり、Wi-FiとEthernetの有線ネットワークの両方をカバーしています。
802.1Xは、ハードウェア追加と呼ばれるネットワーク攻撃の一種を阻止します。これは、悪意のあるデバイスをネットワークに接続してハッキング活動を行う攻撃です。例えば、Raspberry Piのような小型コンピューターを空きネットワークポートに接続する攻撃などが挙げられます。
802.1X は通常、認証サーバーを使用することで、WiFi、LAN、または WAN 経由でユーザーを認証し、このような攻撃を阻止できます。
あらゆる場所にデバイスが存在する今日の世界では、ハードウェア追加攻撃は以前よりもはるかに一般的になっています。
Apple の「Apple プラットフォーム導入ガイド」には、802.1X 接続に関するページと、ワイヤレス ネットワークへの安全なアクセスに関する注意事項が記載されています。
WPA は Apple のオペレーティング システムのモデム バージョンではサポートされなくなったため、ほとんどの場合、WPA2、WPA3、またはそれらの派生版を使用することになります。
また、「ネットワークへの 802.1X 認証にログイン ウィンドウ モードを使用する」というタイトルの別の技術ノート (102001) もあり、Mac でログイン ウィンドウ モードを使用して 802.1X で保護されたネットワークに安全にログインする方法が詳しく説明されています。
ログイン ウィンドウ モード (LWM) は、ネットワークがディレクトリ サービスをサポートしている場合に、Mac のログイン ウィンドウから安全なネットワークに接続する方法です。
LWMを使用するには、Active DirectoryまたはOpen Directoryサーバーへの接続が必要です。また、接続先のネットワークでLWMを有効にするMacネットワーク構成プロファイルがインストールされている必要があります。
設定が完了したら、Macのログインウィンドウでユーザーリストから「その他」を選択し、ディレクトリサービスのユーザー名とパスワードを入力します。ポップアップメニューから、接続するネットワークインターフェース(Wi-FiまたはEthernet)を選択します。
Active Directory と Open Directory は、認証のためにユーザー情報と資格情報を中央サーバーに保存できるテクノロジーです。
Apple には、「Apple デバイスに組み込まれているネットワーク セキュリティ機能を使用する」というタイトルの完全なページがあり、上記のトピックのほとんどをカバーしています。そこから、関連する他のトピックへのリンクを多数見つけることができます。
ほとんどの場合、Appleはネットワークセキュリティをシームレスに構築しているので、心配する必要はありません。上記のテクノロジーはほぼすべてWebまたはインターネット標準の一部であり、ほとんどのソフトウェアでは自動的に使用されます。
