Appleプラットフォームのセキュリティ
システム整合性保護
macOSは、カーネルのアクセス許可を利用して、システム整合性保護(SIP)と呼ばれる機能で重要なシステムファイルの書き込み可能性を制限します。この機能は、Appleシリコン搭載Macで利用可能なハードウェアベースのカーネル整合性保護(KIP)とは別個の追加されたものであり、メモリ内のカーネルの変更を保護します。強制アクセス制御テクノロジーを活用して、システム整合性保護に加えて、サンドボックスやData Vaultなどのその他の多くのカーネルレベルの保護を提供します。
強制アクセス制御
macOSでは、強制アクセス制御が使用されます。これは、セキュリティの制限を定めた上書きできないポリシーであり、デベロッパによって作成されます。このアプローチは、ユーザが自らの必要に応じてセキュリティポリシーを無効化することが許可される、自由裁量のアクセス制御とは異なります。
強制アクセス制御はユーザには不可視ですが、サンドボックス化、ペアレンタルコントロール、管理対象の環境設定、機能拡張、システム整合性保護などの重要な機能を実現するのに役立つ、基盤となるテクノロジーです。
システム整合性保護
システム整合性保護では、ファイルシステム内の特定の重要な場所でコンポーネントを読み取り専用に制限して、悪質なコードによって改ざんされないようにします。システム整合性保護はコンピュータ固有の設定であり、ユーザがOS X 10.11以降にアップグレードするとデフォルトでオンになります。Intelプロセッサ搭載Macでは、これを無効にすると、物理ストレージデバイス上のすべてのパーティションが保護されなくなります。macOSでは、サンドボックス化されて実行されているか、管理者特権で実行されているかにかかわらず、システム上で実行されているすべてのプロセスに、このセキュリティポリシーが適用されます。