iCloudの暗号化を拡大したApple、クラウドが攻撃されたときに何が起こるのか

Appleはセキュリティ強化策を2つ発表した。1つはiCloudの暗号化、もう1つは多要素認証の強化だ。これらにはどのようなメリットがあるのだろうか。

[Matt Kapko，Cybersecurity Dive]

　Appleは2022年12月7日、2つのセキュリティ機能を強化したと発表した。まず物理的なセキュリティキーを用いた本人確認だ。次に同社のiCloudで利用できるエンドツーエンドの暗号化を導入する。

Appleの狙いは？

　Appleは2015年に二要素認証システムを初めて導入した。今回の強化ではこれを「Security Keys」機能によってアップグレードする。サードパーティー製のハードウェアセキュリティキーを使って、本人確認をもう一段階強化できる点が特長だ。

　 Appleが導入したもう一つのセキュリティ機能「Advanced Data Protection for iCloud」は、iCloudの23のサービスにエンドツーエンドの暗号化を適用する。Appleによれば、この機能を選択するとiCloudでデータ侵害が発生した場合でも、データのほとんどを保護された状態に保つことができるという。

BYOD時代に即したセキュリティ

　データプライバシーとユーザー保護に関するAppleの最新の取り組みは、組織が直面するセキュリティ問題の幾つかを軽減する可能性がある。従業員が個人のデバイスを介して会社の情報に安全にアクセスできるからだ。

　流行するBYOD（Bring Your Own Device）は、ユーザーの利便性が高いものの、企業や組織にとっては課題が残る。サイバー脅威が増える可能性があるからだ。

　同社によればSecurity Keysは、著名人やジャーナリスト、政府関係者などの知名度の高いユーザー向けに設計されたのだという。目的は「高度な攻撃者がフィッシング詐欺でユーザーの二要素印象を突破する」のを防ぐことだ。

　Keeper Securityのクレイグ・ルレー氏（CTO《最高技術責任者》兼共同設立者）によれば、ハードウェアベースのセキュリティキーは、多要素認証において最高レベルのセキュリティを提供できるという。

　iCloudのための高度なデータ保護は、セキュリティにもう一つレイヤーを追加する。Appleのユーザーが信頼できるデバイスでのみ、iCloudデータを復号できることを保証するからだ。

　「Appleは、現在の脅威状況とプライバシーリスクに対応するために、今回の重要なセキュリティ機能を導入した」とTaniumのメリッサ・ビショッピング氏（エンドポイントセキュリティ研究ディレクター）は述べる。

　「これらの機能を活用することで、自分のデータが暗号化されているかどうかが分かる。データを保有する企業が侵害されたとしても、自分が二次被害者にならないことが保証される」（ビショッピング氏）

2023年にも利用可能に

　今回、Appleは時間をかけて保護機能を追加することで、デバイスとクラウドのセキュリティを強化していくと約束した。

　Security Keys機能は2023年初頭に全世界で提供が始まる予定だ。Advanced Data Protection for iCloudは米国では2022年内に、全世界向けには2023年中に提供される予定だ。

出典：Apple expands iCloud encryption, boosts MFA with security keys（Cybersecurity Dive）

注1：Apple advances user security with powerful new data protections

注2：Mobile Device Security: Bring Your Own Device