このページについて
このページではiOS16で進化したセキュリティ・プライバシー関連の機能についての解説をしています。
セキュリティ面での進化
iOS16ではパスワードに変わる新たなセキュリティとして、パスキーが登場しました。これは既存のパスワードとは違い、漏洩しない秘密の鍵による認証でログインなどを行うというものです。
Appleによると
- パスキーは標準に即したテクノロジー
- シークレット(秘密鍵)を共有しない設計
- 全てのApple製デバイスで共有して使えるし、近くにあればApple製デバイス以外も利用可能
そして以下は資格情報というか認証の仕組みを簡単に書いたものです。
- OSによって一意の鍵ペアを作成し、片方を公開鍵としてサーバー上に保管されます。
- この時、公開鍵のみではログイン不可でOSが作成した秘密鍵が必要。
- Face IDなどで認証されると、その「認証された」という結果を受けてサイトなどに対しての本人確認が行われます。
- 秘密鍵が共有される事もサーバーに保管されることもない上に、フィッシング詐欺対策になる。
そしてパスキーはiClouを通じて自分のデバイス間で利用可能です。その辺りをまとめると
- iCloudキーチェーンを使って同期されます。
- キーチェーンは強力な暗号化鍵でエンドツーエンドで暗号化されます。この暗号化はたとえクラウドバックエンド上の特権地位を持つ総当たり攻撃でも阻止できるそうです。
- 仮にデバイスを無くした場合、鍵の復旧が可能。
- iCloudアカウントが不正利用されたりした場合でもパスキーとパスワードが保護される様にキーチェーン復旧が設計されている。
とのことです。クラウドバックエンド上の特権地位ってのは簡単にいえばクラウドのサーバー側の設計とか開発とかを担う人々や会社のことを言います。ちなみに端末側のことをフロントエンドと言います。
パスキーの復旧について
パスキーの紐付けデバイスを全て無くした場合でも、iCloudキーチェーンのエクスローを通じて復旧が可能とのことです。エクスローとは供託の事で、簡単にいえばAppleにキーチェーンのデータを供託して復旧してもらうってことです。
ただしこの時にもAppleはデータを読み取ることはできず、復旧対象になった場合のみ実行可能とのことです。実際に復旧するための手順なんかが以下の通りです。
- ユーザーがiCloudとパスワードで本人確認をし、電話番号に送られてきたSMSに反応する必要がある
- デバイスのパスコードを10回以内に認証する。何度か連続で失敗するとレコードがロックされてしまいます。10回を超えて失敗するとエクスローが破棄されます。
これでキーチェーンのコピーが提供されるらしいです。
パスキーの使い方
パスキーは既存の登録済みサイトでどの様に使えるかは不明ですが、パスワードの変更などではパスキーが出てきませんでした。その代わり、新規登録のところでパスキーの提案が出てきました。
以下はYahooへの新規登録のワンシーンですが、パスキーはこの様に出てくるっぽいです。
メールアドレスはiCloud+のランダムアドレスかつパスキーというなんだかよくわからない登録情報になっています。それぐらい個人情報を強固に守っていると言えそうですね。
ちなみに作成したパスキーは設定→パスワードから、該当の登録サイトの情報を見ることでパスキーとして表示されています。中身を見ることはできませんけどね。
個人情報の保護
iOS16ではWWDC22でも紹介されていた、個人情報安全性チェックの項目が追加されました。これは設定→プライバシーとセキュリティとタップし、下の方にある個人情報安全性チェックをタップすることで設定できます。
詳しいことは公式サイトにドキュメントとして公開されているんですが、かなり内容が多いです。
中には緊急リセットと共有とアクセスを管理の2つがあります。緊急リセットはどちらかと言えばAppleIDの保護がメインです。すべてのアプリへの共有を解除し、AppleIDのパスワード変更をします。
共有とアクセスを管理は情報にアクセスできる人とアプリなどを管理し、セキュリティを変更できる機能です。どちらかと言えばこちらを利用し、共有したくない相手には何も共有しないという設定が安全と言えそうです。
どちらとも変更中にリアルタイムで反映されるそうなので、相手に気づかれる可能性も少なからずあるそうです。そのことだけは留意しておいてください。
まとめ
パスキーはiOS16やiPadOS、macOS Venturaでパスワードに変わる簡単かつ安全なサインインの方法として紹介されました。まだ執筆時点ではiPadOSやVenturaはリリースされていないのでiPhoneでのみ利用可能となっていますが、実際に使ってみるとかなり便利です。
キーチェーンを介して他のデバイスでも利用可能なので覚える必要はないというか、そもそも秘密鍵を見る方法すら無いので覚えるとかいう次元ではないんですけどね。
個人情報の安全性をチェックするには設定画面まで少し入り組んでいるため、紹介しました。どうしても使う必要がある場合は慎重に利用しましょう。