インドアな日常

IT系のネタを記載していくブログです。

iPad/iPhoneのセキュリティをApple Configurator 2から設定してみる。CIS Benchmarksを添えて。

セキュリティ IT

自分のPCについてはセキュリティのことをある程度?考えてはいるけど、スマホとかタブレットのモバイル端末についてはあんまり考えたことない。

 

パスワード長くして、英数記号混合で、、それ以外は何?と、思ったので、CIS Benchmarksを使ってiPhoneのセキュリティを向上させてみた。

 

CIS Benchmarksってなに?

参考リンク↓

https://www.cisecurity.org/cis-benchmarks/

https://www.nri-secure.co.jp/glossary/cis-benchmarks?hs_amp=true

 

つまり、アメリカ様を始めとした有識者たちが作っている、OSやミドルウェアなどのセキュリティのベストプラクティス集。

今回はiPad OS,iOSベンチマークを使ってやってみる。

 

iPad OS,iOSのCIS Benchmarksの中身はどうなってるの?

ざっと中身を見ていく。

・英語。もうこの時点で読みたくない。

 →タイトル、設定項目など、書き方が統一されているので、一つの章が読めれば、

  あとはなんとかなる。

 

・ページ数大杉。

 →企業所有の端末の場合とか、追加設定とか、個人利用の場合だとそこまで

  やらなくても良さそうなものがかなり多いから、全部は見なくて良いと思う。

  2章と4章の項目だけやればいいんじゃないかな。

  ざっと見た限り、個人所有の端末でやったほうが良さそうなものは、30項目程度。

 

・どんなこと書いてあるの?

 →とりあえずわかりやすそうなところをみると、日本語訳(google)するとこんな感じ。

  タイトル

  ”ロックスクリーンでの通知センター表示を不可にする。”

  説明

  ロック画面での通知センター表示に関する推奨事項

  根拠

  オペレーティングシステムとアプリ間のユーザーへの通信は、データの漏洩や

  悪用を防ぐために制御する必要があります。 たとえば、一部の2要素認証アプリは、

  ロック画面の通知センターに、新しいデバイスからのログインを許可するオプションを

  表示します。

   

  以下、監査方法と設定方法が記載されてる。

  そんなに難しくないね。

 

Apple Configrator 2ってなに?

 →iPhoneとか、iPadの端末の設定を一括して設定できるapple様製のツール。

  macでしか使えないみたい。

  ちなみに、CIS benchmarksは、このApple Configurator 2で設定することが

  前提になっているので、macない人はお帰りくださいませ。(・∀・)カエレ!!

  世知辛いっすね。

 

ここまで個人端末では設定しなくてもいいかな?と思った項目

※ここは個人の見解なので、設定したい人はご自由にどうぞ。特に責任は持たないです。

 

・Level2の項目

 →CIS benchmarksは、項目ごとにlevel1、level2というレベル分けをしている。

  level1は機能が制限されることなく、一般的に使えるセキュリティ設定で、

  level2は機能制限を伴う強力なセキュリティ設定。

  個人端末ではここまでやらなくてもよいかと。

 

・ロック中のSiriの禁止

 →単純に、運転中にSiri使えないと不便だから。

 

・managed/unmanagedとついている項目全般

 →管理対象、または非管理対象のアプリやサービスに関する項目。

  管理対象とは、組織が管理しているアプリとか、サービスとか、そういうこと。

  個人でやってるので、組織を対象とした項目は基本やらない。

 

・パスワード入力ミス6回で端末のデータ削除

 →ど忘れした時にうっかり間違えて端末のデータ消されたくないから。

 

・3章の設定項目

 →3章は組織管理の端末が対象のセキュリティ項目。

  個人利用の端末なら不要。

 

設定してみる

上記をもとにiPhoneをセキュアにしてみる。

試しに2.1.1章と、2.4(パスコード関連)の項目を設定してみる。

 

iPhoneをUSBでmacに差し込んでから、Apple Configurator 2を開く。

※画像はiPad差し込んだ時の画像。

f:id:tamin-ta:20220321200256p:plain

 

↓からプロファイルを選択して構成する。

f:id:tamin-ta:20220321200220p:plain

 

まずは2.1.1章を設定する。

 

consent message has been configured(「同意メッセージ」が「構成済み」(自動化)になっていることを確認する。)

 

ナンノコッチャ、というところだけど、つまるところ、構成ファイルをインストールする時に、任意のメッセージを表示させろというもの。

メッセージ内容は任意、設定すれば構成された、ということ。

 

根拠としては、以下の通り。

 ベンチマークのこのセクションでは、エンドユーザーが所有するデバイスに関する推奨事項を示しています。 彼らは自発的に構成プロファイルを受け入れており、同意する明示的な機会を提供する必要があります。

 

まあこれもなんのこっちゃ、という話だけども、要は構成プロファイルの受け入れは、自発的にやっているものだから、インストールする時にはちゃんと明示的に同意できるようにしておかないとだめだよ、というもの。

わかるようなわからんような、という感じね。

 

f:id:tamin-ta:20220321200716p:plain


今度は2.4章のパスコード周り。

 ※2.4.2と2.4.6は個人端末では上述の通り、設定しない。

 

2.4.1 単純値を許可しない。

2.4.3 最小パスコード長を6文字以上。

2.4.4 自動ロックまでの最長時間を2分以内。

2.4.5 デバイスロックの最大猶予期間を即時。

 

これらは読めばわかると思うので、細かく説明はしない。

 

f:id:tamin-ta:20220321200233p:plain

 

これでOK。

あとはこのプロファイルを流し込んで見る。

以下の画面が出てくるので、あとは端末側で設定。

f:id:tamin-ta:20220321202657p:plain

 

閉じるを押下して、

f:id:tamin-ta:20220321200047p:plain

 

右上のインストールを押下するとプロファイルをインストールできる。

説明のところに、さっき入力した文章が記載されてる。

f:id:tamin-ta:20220321200006p:plain

 

がっ。

f:id:tamin-ta:20220321200024p:plain

 

これで終了。

 

終わりに

案外簡単だったんじゃないかなと思う。

Apple Configurator 2は日本語だし、cis benchmarksもそこまで難しい英語の文章でないので。

 

上記は5項目くらいの設定だったけど、内容的にはそこまで難しくもなく、設定自体も容易。

こんな感じで2章の他の項目も設定してみてくださいな。

 

セキュリティに気をつけて快適なスマートライフを送ってくださいませ。

 

以上。