Macセキュリティ管理「mSCP」で“あの危ない機能”の無効化も その方法とは？：macOS管理者を救う「mSCP」とは【前編】

「macOS」の運用は、OSのアップデートや自社のセキュリティ要件を考慮したセキュリティ対策に手間が掛かりやすい。この問題を解決するプロジェクト「mSCP」は、IT管理者をどう支援するのか。

[Robert Sheldon，TechTarget]

　Appleの「macOS」搭載デバイスを管理する際、OSの新バージョンの公開とそれに伴うコンプライアンスの変更に管理体制を合わせるのは手間が掛かる作業になる。そうした作業を支援するのが「macOSセキュリティコンプライアンスプロジェクト」（mSCP）だ。

　mSCPは、セキュリティベースライン（システムのセキュリティを確保するための初期設定の集合）の作成に活用できるスクリプト（簡易プログラム）や設定プロファイル、ドキュメント、監査チェックリストといったリソースを提供する、オープンソースプロジェクトだ。IT担当者はmSCPのリソースを利用することで、macOS搭載デバイスにセキュリティベースラインを適用できる。本連載を通じてmSCPを理解し、リソースの活用方法を学ぼう。

「mSCP」で“あの危ない機能”の無効化も　その方法は？

併せて読みたいお薦め記事

Apple製品のセキュリティ運用

• Mac管理に使える「Intune」や「Jamf Pro」　MDMツールで何が便利に？
• 「Mac」ユーザーなら知っておきたいAppleデバイスを守る“あの機能”

　米国立標準技術研究所（NIST）によると、mSCPはセキュリティガイドラインの作成における体系的なアプローチを提供する取り組みだ。macOS搭載デバイスにセキュリティベースラインを適用するプロセスの効率化を目的としており、企業がmacOS搭載デバイスを運用する上でコンプライアンス要件を満たすのを支援する。

　macOS搭載デバイスを運用するIT管理者は、自社の業界が従うべきセキュリティガイドラインを選び、そのガイドラインを自社にどう適用するのかを考えなければならない。mSCPはこのプロセスを容易にし、macOS搭載デバイスのセキュリティ確保と評価を支援することで、IT担当者の負担を軽減しつつ、特定のセキュリティ基準への準拠を可能にする。

　mSCPには、以下の米政府機関が参加している。

• NIST
• 米航空宇宙局（NASA）
• 米国防情報システム局（DISA）
• ロスアラモス国立研究所（LANL）

　NISTのドキュメント「NIST SP 800-219 Rev.1」は、mSCPによるセキュリティ設定のガイドラインを定めている。mSCPのリソースは、リポジトリ共有サービス「GitHub」で公開されている。

　mSCPの対象ユーザーはシステム管理者、サイバーセキュリティ担当者、情報セキュリティ責任者、監査担当者、ポリシー作成者、設定評価ツールや管理ツールの開発者などだ。IT担当者は、GitHubで公開されているmSCPのリソースを活用して、macOS搭載デバイスのセキュリティベースラインをカスタマイズ可能だ。mSCPのリソースには、さまざまな基準やフレームワークの要件に対応するルール群がそろっている。これらのリソースを使うことで、自社の要件に合うセキュリティベースラインの作成を始めることができる。

　セキュリティベースラインのガイドラインは、企業が実現すべきコンプライアンスの種類を定義するテンプレートとして機能する。ガイドラインはYAML形式のファイルで、以下のコンプライアンス基準を満たすmacOSのセキュリティ設定を集約するものだ。

• NIST SP 800-53 Rev. 5
  • NISTが制定した、連邦政府機関のシステムのセキュリティ対策の基準を示すガイドライン。
• CIS Critical Security Controls Version 8
  • セキュリティ推進団体Center for Internet Security（CIS）が制定した、サイバー攻撃のリスクを軽減するために優先すべきサイバーセキュリティ対策の基準を示すガイドライン。
• Security Categorization and Control Selection for National Security Systems（CNSSI No. 1253：Committee on National Security Systems Instruction No. 1253）
  • 米国家安全保障システム委員会（CNSS）が制定した、国家安全保障システムにおけるシステムのセキュリティ要件を示す指針。

　セキュリティベースラインのガイドラインは、macOSの個々の設定をまとめたルールを参照している。これらのルールもYAML形式のファイルになっており、IT管理者が自社の要件に応じたmacOSの設定を決める上で役立つ。例えばガイドラインには、「AirDrop」や「Handoff」といったApple製OSの機能を無効化する設定ルールや、監査、認証、ファイル共有サービス「iCloud」などの設定に関するルールがある。

　mSCPのリソースの中には、さまざまな操作をするためのスクリプトもある。これらのスクリプトは、プログラミング言語「Python」で記述されたものだ。IT管理者はこれらのPythonスクリプトを活用して、以下の操作を実行できる。

• macOSの設定プロファイルの作成
• macOSの設定を自動で適用するスクリプトの作成
• セキュリティベースラインのカスタマイズ
• 複数形式での、macOSのセキュリティ設定に関するドキュメントの生成
• macOSのセキュリティ設定と、セキュリティ基準や規制、セキュリティフレームワーク間の対応付け

---

　次回は、mSCPが誕生した背景を説明する。

TechTarget発　先取りITトレンド

米国TechTargetの豊富な記事の中から、最新技術解説や注目分野の製品比較、海外企業のIT製品導入事例などを厳選してお届けします。