っていうわけで、割とシンナリしちゃうユーザさんもいるかもしれませんが、iPhone12 以降のユーザさんにとっては朗報ですね。今までの Apple Watch でロック解除と何が違うの？と言いますと、以前のは iPhone のロック解除を Apple Watch で行える、すなわち Mac コンピュータのロック解除を Apple Watch で行えるというのと同じ位置づけで、Face ID そのものがマスクしたままOKという話しとは別ものでした。今回の「マスクしたまま」は Face ID そのものの改良となるので、Apple Pay での支払時や、Okta や Microsoft Authenticator アプリ利用時などなど、マスクをペロっと下げる必要がなくなったわけで、これはとても便利になったのは間違いありません。

マスクしたまま Face ID の解除を行えるようにするには、顔の再登録処理が必要になりますよ。

また、エンタープライズ機能にも特筆すべきアップデートがあります。後述します。

今回のリリースでは、36項目に及ぶセキュリティアップデートも多く含まれており、こちらもまたアップデート推奨となっております。

iOS 15.4 and iPadOS 15.4

• iPhone 6s 以降、iPad Pro (全て)、 iPad Air 2 以降、 iPad 第５世代以降、iPad mini 4 以降、iPod touch 第７世代

watchOS 8.5

• Apple Watch Series 3 以降

tvOS 15.4

• Apple TV 4K and Apple TV HD

その他のリリース

• macOS Monterey 12.3
• macOS Big Sur 11.6.5
• macOS Catalina - Security Update 2022-003 Catalina
• Xcode 13.3
• Logic Pro X 10.7 - macOS Big Sur 11.5 and later
• GarageBand 10.4.6 - macOS Big Sur 11.5 and later
• Apple TV Software 7.9 - Apple TV (第３世代)

​

Face ID

• iPhone 12以降で、マスクを着用したままFace IDを使用できるオプション
• Apple Pay、およびSafariとApp内のパスワード自動入力で、マスクを着用したままFace IDを使用可能

絵文字

• 絵文字キーボードで、顔の表情、手のジェスチャー、調度品などの新しい絵文字を使用可能
• 握手の絵文字で、それぞれの手に別々のスキントーンを選択可能

FaceTime

• SharePlayのセッションを対応Appから直接開始可能

Siri

• iPhone XS、iPhone XR、iPhone 11以降では、オフラインの間もSiriが日付と時刻の情報を応答可能

ワクチン接種カード

• “ヘルスケア”がEUデジタルCOVID証明書に対応し、新型コロナウイルス感染症（COVID-19）ワクチン接種、検査結果、および回復状況の検証可能な記録をダウンロードして保存可能
• Appleウォレットの新型コロナウイルス感染症（COVID-19）ワクチン接種カードがEUデジタルCOVID証明書の書式に対応

このリリースにはiPhone用の以下の機能向上も含まれます:

• SafariのWebページ翻訳機能がイタリア語と中国語（繁体字）に対応
• Podcast Appにエピソードフィルタが追加され、シーズンや再生済み、未再生、保存済み、またはダウンロード済みのエピソードを絞り込み可能
• iCloudのカスタムメールドメインを“設定”から管理可能
• “ショートカット”が“リマインダー”とのタグの追加/削除/検索に対応
• “緊急SOS”の設定をすべてのユーザを対象に“長押しして通報”を使用するように変更。“5回押して通報”は“緊急SOS”の設定のオプションとして今後も利用可能
• “拡大鏡”のクローズアップ機能で、iPhone 13 ProとiPhone 13 Pro Maxの超広角カメラを使用して小さなものを見やすくすることが可能
• “設定”で保存済みのパスワードに自分用のメモを追加可能

このリリースにはiPhone用のバグ修正も含まれます:

• キーボードで入力した数字の間にピリオドが挿入される場合がある問題
• 写真とビデオがiCloud写真ライブラリに同期されない場合がある問題
• “ブック” App内で“画面の読み上げ”のアクセシビリティ機能が予期せず終了する場合がある問題
• コントロールセンターでライブリスニングをオフに切り替えてもオフにならないことがある問題

iOS 15.4デバイス

• 管理管理対象アカウントに保存されているメモを、管理対象外の宛先に共有することは、管理対象オープンイン制限によって防止できるようになりました。
  
  • このアップデートはとても重要な意味があります。今迄Apppleデバイスに標準搭載されていたアプリの位置づけは割とエンタープライズ界隈では曖昧でしたが、メモにおいても管理ソース制御が行えるようになることは、Appleデバイスのセキュリティと可用性を料理湯させるためにも重要な変更だといえます。
• 「ユーザー登録」されたデバイスにインストールされているアプリをMDMで更新できるようになりました。 
  • こちらもBTOD機能としては重要なアップデートですが、やはり Android のように、この際だから個人用、企業用に同じアプリがインストールできるようになることを望みます。
• 登録プロファイルの再インストールが成功しない問題を解決します。

バグ修正およびその他の改善

• ユーザーが政府のアラートを無効にできない問題を解決します。（日本未対応）
•  一部のデバイスで新しいテキスト置換を追加できなかった問題を解決します。
•  認証に証明書を必要とするWebページをロードするときにユーザーが複数のプロンプトを受け取る問題を解決します。

今回対応されたCVEと対応ライブラリは以下の通りです。詳細は以下のリンクをご参照ください。
https://support.apple.com/ja-jp/HT213182

• CVE-2022-22633(Accelerate Framework)
• CVE-2022-22666(AppleAVD)
• CVE-2022-22634(AVEVideoEncoder)
• CVE-2022-22635(AVEVideoEncoder)
• CVE-2022-22636(AVEVideoEncoder)
• CVE-2022-22652(Cellular)
• CVE-2022-22598(CoreMedia)
• CVE-2022-22642(FaceTime)
• CVE-2022-22643(FaceTime)
• CVE-2022-22667(GPU Drivers)
• CVE-2022-22611(ImageIO)
• CVE-2022-22612(ImageIO)
• CVE-2022-22641(IOGPUFamily)
• CVE-2022-22653(iTunes)
• CVE-2022-22596(Kernel)
• CVE-2022-22640(Kernel)
• CVE-2022-22613(Kernel)
• CVE-2022-22614Kernel
• CVE-2022-22615(Kernel)
• CVE-2022-22632(Kernel)
• CVE-2022-22638(Kernel)
• CVE-2021-36976(libarchive)
• CVE-2022-22622(Markup)
• CVE-2022-22670(MediaRemote)
• CVE-2022-22659(NetworkExtension)
• CVE-2022-22618(Phone)
• CVE-2022-22609(Preferences)
• CVE-2022-22600(Sandbox)
• CVE-2022-22599(Siri)
• CVE-2022-22639(SoftwareUpdate)
• CVE-2022-22621(UIKit)
• CVE-2022-22671(VoiceOver)
• CVE-2022-22662(WebKit)
• CVE-2022-22610(WebKit)
• CVE-2022-22624(WebKit)
• CVE-2022-22628(WebKit)
• CVE-2022-22629(WebKit)
• CVE-2022-22637(WebKit)
• CVE-2022-22668(Wi-Fi)

当社では emotet による企業へのマルウェア攻撃の活性化を受け、それによって当社の社員が意図せず加害者になってしまうことを防ぐために、メールによる暗号化 Zip ファイルを使う運用を一気に廃止いたしました。

　昨今のロシアとウクライナの戦争も、このようなランサムウェアをはじめとした情報戦が水面下で激しく行われており、それが直接各国の企業への被害にも繋がっています。大企業ほど運用を変えるのが難しいという言葉を聞きますが、大企業ほどいっきに運用を変更するタイミングであり、それはすなわち自社だけならず取引先の安全性を護ることにつながります。取引先には政府機関も含まれるのですから自国を護ることに繋がるという考え方も大げさではないのです。

　もちろん、お客様や取引先様の協力が欠かせないのですが、お客様や取引先様にも大きなメリットがあります。では当社がどのように暗号化Zipファイルの廃止に取り組んでいるのか少し紹介していきたいと思います。

IT企業の多くがそうであるように、業務をサポートするツールは1つや2つではありません。当社はソフトブレーングループとして採用されている Google Workplace の gmailを利用し、ファイル共有は Box 環境をグループ個社別インスタンスを構築しています。くわえて、当社の ヘルプデスクは Microsoft365 で Exchange と Office ソフトを利用しており、Slack や Asana 、一部では Adoibe 製品も利用されています。導入可能なツールは、グループのIT統制で規制されていても、これだけあります。

　こうしたマルチツール環境の中で業務を行っているのは当社だけではないと思いますが、各スタッフの仕事ぶりを一定期間分析した結果、情報のライフサイクル管理が一定化されていないことに気づきました。

　メールの暗号化Zipファイルという運用は、そもそも論で言えば枝葉に過ぎません。某会社は暗号化ZIPを送らなければ良いので、暗号付きエクセルや、暗号付きPDFをメールで添付して送っても良いというルールだったり、Zipファイルの拡張子を一文字変更すれば良いというルールを見ましたが、何故暗号化ZIPが危険なのか全く分かってない本末転倒な運用だと思えます。アクセスロックされたファイルを送ることが危険なのだということが理解できてない証拠です。

　私たちが考えなければならないのは、大局的に俯瞰すれば、

　ファイルがどこで生まれ、そのファイルがどう加工され、そのファイルの改変されないことをどう担保し、どういう経路で安全に相手に送られるかが把握できれば良いのです。

　そこで、”ファイルを作ったらそこから動かすな！”というルールをまず定めました。

　どこかで、誰かがファイルを作ります。エクセルだとしましょう。そのエクセルはあちこちのツールを経由して、あちこちに移動し始めます。当社では Slack 経由で送られたり、内容の承認や押印をもらうためにメール添付されたり、電子サインシステムに入れられたり、色々理由はありますが、とにかく作られたファイルは実に自由に移動しそのファイルの複製はあちこちに残っていきます。その結果、以下のような非生産的であったり、セキュリティ的な問題を抱えることに繋がっています。

• どれが最新か分からない⇒また作り直す
• どこからかファイルが漏洩する⇒事故
• 知らん間にウィルスついたファイルに化けてそのファイルが攻撃する武器になっている

　当社 SBI は Box の代理店でもありますので、この際だから徹底的に Box を活用してファイルが動かない運用を作ることにしました。

さて、ファイルを動かさないためには今までやっていた社内の運用を見直す必要がありましたが、そこは後述するとして、メールの暗号化ZIPファイルだけ先にお話ししてしまいますと、メールの送信については、メールの送信サーバ側で暗号化ZIP添付にしていた機能を、Webダウンロード形式に変更しました。暗号化ZIPファイルは添付ファイルとして検疫をすり抜けてしまいますが、Webダウンロードであれば生データをダウンロードするので検疫をすり抜けることはできません。メール送信時にも送ろうとしている添付ファイルの検疫ができるため安全性が高まります。重要なのはこのタイミングから、当社は誰に対しても絶対に暗号化ZIPファイルを送らないという方針を全取引先に伝えることが重要です。また、暗号化ZIPファイルも絶対に受け取らないことを全取引先に理解していただく必要があります。

お客様や​取引先様から送ってもらう添付ファイルについては、可能な限り Box ファイルリクエストを利用します。当社の Box 環境は当社のネットワークからしかアクセスできない安全なオンラインストレージですが、Box ファイルリクエスト機能を使うと、お客様は Box アカウント不要でファイルを当社の定められたフォルダーに直接アップロードすることができます。この機能はワンウェイなので、この Box ファイルリクエストを通じて、ファイルを外に持ち出したりアップロードしたファイルを削除したりすることは、当社スタッフであれ、お客様であれ出来ません。

​当社は全取引先別のフォルダーを作り、上記画面のようにファイルリクエストを作成し、取引先の方はここにファイルをアップロードするだけで、メールを書く必要もありません。

お客様は当社に発注書や納品書を送って​いただく際に、メールを書く必要がありません。当社は Box Relay を使って、各お客様毎のフォルダーにファイルがアップロードされると、担当者はメールまたはBox上で通知を受け取ることができます。もしお客様が Box へのアクセスが制限されている場合、対象フォルダーに対してメールを通じてアップロードをしてもらうこともできます。

Box Relay を使うと、送られたファイルを管理者に通知しながら、同時に承認フローをまわすことや、しかるべきフォルダーに自動でファイルを移動することもできます。

当社はこの Box Relay の機能をフルに活用して、今まであちこちに送られまくっていたファイルの移動を禁止し、紙でサインするような行為もこれを機に無くしました。

作成した提案書の内容確認や、見積の内容確認、見積書への押印や、支払申請書など、全て Box 上で作成されたファイルに対して、Box Relay を使ったワークフローへ変更するようにしました。

前述の Box Relay を用いたワークフローを使って、今まで紙に押印していたものも全て PDF に電子サインするように一気に変更しました。

見積書も今までのフローは、以下のようなものでしたが、このファイルを動かさないというルールをベースに以下のように変更しました。以下のワークフローでは、どのエクセルファイルに対して押印したいのかという申請は紙でしか来ておらず、押印するときに内容が変更されているかどうか判別しづらいという問題もあります。

今までの見積書：

1. エクセルで作成
2. 文書の共有リンクをSlackにはって内容を確認依頼
3. 印刷
4. 押印申請
5. 管理者の承認
6. 担当者の上長が押印
7. コピー機で押印文書をスキャン
8. 押印文書をファイリング
9. PDFを保管

この煩雑なワークフローは Box Relay と Box Sign を使うだけでこんなにシンプルにすることができます。作成したファイルは Box から移動することなく、確認・承認・押印というワークフローを実現できるだけではなく、画像のように押印ファイルに対する証跡も残るため電子保管法に向けた取り組みにもなります。お客様にこのファイルを送付した場合でも、内容は署名されているため改変されていないことが保証されます。
​
Box Relay と Sign を利用：

1. エクセルで作成
2. Box Relay で確認依頼
3. PDF化
4. PDF を Box Relay で管理者に押印依頼
5. 管理者が内容確認 Box Sign で押印して承認

メールの添付ファイル運用を見直すことは、実は業務フローの見直しであること、使っているツールを最大限に活用することを Box 製品を通じて書いてみました。もし、自社でも Box を使って改善されたいという場合は、是非当社までご連絡ください。お問い合わせはこちら＞ box@sbi.co.jp

今回利用した Box 機能は以下の通りです。

1. Box ファイルリクエスト --- 特定フォルダーへのファイルアップロード機能
2. Box メールアップロード --- 特定フォルダーへのファイルアップロード機能
3. Box Relay --- Box ファイルを利用したワークフロー
4. Box Sign --- Box ファイルに対する電子押印と署名

​