iOS16.1.1 , iPadOS16.1.1 , macOS Ventura 13.0.1 が普通のアップデートでリリース(なので、Rapid Security Response について考える)
さて、早速ですがバグフィックスとセキュリティアップデートがメインの iOS16.1.1 , iPadOS16.1.1 , macOS Ventura 13.0.1 がリリースされたのですが、WWDC2022 で大々的にうたっていた Rapid Security Response 、いわゆる緊急セキュリティアップデートでのリリースではありませんでした。
というわけで、Rapid Security Response 、いわゆる緊急セキュリティアップデートについて書いてみたいと思います。
*2022/12/02 思い違いがあったようなので、改めて書き直しました!
というわけで、Rapid Security Response 、いわゆる緊急セキュリティアップデートについて書いてみたいと思います。
*2022/12/02 思い違いがあったようなので、改めて書き直しました!
Rapid Security Response 、緊急セキュリティアップデートとは何なのか?
Rapid Security Response 、緊急セキュリティアップデートは、iOS や iPadOS , macOS Ventura になってから搭載される予定の(ここがポイント!)、セキュリティ修正プログラムをより頻繁に迅速にユーザーに配布するメカニズムとして追加されます。これは 16.1.1 などのマイナーリリースとは切り分けて、バックグラウンドでひっそりと(内容にもよって再起動は相変わらず必要にはなりますが)セキュリティアップデートを当ててくれるという優れものです。
デバイス側での設定は以下の通りですが、前述した通りまだOS機能として搭載されていないので何もおきませんがONにしておく方が安心ですね。
近年のデバイス攻撃はモバイルに集中しており、今では財布でもあり、個人を特定する情報の塊でもあるモバイルは格好の攻撃者の的になっています。Apple デバイスとて例外では無く、ゼロデイ脆弱性、ゼロクリック攻撃、しかも悪用実績あり!というものまで最近では結構な割合で対応されるようになっている時代です。
そんな迅速なアップデートを提供してくれる緊急セキュリティアップデートなわけですが、これらを制御する MDM の iOS/iPadOS 用 Restriction キーも既に発表され、Jamf Pro では 10.42 で実装されています。
allowRapidSecurityResponseInstallation -- 緊急セキュリティアップデートのインストールを許可する/制限する
allowRapidSecurityResponseRemoval -- 緊急セキュリティアップデートの取り外しを許可する/制限する
というものですが、実際にはまだこの Rapid Security Upodate はOS機能として実装されておりませんので、この機能制限キーをデバイスに配布しても何も起きません。
デバイス側での設定は以下の通りですが、前述した通りまだOS機能として搭載されていないので何もおきませんがONにしておく方が安心ですね。
- iOS および iPadOSの場合、 [設定] > [一般] の [ソフトウェア アップデート] で [セキュリティ レスポンスとシステム ファイル] オプションをオンに。
- macOS Ventura の場合、[システム設定] > [一般] の [ソフトウェア アップデート] の [詳細] オプションで [セキュリティ レスポンスとシステム ファイルのインストール] をオンに。
近年のデバイス攻撃はモバイルに集中しており、今では財布でもあり、個人を特定する情報の塊でもあるモバイルは格好の攻撃者の的になっています。Apple デバイスとて例外では無く、ゼロデイ脆弱性、ゼロクリック攻撃、しかも悪用実績あり!というものまで最近では結構な割合で対応されるようになっている時代です。
そんな迅速なアップデートを提供してくれる緊急セキュリティアップデートなわけですが、これらを制御する MDM の iOS/iPadOS 用 Restriction キーも既に発表され、Jamf Pro では 10.42 で実装されています。
allowRapidSecurityResponseInstallation -- 緊急セキュリティアップデートのインストールを許可する/制限する
allowRapidSecurityResponseRemoval -- 緊急セキュリティアップデートの取り外しを許可する/制限する
というものですが、実際にはまだこの Rapid Security Upodate はOS機能として実装されておりませんので、この機能制限キーをデバイスに配布しても何も起きません。
エンタープライズ利用においては頭の痛い問題「OSアップデートの遅延設定」とのコンフリクトも・・・
Rapid Security Response 、緊急セキュリティアップデートは、OSの脆弱性を素早く修復してくれる素晴らしい機能であると同時に、エンタープライズの組織管理においては頭の痛い問題もあります。
Rapid Security Responses は、管理された「OSソフトウェアアップデートの遅延」に対応していません。この緊急セキュリティアップデートは、OS の最新のマイナー バージョンにのみ適用されるため、OS のマイナー アップデートが遅れると、対応も実質的に遅れます。そのため、今まで iOS/iPadOS のアップデートを90日間制限しているような企業様ではどうなるでしょうか?
再度のOSのマイナーバージョンがリリースされてから90日経つと、初めて Rapid Security Response 、緊急セキュリティアップデートが機能することになります。90日経過以前に次のマイナーバージョンがリリースされてしまうと、また Rapid Security Response 、緊急セキュリティアップデートも90日待たなければならなくなり、実質機能しなくなってしまいます。
Rapid Security Responses は、管理された「OSソフトウェアアップデートの遅延」に対応していません。この緊急セキュリティアップデートは、OS の最新のマイナー バージョンにのみ適用されるため、OS のマイナー アップデートが遅れると、対応も実質的に遅れます。そのため、今まで iOS/iPadOS のアップデートを90日間制限しているような企業様ではどうなるでしょうか?
再度のOSのマイナーバージョンがリリースされてから90日経つと、初めて Rapid Security Response 、緊急セキュリティアップデートが機能することになります。90日経過以前に次のマイナーバージョンがリリースされてしまうと、また Rapid Security Response 、緊急セキュリティアップデートも90日待たなければならなくなり、実質機能しなくなってしまいます。
ということは、以下のような組み合わせで構成を組んでおく必要があるのかもしれません。
- 悪用実績があるゼロデイ脆弱性を対象とした緊急セキュリティアップデートを優先する場合、常に最新のOSリリースがインストール状態の必要があるため、MDMから設定している「iOSアップデートの90日遅延」は実質適用できず、且つ、常に最新OSインストールをユーザ自ら実施することが求められる。この場合、業務利用目的のシステム、App 利用において不具合が発生し、業務の継続性に問題が出るおそれがある。
- 業務利用目的のシステム、App の正常な可用性を優先し、 MDMから設定している「iOSアップデートの90日遅延」は適用し、90日経過後にインストール可能なOSへのアップデートバージョンがその時点での最新である場合に限り、緊急セキュリティアップデートを適用する。この場合、ゼロデイ脆弱性などの危険性は認知された状態で、デバイスにリスクのある状態での利用になるおそれがある。
- 対応2の派生形として、 MDMから設定している「iOSアップデート遅延」は適用するが、遅延させる日数を可能な限り短縮するという考え方もあり、この場合は対応2同様のリスクは内在するものの、遅延期間が短縮されることによりリスク軽減につながる可能性がある。
というわけで、Rapid Security Update の運用について記載してみました。当社では上記対策の3をお勧めいたしますが、皆様はどうお考えになられましたでしょうか?それではまた!
RSSフィード
