ソフトブレーン・インテグレーション株式会社
iPhoneやiPadなどのスマートデバイス導入コンサルティング
​ソフトブレーン・インテグレーション株式会社 

​お問い合わせ: 03-6892-1180(平日9:00~17:30)
  • ホーム
  • トピックス
  • サービス案内
    • Jamf >
      • Jamf Pro
      • Jamf Now
      • Jamf Now リモート導入支援
      • [Jamf×Mac] オフィス内の管理されていないMacが企業に脅威をもたらす
      • Jamf Protect
      • Jamf Connect
    • iOS ビジネスコネクト >
      • スマートフォン導入支援サービス
      • iPhone/iPad/Macキッティング
    • AMC (Advanced Mobile Center)
    • Ivanti Neurons for MDM >
      • ACCESS / SENTRY
      • Threat Defense
      • UEM
    • Zoom (Web会議システム)
    • Okta (ID管理クラウドサービス)
    • RemoteOperator Helpdesk
    • iOS 教育サービス >
      • iOS アーキテクチャ講習会
      • iOS ユーザー向け講習会
  • 会社案内
    • 会社概要
    • ご挨拶
    • 企業理念
    • 所在地
    • 採用情報
  • ブログ
  • お問い合せ

iOS16.1.1 , iPadOS16.1.1 , macOS Ventura 13.0.1 リリースで、Rapid Security Response について考える

11/10/2022

0 コメント

 

iOS16.1.1 , iPadOS16.1.1 , macOS Ventura 13.0.1 が普通のアップデートでリリース(なので、Rapid Security Response について考える)

写真
さて、早速ですがバグフィックスとセキュリティアップデートがメインの iOS16.1.1 , iPadOS16.1.1 , macOS Ventura 13.0.1 がリリースされたのですが、WWDC2022 で大々的にうたっていた Rapid Security Response 、いわゆる緊急セキュリティアップデートでのリリースではありませんでした。

というわけで、Rapid Security Response 、いわゆる緊急セキュリティアップデートについて書いてみたいと思います。

*2022/12/02 思い違いがあったようなので、改めて書き直しました!

Rapid Security Response 、緊急セキュリティアップデートとは何なのか?

Rapid Security Response 、緊急セキュリティアップデートは、iOS や iPadOS , macOS Ventura になってから搭載される予定の(ここがポイント!)、セキュリティ修正プログラムをより頻繁に迅速にユーザーに配布するメカニズムとして追加されます。これは 16.1.1 などのマイナーリリースとは切り分けて、バックグラウンドでひっそりと(内容にもよって再起動は相変わらず必要にはなりますが)セキュリティアップデートを当ててくれるという優れものです。

デバイス側での設定は以下の通りですが、前述した通りまだOS機能として搭載されていないので何もおきませんがONにしておく方が安心ですね。


  • iOS および iPadOSの場合、 [設定] > [一般] の [ソフトウェア アップデート] で [セキュリティ レスポンスとシステム ファイル] オプションをオンに。
  • macOS Ventura の場合、[システム設定] > [一般] の [ソフトウェア アップデート] の [詳細] オプションで [セキュリティ レスポンスとシステム ファイルのインストール] をオンに。

 近年のデバイス攻撃はモバイルに集中しており、今では財布でもあり、個人を特定する情報の塊でもあるモバイルは格好の攻撃者の的になっています。Apple デバイスとて例外では無く、ゼロデイ脆弱性、ゼロクリック攻撃、しかも悪用実績あり!というものまで最近では結構な割合で対応されるようになっている時代です。

そんな迅速なアップデートを提供してくれる緊急セキュリティアップデートなわけですが、これらを制御する MDM の iOS/iPadOS 用 Restriction キーも既に発表され、Jamf Pro では 10.42 で実装されています。

​allowRapidSecurityResponseInstallation -- 緊急セキュリティアップデートのインストールを許可する/制限する
​allowRapidSecurityResponseRemoval -- 緊急セキュリティアップデートの取り外しを許可する/制限する

というものですが、実際にはまだこの Rapid Security Upodate はOS機能として実装されておりませんので、この機能制限キーをデバイスに配布しても何も起きません。
​

エンタープライズ利用においては頭の痛い問題「OSアップデートの遅延設定」とのコンフリクトも・・・

写真
Rapid Security Response 、緊急セキュリティアップデートは、OSの脆弱性を素早く修復してくれる素晴らしい機能であると同時に、エンタープライズの組織管理においては頭の痛い問題もあります。

Rapid Security Responses は、管理された「OSソフトウェアアップデートの遅延」に対応していません。この緊急セキュリティアップデートは、OS の最新のマイナー バージョンにのみ適用されるため、OS のマイナー アップデートが遅れると、対応も実質的に遅れます。そのため、今まで iOS/iPadOS のアップデートを90日間制限しているような企業様ではどうなるでしょうか?

再度のOSのマイナーバージョンがリリースされてから90日経つと、初めて ​Rapid Security Response 、緊急セキュリティアップデートが機能することになります。90日経過以前に次のマイナーバージョンがリリースされてしまうと、また​ Rapid Security Response 、緊急セキュリティアップデートも90日待たなければならなくなり、実質機能しなくなってしまいます。

写真
ということは、以下のような組み合わせで構成を組んでおく必要があるのかもしれません。
  1. ​悪用実績があるゼロデイ脆弱性を対象とした緊急セキュリティアップデートを優先する場合、常に最新のOSリリースがインストール状態の必要があるため、MDMから設定している「iOSアップデートの90日遅延」は実質適用できず、且つ、常に最新OSインストールをユーザ自ら実施することが求められる。この場合、業務利用目的のシステム、App 利用において不具合が発生し、業務の継続性に問題が出るおそれがある。
  2. 業務利用目的のシステム、App の正常な可用性を優先し、 MDMから設定している「iOSアップデートの90日遅延」は適用し、90日経過後にインストール可能なOSへのアップデートバージョンがその時点での最新である場合に限り、緊急セキュリティアップデートを適用する。この場合、ゼロデイ脆弱性などの危険性は認知された状態で、デバイスにリスクのある状態での利用になるおそれがある。
  3. 対応2の派生形として、 MDMから設定している「iOSアップデート遅延」は適用するが、遅延させる日数を可能な限り短縮するという考え方もあり、この場合は対応2同様のリスクは内在するものの、遅延期間が短縮されることによりリスク軽減につながる可能性がある。

​というわけで、Rapid Security Update の運用について記載してみました。当社では上記対策の3をお勧めいたしますが、皆様はどうお考えになられましたでしょうか?それではまた!
​
当社の「iOS デバイス導入支援サービス」についての詳細はこちらをご覧ください。
0 コメント

Microsoft365 Exchange にスクリプトからアクセスできなくなった!場合の対処法

11/4/2022

0 コメント

 

Microsoft365 Exchange にスクリプトからアクセスできなくなった!場合の対処法

パスワードが消える日

写真
本日は、Microsoft365 Exchange にスクリプトなどから突然アクセスできなくなった!パスワード合ってるのにログインエラーで詰んでる!という場合の対処法を書いてみたいと思います。2022年いっぱいの期間限定テーマですが、早速書いていきたいと思います。

当社がコンサルティングさせていただいているお客様の多くで、Mac 管理ではスクリプトを多様されています。

先日 Jamf Pro API でも、認証方式が OAuth2.0 ベースの Bearer Token 認証に変わるお話しを書きました。

IT業界では現在、認証に関しての進化が爆速で進んでおります。もはやIDとパスワードを使った認証は旧いし、安全ではないのです。

iOS16 と iPadOS16 , macOS Ventura がりリースされて、パスキー ( Passkey )という聞き慣れない言葉が出てきてるのを聞いたユーザも多いかもしれません。パスキーとは、Webauthn をベースとした、パスワードレス認証の W3C規格で、Apple , Google , Microsoft も参加してWebベース認証のパスワードレス化を一気に推進させようと動いています。(数年後に消えてる可能性もありますが)

PayPal が対応を発表してますし、国内では docomo が dアカウントで Passkey 対応をアナウンスしてますし、三大巨頭が旗振ってるし、専用の yubikey みたいのも不要ですし、Android も、iPhone も mac も Windows も対応となるので、パスワードは徐々に消えていく、そのうちログインパスワードって何ですか?という世代が登場する日も遠くないかもしれないですね。

で、Microsoft365 Exchange への IMAP アクセスについて

10月から、Exchange Active Sync が使えなくなります、どうしましょう・・・と、当社のお客様も結構問題になった会社様が少なからずいらっしゃるのですが、EASが使えなくなる、は、すなわちベーシック認証が使えなくなると読み替えられるのでMicrosoftの先進認証に乗り換えてくださいねという話しでした。確かにサーバサイドからパスワードを埋め込むという発想がそもそも、もう旧いですよね・・・

さて、EAS が使えなくなるのが10月から、その他のプロトコル、アプリも段階的に・・・とアナウンスはあったものの、ここに来て「スクリプトが動かなくなった!」という騒ぎがチラホラ起きております。段階的に無効化されているプロトコルは以下のものがあります。幸いなことに SMTP は今回の無効化対象外なので、コピー機の送信とかで問題が出ることはなさそうです。
  • MAPI
  • RPC
  • Offline Address Book (OAB)
  • Exchange Web Services (EWS)
  • POP
  • IMAP
  • Exchange ActiveSync (EAS)
  • Remote PowerShell

bash スクリプト、Python , PHP などから Exchange に上記リストにふくまれた形でアクセスしてるユーザ様は、突如エラーでアクセスできないことに気づきます。それはMicrosoftによってベーシック認証が無効化されたからに他なりません。

Jamf Pro だけではなく、ベーシック認証は OAuth に移行が今のトレンドになりますので、Microsoft Exchange もご多分に漏れずというわけです。

対応方法は以下に記載がありますので、こちらを参考にスクリプトやプログラムを修正してください。

Microsoft公式「OAuth を使用して IMAP、POP、または SMTP 接続を認証」

そんなすぐに OAuth に改修とか無理だし!という方へ

3年前からリリースされたにも関わらず・・・という嘆きが Microsoftさんの公式サイトにも書かれていますが、現在になって、プログラムやスクリプトが動かなくなって、うわ~ってなってる方には以下の魔法のリンクが用意されています。ここに M365 のグローバル管理者のアカウントでアクセスをして、「テストを実行」ボタンを押してください。すると現在のあなたの M365 でどのプロトコルやアプリが無効化されているかが表示されます。その後で有効化したいプロトコルを選択して、チェックボックスをONにしたら「Update」ボタンで該当プロトコルのベーシック認証が再有効化されます。

https://aka.ms/PillarEXOBasicAuth
​
写真
クリックで拡大できます

【注意】再有効化の期限は 2022年12月末までです!!

ホッとするのは早いです。2023年1月からは、上記全てが完全に無効化でプロテクト状態になります。プログラムやスクリプトの修正などは、年内に必ず完了するようにしてください。ため息出ちゃうと思いますが、これの世の流れ・・・これを機にベーシック認証している他のもの全般を改めて見直す良い機会かもしれないです。

それではまた!
​​
当社の「iOS デバイス導入支援サービス」についての詳細はこちらをご覧ください。
0 コメント

    Author

    ソフトブレーン・インテグレーション株式会社
    代表取締役
    柴崎忠生
    ビジネス・インキュベーター
    セキュリティ・コンサルタント
    ITIL プロフェッショナル

    Archives

    4月 2025
    3月 2025
    1月 2025
    11月 2024
    10月 2024
    9月 2024
    7月 2024
    6月 2024
    3月 2024
    1月 2024
    12月 2023
    10月 2023
    9月 2023
    6月 2023
    5月 2023
    4月 2023
    3月 2023
    2月 2023
    1月 2023
    12月 2022
    11月 2022
    10月 2022
    9月 2022
    8月 2022
    7月 2022
    6月 2022
    5月 2022
    4月 2022
    3月 2022
    2月 2022
    1月 2022
    12月 2021
    11月 2021
    10月 2021
    9月 2021
    7月 2021
    6月 2021
    5月 2021
    4月 2021
    3月 2021
    2月 2021
    1月 2021
    12月 2020
    11月 2020
    10月 2020
    9月 2020
    8月 2020
    7月 2020
    6月 2020
    5月 2020
    4月 2020
    3月 2020
    12月 2019
    10月 2019
    9月 2019
    8月 2019
    7月 2019
    6月 2019
    5月 2019
    3月 2019
    2月 2019
    12月 2018
    9月 2018
    8月 2018
    7月 2018
    6月 2018
    5月 2018
    4月 2018
    3月 2018
    2月 2018
    1月 2018
    12月 2017
    11月 2017
    10月 2017
    9月 2017
    7月 2017
    6月 2017
    5月 2017
    4月 2017
    3月 2017
    1月 2017
    12月 2016
    10月 2016
    9月 2016
    8月 2016
    7月 2016
    6月 2016
    5月 2016
    4月 2016
    3月 2016
    2月 2016
    1月 2016
    12月 2015
    11月 2015
    10月 2015
    9月 2015
    8月 2015
    7月 2015
    4月 2015
    3月 2015
    12月 2014
    11月 2014
    10月 2014
    9月 2014
    8月 2014
    7月 2014
    6月 2014
    5月 2014

    Categories

    すべて
    Apple Transport Security
    Apple TV
    Apple Watch
    AppleConfigurator2
    Google Chrome
    ICloud
    IOS Security
    IOS ウィルス
    IOS セキュリティ
    IOS マルウエア
    IOS 安全性
    IOS7
    IOS8
    Ios8.2
    IOS9
    IOS9 コンテンツブロッカー
    IPad
    IPhone
    IPhone 6 Plus
    IPhone 6 Plus カメラ交換プログラム
    IPod Touch
    ITunes
    MacOSX
    MacOSX EL Capitan 10.11
    Microsoft Exchange
    WatchOS2
    XCodeGhost
    スクリプト
    セキュリティ
    バッテリー
    ベーシック認証廃止
    モバイルセキュリティ
    モバイル安全性
    モビリティ設計
    運用
    設計
    年金情報流出
    年金情報漏洩

    RSSフィード

ソフトブレーン・インテグレーション株式会社
〒
103-0012 東京都中央区日本橋堀留町2丁目3-5 木下ビルディング8階
tel 03-6892-1180 fax 03-6892-1183 url https://www.sbi.co.jp/
ホーム  | トピックス | セミナー情報  | お問合せ
会社案内 | 会社概要 | ご挨拶 | 企業理念 | 所在地
サービス案内 | 導入支援 | キッティング | AMC | ​Jamf Pro | Jamf Now | Jamf Nowリモート導入支援 | Mobile Iron | Zoom | Okta | iOSアーキテクチャ講習会 | iOSユーザ向け講習会 
サイトポリシー | サイトマップ 
Picture
ソフトブレーン・インテグレーション株式会社は、Apple Consultants Network に参加しています。Appleに認定されたコンサルタントとしてiOS/MAC 等Apple製品の導入支援事業を行っております。
▲上に戻る

Copyright(C) SOFTBRAIN INTEGRATION Co.,Ltd. All Right s Reserved.