迅速なセキュリティ対応とは何ですか? また、なぜ重要なのですか?

AppleがiOS 16、iPadOS 16、macOS 13 Ventura向けに約束した機能の一つに、新しいタイプのアップデートであるRapid Security Responseがあります。このアップデートの最初のバージョンがすでに配信されているので、ソフトウェア・アップデートでiOS 16.4.1 (a)、iPadOS 16.4.1 (a)、macOS 13.3.1 (a)にアップデートできます。Appleは、AppleのセキュリティアップデートページやiOS 16、iPadOS 16、macOS 13のリリースノートページで、これらのアップデートでどのようなセキュリティ上の脆弱性が修正されるのかを明らかにしていませんが、現実的には、大多数のユーザーはそのような細かい技術的な詳細を気にしません。私は3つのOSすべてを問題なくアップデートしましたが、皆さんにもアップデートすることをお勧めします。

では、Rapid Security Response とは何でしょうか？そして、なぜ今、それが注目されているのでしょうか？Apple の目標は、重要なセキュリティ修正プログラムをユーザーに迅速に配布し、特に脆弱性が悪用されている状況において、より迅速な導入を促すことです。ユーザーがセキュリティアップデートをインストールするのにどれくらいの時間がかかるのかはApple のみが把握していますが、以下の3つの要因によって遅延していることは間違いありません。

• ダウンロード サイズ:高速インターネット接続が一般的になっていますが、多くの人は依然として低速接続を使用しているため、大きな更新が遅れることがあります。
• インストール時間：さらに問題となるのは、オペレーティングシステムのアップデートに伴うダウンタイムです。私たちは皆、生活の都合が許すときにアップデートをスケジュールします。
• アップデートへの躊躇:一部のアップデートで新たな問題が発生したため、慎重なユーザーは早期導入者が成功を報告するまでアップデートを延期しています。

最初の2つの要因は、AppleがmacOS 11 Big Surで読み取り専用の署名済みシステムボリュームに移行したことに起因しています。ハワード・オークリー氏が説明しているように、署名済みシステムボリュームの内容を変更するには、システムボリュームにアップデートをインストールし、暗号的に封印されたスナップショットを作成し、そのスナップショットから再起動する必要があります。小さな変更でも更新が必要なファイルが多数あるため、アップデートには大きなダウンロードと長いインストール時間が必要になります。

Appleの解決策は、アップデートが必要になる可能性が高いコンポーネント（中でもSafariとその基盤となるWebKit）をSigned System Volumeの外に移動することです。これによりアップデートは容易になりますが、脆弱性も高まります。こうした外部コンポーネントのセキュリティを維持するために、AppleはCryptexe（cryptographically signed extensions）と呼ばれる特別なディスクイメージを導入しました。Howard Oakleyの調査結果以外にCryptexeに関する資料はほとんどありません。Oakleyによると、CryptexeはPrebootボリュームに保存され、ブートプロセスの初期段階で読み込まれ、親ファイルシステムに移植されて実質的にシステムの一部となるとのことです。

Rapid Security Response アップデートも cryptexes であるため、理論的には従来のセキュリティ アップデートの数分の 1 のサイズになり、インストール時間も大幅に短縮され、アップデートの採用を遅らせる最初の 2 つの要因に対処します。

迅速なセキュリティ対応の導入

最新のオペレーティングシステムを搭載したすべてのiPhone、iPad、Macでは、デフォルトでRapid Security Responseが自動的に適用されます。理論上は、再起動が必要でない限り、インストールされたことに気付かないはずですが、今回のアップデート3つ全てにおいて、再起動が必要でした。再起動後、iOSとiPadOSではアップデートをユーザーに知らせる通知が表示されましたが、macOSでは表示されませんでした。再起動を必要としないRapid Security Responseでも、同様の通知が表示されると思われます。

Rapid Security Response がインストールされたかどうかは、「設定」>「一般」>「情報」または「このMacについて」のバージョン番号にアルファベットが含まれているかどうかで確認できます（iOS 16.4.1 (a) など）。次期OSアップデートまでに複数のRapid Security Responseがリリースされた場合、Appleはこのアルファベットを1つ増やすと推測されます。

Rapid Security Responses が次の場所にインストールされるように設定されているかどうかを確認できます。

• iOS/iPadOS:「設定」>「一般」>「ソフトウェア・アップデート」>「自動アップデート」に移動し、「セキュリティ対応とシステムファイル」を確認します。
• macOS：システム設定 > 一般 > ソフトウェアアップデート に移動し、「自動アップデート」の横にあるⓘをクリックします。次に、「セキュリティレスポンスとシステムファイルをインストール」を確認します。

  

自動アップデートをオフにするか、Rapid Security Responsesが利用可能になった際にインストールしないようにすれば、次回のOSアップデートですべての修正が自動的に適用されます。私は自動インストールを許可する予定で、他の多くの方にもそうすることをお勧めします。完全に手動で管理したい場合は問題ありませんが、その場合はアップデートの確認とインストールは自己責任となります。ダウンロードサイズが小さく、インストールが速く、元に戻すのも簡単なので、Appleが適切と判断した攻撃からデバイスを保護するために尽力するのは良いことだと思います。

私のデバイスでは、アップデートのサイズは53.2MBから309.8MBまでで、インストール時間はアップデートのサイズとマシンの性能に応じて異なりました。Appleはサイズと時間の問題を解決したようです。

アップデートをためらう理由についてはどうでしょうか？ Rapid Security Responses の最大の目的は、Apple が迅速にリリースできることです。おそらく、完全な OS アップデートよりも短いテスト時間でリリースできるはずです。そのため、予期せぬ副作用が生じる可能性は高くなります。しかし、Cryptexes はアトミックな仕組み、つまり起動時にシステムに組み込まれる独立したディスクイメージであるため、Apple が削除メカニズムを提供することは容易です。つまり、Rapid Security Response をインストールした直後にアプリがクラッシュしたり、その他の重大な問題が発生したりしても、削除して以前のバージョンの OS に戻すことができます。これは大きなメリットであり、これまでは不可能だったことです。

iOSおよびiPadOSでは、「設定」>「一般」>「情報」>「iOS/iPadOSバージョン」に移動し、「セキュリティレスポンスを削除」をタップして確定することで、Rapid Security Responseを削除できます。iPad ProからRapid Security Responseを削除するのにかかる時間は、インストール時とほぼ同じで約14分でした。再起動後、アップデートは正常にインストールできるようになりました。

MacでRapid Security Responseを削除するには、「システム設定」>「一般」>「情報」に移動し、macOSバージョンの横にあるⓘをクリックし、「削除して再起動」をクリックして確定します。このプロセスには約2.5分かかりました。削除後の最初の起動では、ソフトウェア・アップデートでRapid Security Responseが表示されず、「macOS 13.3.1が最新です」と表示されました。もう一度再起動するとRapid Security Responseが表示され、再インストールできました。

これらの画面には、以前のオペレーティングシステムアップデートのリリースノートも表示されています。これは小さな機能ですが、嬉しい追加機能です。

結局のところ、Appleが長らく約束されていたRapid Security Responseアップデートメカニズムをついに活用してくれたのは喜ばしいことです。正直に言うと、OSアップデート、特にMacのアップデートは、快適とは言い難いほど長い間、黒い画面を見つめ続けることになるので、少し不安になっていました。Rapid Security Responseは、OS自体のアップデートに関してはこの問題を解決してくれるわけではありませんが、Appleがこれを活用して、必要なフルアップデートの回数を減らしてくれることを期待しています。