iPhoneやMacは堅牢という印象が強い一方、脆弱性悪用やゼロデイの報告は継続しています。情シスがまず改めるべきは「Appleだから大丈夫」という前提です。端末には認証情報、業務メール、クラウドアクセス、決済や位置情報まで集約され、侵害時のリターンが大きいからです。
端末単体の被害に留まらず、セッション奪取によるSaaS不正利用や、社内ネットワーク侵入の踏み台化が起こり得ます。モバイルが本人確認の中心になっている企業ほど、影響は連鎖的になります。よって、資産価値の高さを前提に、守るべき範囲を端末からID・クラウドまで広げて考える必要があります。
典型的なシナリオは、Web閲覧やメッセージ受信を起点としたRCE、そこからの権限昇格、情報窃取や監視です。特に注意したいのは、パスワードではなく「ログイン済み状態(トークン/クッキー)」の窃取です。多要素認証を導入していても、セッションを奪われると検知が遅れがちになります。
監視・スパイ活動は、マイクやカメラ、位置情報の悪用により、会議内容や顧客情報の漏えいに直結します。インシデント対応では端末内データだけでなく、当該端末がアクセス可能だったSaaS、VPN、証明書、APIトークンの失効・再発行まで含めた切り分けが必要です。
「最新OSでも安全と言い切れない」からこそ、既知脆弱性への即応力が差になります。重大度に応じた適用SLA(例:Criticalは7日以内など)を定め、例外を最小化する運用にします。検証が理由で遅れる場合も、代替策(アクセス制限、対象アプリ停止等)を同時に定義しておきます。
MDMは必須の土台です。OSバージョン準拠の強制、紛失時ワイプ、構成プロファイルや証明書配布、FileVault等の暗号化、不要な権限の抑制を標準化します。BYODを許容するなら、業務領域分離や準拠端末のみ接続許可など、条件付きアクセスとセットで設計します。
完全防御よりも早期検知と被害限定が現実的です。Mac向けEDRの適用範囲を明確化し、認証ログ・MDMログ・プロキシ/ゲートウェイログを相関できる状態を整えます。管理者権限の分離、最小権限、短命トークン、端末証明書などを組み合わせ、侵害後の横展開を阻止します。
平時の準備として、稼働機種とOSの棚卸し、緊急時の連絡・判断フロー、端末隔離からアカウント無効化までの手順書を維持します。脆弱性ニュースは過度に恐れるより、影響判定と更新判断を素早く回す仕組みが重要です。
