iCloudバックアップのセキュリティ
iCloudは、デバイス設定、アプリデータ、「カメラロール」の写真やビデオ、メッセージアプリでのやり取りといった情報をWi-Fi経由で毎日バックアップします。iCloudバックアップは、デバイスがロックされていて、電源に接続されていて、インターネットにWi-Fiアクセスできる場合にのみ実行されます。iCloudバックアップは、iOSおよびiPadOSで使用するストレージの暗号化に留意して、データを安全に保護しながら、差分の無人バックアップと復元を実行できるように設計されています。デフォルトでは、iCloudバックアップのサービスキーはAppleのデータセンターのiCloudハードウェアセキュリティモジュールに安全にバックアップされ、認証後に使用できるデータカテゴリに含まれています。iCloudの高度なデータ保護をオンにしているユーザの場合、iCloudバックアップのサービスキーはエンドツーエンドの暗号化で保護され、信頼できるデバイスのユーザのみが利用できます。
デバイスのロック中にアクセスできないデータ保護クラスでファイルが作成されると、Per FileキーはiCloudバックアップキーバッグにあるクラスキーを使用して暗号化され、元の暗号化された状態でiCloudにファイルがバックアップされます。すべてのファイルが転送中に暗号化され、保管時にはCloudKitの暗号化の説明に記載されているようにアカウントベースの鍵を使って暗号化されます。
iCloudバックアップキーバッグには、デバイスのロック中にアクセスできないデータ保護クラス用の非対称(Curve25519)鍵が含まれます。バックアップセットはユーザのiCloudアカウントに保存されます。これは、ユーザのファイルのコピーとiCloudバックアップキーバッグで構成されます。iCloudバックアップキーバッグはランダムな鍵によって保護されます。この鍵もバックアップセットと一緒に保存されます。ユーザのiCloudパスワードは暗号化に使用されないため、iCloudパスワードを変更しても既存のバックアップが無効になることはありません。
復元時には、バックアップされたファイル、iCloudバックアップキーバッグ、およびキーバッグ用の鍵が、ユーザのiCloudアカウントから取得されます。iCloudバックアップキーバッグがキーバック用の鍵で復号されたあと、キーバッグにあるPer Fileキーを使ってバックアップセット内のファイルが復号されます。それらのファイルは新しいファイルとしてファイルシステムに書き込まれるため、それぞれのデータ保護クラスに従って再暗号化されます。
iCloudバックアップでは以下の内容がバックアップされます:
購入した音楽、映画、テレビ番組、アプリ、およびブックについてのレコード。ユーザのiCloudバックアップにはユーザのデバイスに保存されている購入したコンテンツについての情報が含まれますが、購入したコンテンツ自体は含まれません。ユーザがiCloudバックアップから復元すると、購入したコンテンツがiTunes Store、App Store、Apple TVアプリ、またはApple Booksから自動的にダウンロードされます。一部の種類のコンテンツが自動的にダウンロードされない国または地域もあります。また、コンテンツが払い戻された場合や、それぞれのストアで扱われなくなった場合、以前に購入したコンテンツを利用できなくなることがあります。全購入履歴はユーザのApple IDに関連付けられています。
ユーザのデバイス上の写真とビデオ。iOS 8.1、iPadOS 13.1、またはOS X 10.10.3、またはそれ以降でユーザがiCloud写真をオンにしている場合、写真とビデオはすでにiCloudに保存されているため、ユーザのiCloudバックアップには含まれません。
連絡先、カレンダーの予定、リマインダー、メモ
デバイス設定
アプリデータ
ホーム画面およびアプリの配置
HomeKitの構成
メディカルIDのデータ
ボイスメモのパスワード(必要に応じて、バックアップ中に使用されていた物理SIMカードが必要)
「メッセージ」、Apple Messages for Business、テキスト(SMS)、およびMMSメッセージ(必要に応じて、バックアップ時に使用した物理SIMカードが必要)
iCloudバックアップは、デバイスのSecure Enclave UIDのルート暗号鍵から派生したキーで暗号化されたローカルデバイスのキーチェーンのバックアップにも使用されます。このキーはデバイスに固有であり、Appleには知られていません。そのため、データベースはバックアップの作成元と同じデバイスにのみ復元できます。つまり、Appleを含むほかの誰も読み出すことはできません。詳しくは、Secure Enclaveを参照してください。
iCloudにメッセージを保管
「iCloudにメッセージを保管」は、ユーザのメッセージ履歴全体を最新の状態に保ち、すべてのデバイスで利用できるようにします。
標準のデータ保護では、iCloudバックアップがオフになっている場合、iCloudに保管されるメッセージはエンドツーエンドで暗号化されます。iCloudバックアップがオンになっている場合、バックアップには「iCloudにメッセージを保管」の暗号鍵のコピーが含まれるため、ユーザがiCloudキーチェーンと信頼できるデバイスにアクセスできなくなった場合でも、Appleはユーザがメッセージを復元できるように支援できます。ユーザがiCloudバックアップをオフにすると、今後iCloudに保管されるメッセージを保護するためにデバイスで新しいキーが生成されます。新しいキーはiCloudキーチェーンにのみ保存され、信頼できるデバイスのユーザのみがアクセスできます。コンテナに書き込まれた新しいデータは、古いコンテナの鍵では復号できません。
高度なデータ保護により、iCloudに保管されるメッセージは常にエンドツーエンドで暗号化されます。iCloudバックアップをオンにすると、「iCloudにメッセージを保管」の暗号鍵を含め、その中のすべてがエンドツーエンドで暗号化されます。ユーザが高度なデータ保護をオンにすると、iCloudバックアップのサービスキーと「iCloudにメッセージを保管」コンテナの鍵の両方がローリングされます。詳しくは、Appleサポートの記事「iCloudのデータセキュリティの概要」を参照してください。