セキュリティ向上のためmacOSの使い方を見直した

ここ最近セキュリティについて色々考えさせられることがあり、個人で使っているMacのセキュリティを見直すことにした。

と言っても技術的に高度なことをする話ではなく、単にこれまで個人端末をあまりに自由気ままに使ってきたので、普段使用しているソフトウェアやウェブサービスの使い方について見直しただけ。

パスワード・OTPコードの管理を見直し

これまで両方1Passwordで一元管理した上にiCloudで同期していた。どの端末でもログインが爆速になる反面2要素認証とは・・・という感じだったので、OTPコードはGoogle Authenticatorに移行しiCloud同期をOFFにした。

1PasswordはWi-Fi経由でVaultを同期できるので、クラウド同期がなくても割と不便しなかった。一度同期対象のMacを登録しておけば、iPhoneアプリを開いただけで同期を始めてくれる。

1Password WLAN Sync
1Password WLAN Sync

あとはOTPコードをSMSで受け取っているサービスを精査。Twitterのように最近までアプリ認証に対応してなかったサービスをアプリ認証に切り替えた。

必要ないクラウド同期を切る

本当に必要なクラウドサービス(Google Cloud・iCloud等)にデータを寄せて、それ以外は極力避ける方針にした。

同期を見直したのはここら辺とか。

  • iPassword。前述の通り同期をOFFに
  • Day One。これも同期をOFFに
  • Things2。ちょうどGoogle Tasksがリニューアルされたし引っ越した

これをやろうと思ったきっかけの一つが先日Day Oneの同期サービスで起きた障害。この件のヤバいのは 一部ユーザの日記データが別のユーザから参照できてしまう状態になっていた ことで、自分の個人日記なんて暗黒の塊なので勘弁してくれ…と震え上がった。これより前からDay Oneはしょっちゅう障害を起こしていてきな臭さはあったので、これを機に中小アプリデベロッパが自前で運用してるプライベートクラウドは避けようと思った...。

とはいえデータはバックアップしたいので、MBP上のJenkinsで定期的にデータをiCloud Driveへコピーする等地味な方法を取っている。例えばDay Oneだとこんな感じ。

zip -r ~/Library/Mobile\ Documents/com\~apple\~CloudDocs/Backup/dayone.zip ~/Library/Group\ Containers/5U8NS4GX82.dayoneapp2/

Where is my data stored? | Day One Help

クラウド完全否定をやるとSlackとかGitHub private repoとかも使えない訳で、全く現実的でない。あくまでセンシティブなデータだけ退避させた。

ウイルス対策ソフトを導入

自分はSophos Home Premiumを買ったけど、年額5500円で安心が買えると思えば安い。今までが無防備すぎた・・・

Sophos Home | シンプルなサイバーセキュリティ

ブラウザ拡張・アプリを棚卸し

きっかけは仮想通貨界隈で話題になったドテンくる事件。

【詐欺?】ドテンくる事件まとめ - 通貨×システム

アプリやウェブサービスが好きなので新しいものを色々試してきた結果、使わなくなったのに入ったままなものが多かった。ドテンくるはソフトウェアアップデート時に悪意あるコードを忍び込ませた事例で、3rd party appを沢山使っていると避けるのが難しい。

ということで、リスク回避のため拡張やアプリは最小限に減らし、信頼できるDeveloperのものだけを残した。

Mac上のアプリに関しては削った結果以下のアプリが残った。

  • 1Password
  • Bear
  • Chrome
  • Clipy
  • Slack
  • Tweetbot
  • Sophos Home Premium
  • Lightroom CC
  • VSCode、Jetbrains 製品など開発系ツール

使うのをやめた物。かなり沢山消したのでメジャーどころだけ抜粋。

  • iTerm -> Terminal.app
  • Pastebot -> Clipy
  • Bartendar2 -> なし
  • Contexts -> 素のアプリSwitcher
  • Alfred -> Spotlight

機能をほとんど使ってないのになぜか使い続けていたパターンが多かった。Alfredとかランチャー機能しか使ってなかった。

Pastebotは使いやすいしDeveloperは信頼できると思うけど、Clipboard拡張は何かあった時のリスクが高いのでOSSのClipyをソースビルドして使っている。開発元が悪さをしなくても、Developerアカウントを乗っ取ってマルウェア入りソフトウェアアップデートを配信される可能性はあるし。

Chrome拡張に関しては、リンクをMarkdown形式でコピーする等の無いと不便なもの以外は全部消した。

Incognitoモードでウェブを閲覧する

調べ物をする用のIncognitoウインドウと、ログイン状態で使いたいようなウェブサービスを開く通常ウィンドウを分けるようにした。

あと仮想通貨取引所・銀行・クレカ会社のサイトもIncognitoモードで閲覧し、必ず使い終わったら閉じるようにした。

環境設定

軽く見直した程度。

  • ファイアウォール有効化
  • FileVault有効化
  • 共有設定で必要ないものを全てOFFに
  • 端末名の変更

端末名はセキュリティというかプライバシーの観点で、Air Dropで周りから名前が見えてしまう可能性があるので変更。

名前はハンドルネームでも結構危険で、おおよその風貌から人物を特定できる可能性があるので全く推測できない名前にした。昨今ブロガー刺殺事件のようなのもあるので、インターネット上に何かしら書いている人は気にしておいて損はないはず。

まとめ

自分の首を絞めすぎない範囲で普段使っているMacのセキュリティについて見直した。それあまり意味ないだろ・・・と突っ込みたくなる点はあるけど、どれもやらないよりは確実にやった方が良い事じゃないかと思う。完璧にやろうとすると利便性を損なうので、プライベートの環境はこの程度にしておく。

使うものを減らしたりしたけど案外これで不便しない、というか今まで要らないもの結構使ってたな・・・という発見ができたのも良かった。そういう意味でも一度使っているソフトウェア・サービスについて見直すのはオススメできる。

Tweet