Apple の緊急セキュリティ対応（RSR）を Jamf Pro で対応する

はじめに

緊急セキュリティ対応とは

世間は GW も中盤ですが、iOS、iPadOS、macOS に対して「緊急セキュリティ対応（RSR：Rapid Security Response）」の配信がはじまりました。

これは通常のソフトウェアアップデートの合間に情報セキュリティの機能強化や、悪用されかねない状況、またはすでに被害が報告されているような緊急性の高い脆弱性の修正を配信するものです。

WWDC 2022 で発表された機能で、今回が初のリリースとなっています。詳細は Apple のリソースをご確認ください。

iOS、iPadOS、macOS の緊急セキュリティ対応について

Appleデバイスの緊急セキュリティ対応を管理する

詳細なアップデート・修正内容は明かされていません。悪用を防止するためにあえて非公開にしているものと推察されます。

iOS 16.4.1 以降、iPadOS 16.4.1 以降、または macOS Ventura 13.3.1 以降のデバイスが緊急セキュリティ対応を受信できます。これより古い OS には影響がない脆弱性なのかという点も明らかではないため、特別な事情がない限りは OS を最新までソフトウェアアップデートのうえ、緊急セキュリティ対応を適用しておくことをおすすめします。

Jamf Pro で対応する

Jamf Pro Server 上での表示について

The following Jamf Pro inventory attributes are now subscribed to the declarative device management status channel:Computer Inventory Attributes
Operating System Category > Operating System Supplemental Build Version
Operating System Category > Operating System Rapid Security Response
Mobile Device Inventory Attributes
Security Category > Passcode Compliance

Jamf Nation

Jamf Pro 10.46 Now Available

Jamf Pro は 10.46 で Operating System Rapid Security Response に対応しています。10.45 でも項目としては表示されますが、値は空欄となり緊急セキュリティ対応が適用済みか判別ができません。

なお、10.45 でも iOS Rapid Security Response の値が取得できることは確認できました。

Jamf Pro のバージョンを手動でアップグレードする 

Jamf Cloud でインスタンス運用している組織は、何もしなくても Jamf カスタマーサクセスから通知されたスケジュールに基づき、自動的にアップグレードされます。

Jamf Pro 10.46 は ap-northeast-1 では 5 May at 1500 UTC から自動的にアップグレードが開始しますが、今すぐアップグレードしたい、という場合は手動で実施することもできます。

•  Jamf Account に Jamf ID でログインする

• 画面右上の「お客様の製品」から「情報」を開く

• アップグレードをしたい Jamf Cloud のインスタンスを選択し、「アップグレード」ボタンを押す

• アップグレードを開始時刻で「Immediately」を選択し、アップグレードリクエストを確認にチェックをつけて「アップグレードをキューイング」を押す（今すぐアップグレードする場合）

⚠️ アップグレード中は10分ほど Jamf Pro のインスタンスにアクセスができなくなります。日中に実施する際は必ずチーム内に共有しましょう！

インベントリに表示する

インベントリ検索の一覧表示で適用済みのデバイスを判別したい場合は、以下のように表示設定します。

macOS
設定 > コンピュータ管理 > インベントリ表示 > Operations System で Operating System Rapid Security Response にチェック

iOS / iPadOS
設定 > デバイス管理 > インベントリ表示 > Mobile Device >  iOS Rapid Security Response にチェック

Smart Computer / Device Group を作成する

緊急セキュリティ対応の対象のコンピュータ、デバイスを絞り込むには以下のようにクライテリアを設定します。

Smart Computer Group

Smart Device Group

緊急セキュリティ対応の削除を禁止する

緊急セキュリティ対応は通常のソフトウェアアップデートと異なり、ユーザー側の操作で適用を削除することが可能です。

これを Jamf Pro から削除できないように制御するには、構成プロファイルの制限から設定します。

macOS
 制限 > Functionality から「ユーザーが緊急セキュリティ対応の削除することを許可する」のチェックを外す

iOS / iPadOS

制限 > 機能 から「緊急セキュリティ対応の削除」を制限にする
※ この機能が利用できるのは「監視対象」のデバイスのみです

緊急セキュリティ対応を自動インストールする

Jamf Pro を運用している多くの組織ではすでにセキュリティアップデートについて、自動インストールするように構成しているかと思います。

構成プロファイル > ソフトウェアアップデートで「システムデータファイルとセキュリティアップデートを自動的にインストールします」にチャックがついているか確認してください。

スクリプトを叩いて強制的に適用することも可能ですが、今回の緊急セキュリティ対応は OS の再起動が必要となるため、作業やミーティング中に再起動が実行されないように、各自のタイミングで再起動を行っていただくように社内アナウンスすることをおすすめします。

おわりに

緊急セキュリティ対応が配信された当日に、調査・検証した内容のメモなので、内容に間違いや、もっとよい方法があるかもしれません。その際はお手数ですが Twitter や、各種コミュニティ Slack の DM でご指摘ください。

また、組織における Apple デバイスの管理・運用に課題を感じている方は、業務委託（副業）として構築のお手伝いや、1時間単位からのアドバイザーも請け負っておりますので、お気軽にご相談ください。