Mac でシステム整合性保護を無効にしてはいけないのはなぜですか?

Apple のデスクトップ オペレーティング システムの新しいリリースはそれぞれ、以前のバージョンよりも多くの制限をユーザーに課しているようです。システム統合保護 - システム統合保護 (または SIP) が最大の変更となる可能性があります。

OS X 10.11 El Capitan で導入されたとき、SIP はユーザーが特定のフォルダーを変更できる機能を制限しました。 Appleの最新のセキュリティ技術がユーザーをコントロールする手段であると非難する人もいるが、それには正当な理由があることがわかった。

この機能を無効にする理由はほとんどありません。次の記事で調べてみましょう。

システム統合保護 (SIP) とは何ですか?

SIP は、オペレーティング システムの最も脆弱な部分を保護するために設計されたセキュリティ機能です。つまり、(sudo コマンドを使用して) root アクセス権を持つユーザーであっても、メイン パーティション上の特定の場所を変更できなくなります。 Gatekeeper によって導入された以前のソフトウェア制限と同様に、Mac ユーザーを安全に保つことを目的としています。

これは、マルウェアの脅威の増加への対応である可能性があります。 Mac は現在、マルウェアの大きな標的となっています。 Apple のプラットフォームをターゲットにしたランサムウェア、スパイウェア、キーロガー、または古いアドウェアを見つけるのは難しくありません。

SIP は、/System、/bin、/sbin、/usr (/usr/local ではない) など、オペレーティング システムがインストールされているドライブのいくつかのコア領域を保護します。 /etc、/tmp、/var からの一部のシンボリック リンクも保護されますが、ターゲット ディレクトリは保護されません。セキュリティ対策により、十分な権限を持たないプロセス (root アクセスを持つ管理ユーザーを含む) がこれらのディレクトリおよびディレクトリ内に保存されているファイルに書き込むことができなくなります。

このテクノロジーは、他の「危険な」アクティビティも防止します。 Apple は、システムのこれらの部分に変更を加えると、Mac が危険にさらされ、オペレーティング システムに損傷を与える可能性があることを懸念しています。ルート管理者アクセスをロックダウンすると、ローカルおよびリモートで実行される sudo レベルのコマンドから Mac が保護されます。

では、なぜユーザーはこの機能を無効にしたいのでしょうか?

この機能が最初に導入されたとき、特定の保護されたフォルダーまたはシステム ファイルの変更に依存する一部のアプリケーションは動作しなくなりました。通常、これらは「侵入的な」変更であり、オペレーティング システムやファーストパーティ アプリケーションの多くのコア要素の動作方法を変更します。他のデバイスの操作を通じて特別に処理される特定のバックアップおよび復元ツールやアプリケーションも影響を受けます。

機能の変更に依存するソフトウェアを使用する場合は、まず SIP を無効にする必要があります。特定のアプリケーションに必要な権限がない場合、そのアプリケーションに対して例外を作成する方法はありません。このため、この変更は、ソフトウェアが引き続き機能することを保証するために Apple と協力する手段を持たない小規模な開発者に影響を与えるのではないかという憶測が生まれている。

これは真実かもしれませんが、元々 El Capitan で動作しなかった多くのアプリケーションは、このオペレーティング システムに対応するために書き直されました。 Bartender はそのようなアプリケーションです。これは Mac のメニュー バー アイコンをクリーンアップする手段です。オリジナルの Bartender は OS X 10.10 以下でのみ動作しますが、Bartender 2 は El Capitan 以降で動作します。 [開く] および [保存] ダイアログ ボックスを強化するために設計された別のアプリケーションである Default Folder X は、El Capitan 以降のバージョン用に完全に書き直されました。今では完全に動作します。

すべてのアプリケーションが完全に書き換えられたわけではなく、一部のアプリケーションは機能するために依然として SIP を無効にする必要があります。幸いなことに、これは通常、Winclone の場合のように一時的なものにすぎません。この Boot Camp のクローン作成およびバックアップ ソリューションでは、ユーザーはドライブの保護領域に書き込むために SIP を無効にする必要があります。この機能は後でオンに戻すことができます。

SwitchResX は、SIP を無効にする必要があるもう 1 つのアプリケーションです。保護されたファイルで指定された特定の解像度に基づいて、外部ディスプレイに対する高度な制御を提供します。モニターの設定が完了すると、ユーザーは別の変更が必要になるまで SIP を復元できます。 XtraFinder などの他のアプリケーション (および Finder の外観と機能を変更する他の多くのアプリケーション) では、csrutil enable --without debug コマンドを使用してデバッグ時にこの機能を有効にする必要があります。

この変更により、一部のアプリケーションは開発を完全に停止しました。他のアプリケーションは SIP を一時的に無効にするだけで、その後再度有効にします。ここで重要なことは、アプリケーションが消費者に届く前に、システムや統合機能 (Finder、Spotlight、ドックなど) のインターフェイスや動作を変更する必要がある場合、非常に煩わしいということです。ほとんどの場合、Google で検索するか、FAQ をざっと見るだけで十分です。

SIPを無効にする方法は?

SIP を無効にする場合は、Mac が OS X 10.10 Mavericks を実行している場合と技術的に同じくらい安全であることに留意してください。ドライブの特定の領域に書き込むか、管理者権限を要求するには、引き続き root アクセスを提供する必要があります。後で SIP を有効にする場合は、簡単に再度有効にすることもできます。

ほとんどの Mac ユーザーは SIP を無効にする必要はありません。また、障害物に遭遇しない限り、この機能は有効のままにしておく必要があります。保護されたフォルダーに変更を加える必要がある場合、または権限なしでソフトウェアを使用する必要がある場合は、SIP を無効にするために次の手順を実行します。

1. 左上のAppleアイコンをクリックし、 [再起動]を選択してMac を再起動します。
2. Mac の起動中にCommand+Rを押したままにして、リカバリ モードに入ります。
3. Mac が起動したら、「ユーティリティ」に移動し、「ターミナル」を起動します。
4. csrutil disableと入力し、 Enterを押します。
5. いつものように Mac を再起動します。

すべて完了！この機能は、リカバリ モードで再起動し、ターミナルを起動してcsrutil clearと入力し、Enterを押すことで簡単に再度有効にすることができます。

SIPをオフにしていませんか?

もしかしたら、思い切って SIP をオフにしてみるのもいいかもしれません。おそらく、変更できるものと変更できないものを Apple に指図されたくないのかもしれません。アプリケーションが SIP をオフにするように要求する場合もあれば、システムを微調整するのが好きな人もいます。この機能をオフにしている場合は、その理由をお知らせください。

どうしても必要な場合を除き、この機能をオフにする理由はほとんどありません。 macOS を再インストールすると、この機能が再び有効になる可能性があることに注意してください。また、Apple は今後も新しい macOS リリースごとにセキュリティ機能と権限制御を導入していく可能性があります。

続きを見る：

• セキュア Mac ネットワーク サービス
• Mac OS X Lion で外部ドライブを暗号化する
• Mac OS X のセキュリティを強化するためのヒント