macOS には、Mac をロックダウンして、デフォルトで Apple が承認したソフトウェアのみを実行するように設計された「Gatekeeper」と呼ばれる機能があります。ただし、Mac も Android がロックダウンされている のと同じようにロックされています。それでも、必要なアプリケーションを自由に実行できます。
Gatekeeper の動作は、実行している macOS のバージョンに応じて少し異なります。古いバージョンでは簡単なスイッチでオフにできますが、 macOS Sierra では 少し複雑になります。知っておくべきことは次のとおりです。
ゲートキーパーの仕組み
Mac で新しいアプリケーションを起動するたびに、Gatekeeper はそれが有効な署名で署名されているかどうかを確認します。アプリケーションが有効な署名で署名されている場合は、実行が許可されます。そうでない場合は、警告メッセージが表示され、Mac はアプリケーションの実行を妨げます。
ただし、すべての Mac アプリが署名されているわけではありません。ウェブ上で入手可能な一部のアプリ、特に古いアプリは、信頼できるものであっても署名されていません。おそらく、しばらく更新されていなかったか、開発者が単に気にしなかっただけかもしれません。このため、Apple は Gatekeeper をバイパスする方法を提供しています。 (独自のアプリを開発している場合は、これをバイパスして署名のないアプリを実行することもできます。)
Gatekeeper は、次の 3 つの異なるタイプのアプリを認識しています。
- Mac App Store からのアプリ : Mac App Store から インストールするアプリケーションは、 Apple の審査プロセスを経ており、Apple 自身によってホストされているため、最も信頼できると見なされます。これらはサンドボックス化されていますが、これが 多くのアプリ開発者が Mac App Store を使用しない理由 です。
- 識別された開発者からのアプリ : Mac アプリ開発者は、Apple から固有の開発者 ID を取得し、それを使用してアプリケーションに署名できます。このデジタル署名により、アプリケーションが実際にその特定の開発者によって作成されたことが保証されます。たとえば、Mac に Google Chrome をインストールすると、Google の開発者 ID で署名されるため、Apple はその実行を許可します。開発者が開発者 ID を悪用していることが判明した場合、または悪意のあるアプリに署名するために開発者 ID を使用しているハッカーによって取得されたことが判明した場合、開発者 ID は取り消されることがあります。このようにして、Gatekeeper は、苦労して開発者 ID を取得し、良好な状態にある正規の開発者によって作成されたアプリケーションのみがコンピュータ上で実行できるようにします。
- 他の場所からのアプリ : Mac App Store から取得せず、開発者 ID で署名されていないアプリは、この最後のカテゴリに分類されます。 Apple はこれらが最も安全性が低いと考えていますが、だからといってアプリが信頼できないというわけではありません。結局のところ、何年も更新されていない Mac アプリは適切に署名されていない可能性があります。
デフォルト設定では、最初の 2 つのカテゴリ (Mac App Store と特定の開発者からのアプリ) のみが許可されます。この設定により十分なセキュリティが提供され、ユーザーがアプリ ストアからアプリを取得したり、Web から署名付きアプリをダウンロードしたりできるようになります。
署名されていないアプリを開く方法
署名されていないアプリをダブルクリックして開こうとしても、機能しません。 「不明な開発者によるものであるため、[アプリ名] を開けません」というメッセージが表示されます。
もちろん、使用する必要がある署名のないアプリに遭遇する場合もあります。開発者を信頼できる場合は、Mac にとにかく開くように指示できます。
警告 : ゲートキーパーはセキュリティ機能であり、理由があってデフォルトでオンになっています。信頼できるアプリのみを実行してください。
署名されていないアプリを開くには、アプリを右クリックまたは Control キーを押しながらクリックして、[開く] を選択する必要があります。 これは、macOS Sierra だけでなく、macOS の以前のバージョンでも機能します。
アプリが未確認の開発者からのものである、つまり、有効な開発者の署名で署名されていない、という警告が表示されます。アプリを信頼する場合は、「開く」をクリックして実行します。
それでおしまい。 Mac は、実行を許可した特定のアプリごとにこの設定を記憶し、次回そのアプリを実行するときに再度尋ねられることはありません。新しい署名のないアプリを初めて実行するときにこれを行う必要があります。
これは、少数の署名されていないアプリを実行するための最良かつ最も安全な方法です。実行する前に各アプリを信頼していることを確認して、特定のアプリをそれぞれ許可してください。
どこからでもアプリを許可する方法
古いバージョンの macOS では、[システム環境設定] > [セキュリティとプライバシー] から Gatekeeper を完全に無効にすることができました。 「アプリのダウンロードを許可」設定から「どこでも」を選択するだけです。
ただし、macOS 10.12 Sierra では、Apple はこれを変更しました。 「システム環境設定」ウィンドウから Gatekeeper を完全に無効にすることはできなくなりました。以上です。単一のグラフィック オプションが削除されました。署名されていないアプリを個別に実行することも選択できます。また、Gatekeeper を完全にバイパスするための隠しコマンド ライン オプションもあります。しかし、Apple は知識の少ないユーザーがこのセキュリティ機能を無効にすることを望まないため、 システム整合性保護を無効にするオプション と同様に、そのスイッチを非表示にしています。
自分が何をしようとしているのかがわかっていて、設定を変更する必要がある場合は変更できますが、お勧めしません。
まず、ターミナル ウィンドウを開きます。 Command+Space を押して「ターミナル」と入力し、Enter を押してターミナルを起動します。または、Finder ウィンドウを開いて、[アプリケーション] > [ユーティリティ] > [ターミナル] に移動することもできます。
ターミナル ウィンドウで次のコマンドを実行し、パスワードを入力します。
sudo spctl --master-disable
完了したら、[システム環境設定] > [セキュリティとプライバシー] に進みます。以前の「どこでも」オプションが戻ってきて有効になっていることがわかります。
これで、Mac は「どこでも」設定を選択した場合と同じように動作し、署名されていないアプリは問題なく実行されます。
この変更を元に戻すには、[セキュリティとプライバシー] ペインで [App Store と特定の開発者] または [App Store] を選択するだけです。
Apple は、このオプションを知識の少ないユーザーから隠すことで、macOS の安全性を高めようとしています。未署名のアプリケーションを実行する必要がある場合は、Gatekeeper を無効にしてすべての未署名のアプリケーションの実行を許可するのではなく、1 つずつ許可することをお勧めします。これはほぼ同じくらい簡単で、自分が承認していないものはコンピュータ上で何も実行されなくなります。
