コンテンツ セキュリティ ポリシー (CSP) は宣言型セキュリティ ヘッダーであり、開発者はブラウザー内で許可されるセキュリティ関連の動作 (コンテンツ取得元の場所の許可リストなど) を指定できます。Cross-Site Scripting、Clickjacking、Cross-Origin Access など、重大な脆弱性から守るために、入力検証とコードの許可リスト チェックに加え、さらにセキュリティの層を追加します。ただし、ヘッダーの設定が不適切であれば、このセキュリティの層は追加されません。このポリシーは 15 のディレクティブを利用して定義されます。そのうちの 8 つ、script-src、img-src、object-src、style_src、font-src、media-src、frame-src、connect-src はリソース アクセスを制御します。この 8 つのディレクティブでは、そのディレクティブで処理される機能にサイトがアクセスできるドメインを指定する値として、ソース一覧を受け取ります。開発者はワイルドカード * を使用するとソースの全部または一部を指示できます。ソース一覧キーワード、'unsafe-inline' や 'unsafe-eval' などを追加すると、スクリプト実行に対する制御の精度が高くなりますが、有害となる可能性があります。いずれのディレクティブも必須ではありません。ブラウザーは一覧にないディレクティブにもすべてのソースを許可するか、任意の default-src ディレクティブからその値を導出します。また、このヘッダーの仕様は時間の経過とともに発展しています。Firefox ではバージョン 23 まで、IE ではバージョン 10 まで、X-Content-Security-Policy として実装されていました。Chrome ではバージョン 25 まで X-Webkit-CSP として実装されていました。こうした名前はいずれも廃止となり、現在は標準名 Content Security Policyに取って代わられました。ディレクティブの数、廃止となった 2 つの代替名、同じヘッダーが複数回発生し 1 つのヘッダー内でディレクティブが繰り返される処理方法が指示される場合、開発者が誤ってこのヘッダーを設定する確率が高くなります。

例 1: 次のコードでは、過度に許容的で安全ではない default-src ディレクティブを設定します。

	<http auto-config="true">
        ...
        <headers>
            ...
            <content-security-policy policy-directives="default-src '*'" />
        </headers>
    </http>

HTML5 以前の Web ブラウザーでは、同一生成元ポリシーが強制されます。このポリシーは、JavaScript が Web ページのコンテンツにアクセスできるように、JavaScript および Web ページの両方が同じドメインを由来としている必要があります。同一生成元ポリシーが適用されない場合、他の Web サイトからクライアントの証明書を使用して機密性の高い情報をロードして選び取り、攻撃者にこれらの情報を戻す JavaScript が悪意ある Web サイトによって仕組まれる可能性があります。Access-Control-Allow-Origin という新しい HTTP ヘッダーが定義されている場合、HTML5 では、JavaScript はドメイン間でデータにアクセスすることが可能です。生成元間の要求を使用してドメインにアクセスすることを許可する他のドメインを、Web サーバーはこのヘッダーを使用して定義します。しかし、このヘッダーを定義する場合には、注意が必要です。CORS ポリシーが過度に許容的であると、悪意のあるアプリケーションが不正に攻撃対象のサービスとやり取りし、偽装、データの盗み出し、リレーなどの攻撃が実行されるおそれがあるためです。

例 1: ワイルドカードを使用して、アプリケーションのやりとりを許可するドメインをプログラミングにより指定している例を次に示します。

<websocket:handlers allowed-origins="*">
        <websocket:mapping path="/myHandler" handler="myHandler" />
</websocket:handlers>

* を Access-Control-Allow-Origin ヘッダーの値として使用すると、任意のドメインで実行されている JavaScript がアプリケーションのデータにアクセスできます。

HTML5 の機能の 1 つに、ドキュメント間メッセージがあります。この機能を使用すると、スクリプトが他のウィンドウにメッセージを送信できるようになります。対応する API では、ユーザーがターゲットウィンドウの生成元を指定することができます。しかし、ターゲットの生成元を指定する場合には、注意が必要です。過度に許可されたターゲットの生成元は、悪意のあるスクリプトが不正な方法で攻撃対象のウィンドウとやりとりし、偽装、データの盗み出し、リレー、およびその他の攻撃が実行される恐れがあります。

例 1: 次の例では、ワイルドカードを使用して、送信されるメッセージのターゲット生成元をプログラミングにより指定しています。

    WebMessage message = new WebMessage(WEBVIEW_MESSAGE);
    webview.postWebMessage(message, Uri.parse("*"));

ターゲットの生成元の値として * を使用するということは、このスクリプトが生成元に関係なくウィンドウにメッセージを送信していることを示します。

ブラウザーのデフォルトでは、HTTPS から暗号化されていない HTTP リンクへ出されたリクエストについてはリファラー ヘッダーを送信しません。しかし、リクエストの宛先も HTTPS である場合は、生成元に関係なくヘッダーが送信されます。開発者が URL にある機密情報をそのままにしておくと、リファラー ヘッダー経由で第三者に開示される可能性があります。Referrer-Policy ヘッダーは、リファラー ヘッダーに関連するブラウザーの動作を制御するために導入されました。Unsafe-URL オプションはすべての制限を解除し、リクエストごとにリファラー ヘッダーを送信します。

例 1: 次のコードでは、Spring Security で保護されるアプリケーションでデフォルトの安全な Referrer-Policy を無効化するよう設定します。

	<http auto-config="true">
        ...
        <headers>
            ...
            <referrer-policy policy="unsafe-url"/>
        </headers>
	</http>

コンテンツ セキュリティ ポリシー (CSP) は宣言型セキュリティ ヘッダーであり、開発者は Web ブラウザーでレンダリングされるときにサイトがコンテンツを読み込み、接続を開始するドメインを指示できます。Cross-Site Scripting、Clickjacking、Cross-Origin Access など、重大な脆弱性から守るために、入力検証とコードの許可リスト チェックに加え、さらにセキュリティの層を追加します。

Content-Security-Policy-Report-Only ヘッダーにより、Web アプリケーションの作成者や管理者はセキュリティ ポリシーを強制適用するのではなく監視することができます。このヘッダーは通常、サイトのセキュリティ ポリシーを試用および/または開発する際に使用されます。ポリシーが有効であると判断された場合、代わりに Content-Security-Policy ヘッダー フィールドを使用すると強制適用できます。

例 1: 次のコードでは、コンテンツ セキュリティ ポリシーを Report-Only モードに設定します。

	<http auto-config="true">
        ...
        <headers>
            ...
            <content-security-policy report-only="true" policy-directives="default-src https://content.cdn.example.com" />
        </headers>
    </http>

キーボード拡張では、ユーザーが入力したすべてのキーボード操作を読み取ることができます。サードパーティのキーボードは通常、テキスト入力を容易にするため、または絵文字を追加するために使用され、ユーザーが入力した内容または処理のためにリモート サーバーに送信した内容を記録できます。キーロガーとして使用するために悪意のあるキーボードを配布し、ユーザーが入力したすべてのキーを読み取って、認証情報やクレジット カード番号などの機密データを盗むこともできます。

拡張機能はビュー コントローラーでホスト アプリケーションからデータを受け取り、SLComposeServiceViewController isContentValid を実装して受け取った信頼できないデータを使用前に検証することができません。

例 1: 次の拡張ビュー コントローラーはホスト アプリケーションからデータを受け取りますが、コールバック メソッドを実装してデータを検証することができません。

    #import <MobileCoreServices/MobileCoreServices.h>

    @interface ShareViewController : SLComposeServiceViewController
        ...
    @end

    @interface ShareViewController ()
        ...
    @end

    @implementation ShareViewController

    - (void)didSelectPost {
        NSExtensionItem *item = self.extensionContext.inputItems.firstObject;
        NSItemProvider *itemProvider = item.attachments.firstObject;
        ...
        // Use the received items
        ...
        [self.extensionContext completeRequestReturningItems:@[] completionHandler:nil];
    }

    ...

    @end

サードパーティ アプリケーションまたは webview が URL を使用してアプリケーションと通信する際、受信側のアプリケーションは、通信すると想定されるアプリケーションの許可リストと送信者が一致することを検証する必要があります。受信側のアプリケーションは、UIApplicationDelegate application:openURL:options: または UIApplicationDelegate application:openURL:sourceApplication:annotation: 委任メソッドを使用してコール URL の生成元を検証することもできます。

例 1: 次の UIApplicationDelegate application:openURL:options: 委任メソッドの実装では IPC コールの送信者の検証に失敗し、単にコール URL を処理します。

    - (BOOL)application:(UIApplication *)app openURL:(NSURL *)url options:(NSDictionary<NSString *,id> *)options {
        NSString *theQuery = [[url query] stringByRemovingPercentEncoding:NSUTF8StringEncoding];
        NSArray *chunks = [theQuery componentsSeparatedByString:@"&"];
        for (NSString* chunk in chunks) {
            NSArray *keyval = [chunk componentsSeparatedByString:@"="]; NSString *key = [keyval objectAtIndex:0];
            NSString *value = [keyval objectAtIndex:1];
            // Do something with your key and value
        }
        return YES;
    }

サードパーティ アプリケーションまたは webview が URL を使用してアプリケーションと通信する際、受信側のアプリケーションはさらに操作を進める前に、コール URL を検証する必要があります。受信側のアプリケーションは、UIApplicationDelegate application:didFinishLaunchingWithOptions: または　UIApplicationDelegate application:willFinishLaunchingWithOptions: 委任メソッドを使用してコール URL を開くことを検証することもできます。

例 1: 次の UIApplicationDelegate application:didFinishLaunchingWithOptions: 委任メソッドの実装ではコール URL の検証に失敗し、常に信頼できない URL を処理します。

    - (BOOL)application:(UIApplication *)application didFinishLaunchingWithOptions:(NS Dictionary *)launchOptions {
        return YES;
    }

アプリケーションは、サードパーティ アプリケーションと通信するためにサードパーティ アプリケーションのカスタム URL スキームを登録できます。これは単純な IPC チャネルですが、アプリケーションが「URL スキームの乗っ取り」にさらされる可能性があります。Apple によって確保されていない限り、どのアプリケーションも URL スキームを登録できますが、悪意のあるアプリケーションがお使いのアプリケーションで使用されたスキーマと同じスキーマを登録して、未定義の動作が生じる可能性があります。Apple のドキュメントには、「複数のサードパーティ アプリケーションが同じ URL スキームを扱うために登録した場合、そのスキームが与えられるアプリケーションを特定するプロセスは現在ありません」と記載されています。お使いのアプリケーションの前に悪意のあるアプリケーションがインストールされた場合、悪意のあるアプリケーションがスキーマを登録して、お使いのアプリケーションを正常にインストールできないようにする可能性があります。また、お使いのアプリケーションの後に悪意のあるアプリケーションがインストールされ、悪意のあるアプリケーションがスキーマの登録に成功した場合、お使いのアプリケーションからスキーマを乗っ取る可能性があります。

Android のバックアップ サービスを使用すると、アプリケーションは、永続データをリモート クラウド ストレージに保存して、将来アプリケーション データの復元ポイントが必要になる場合に備えます。

Android アプリケーションにはこのバックアップ サービスを設定できます。これは、allowBackup 属性を true (デフォルト値) に設定し、<application> タグの backupAgent 属性を定義することで行えます。

ただし、Android はクラウド ストレージとトランスポートがデバイスごとに異なるため、バックアップ使用中のデータのセキュリティを保証しません。

外部ストレージに保存されるファイルは、誰でも読み取りが可能であり、USB マスストレージを有効にしてファイルをコンピュータに転送している場合はユーザーにより変更される可能性があります。また、外部ストレージカードにあるファイルは、ファイルを書き込んだアプリケーションがアンインストールされても、そのまま残ります。これらの制約が原因で、ストレージに書き込まれた重要な情報が危険にさらされたり、攻撃者がプログラムに必要な外部ファイルを変更して、悪意のあるデータをプログラムに挿入したりする可能性があります。

例 1: 次のコードでは、Environment.getExternalStorageDirectory() が Android デバイスの外部ストレージに参照を返しています。

 private void WriteToFile(String what_to_write) {
        try{
            File root = Environment.getExternalStorageDirectory();
            if(root.canWrite()) {
                File dir = new File(root + "write_to_the_SDcard");
                File datafile = new File(dir, number + ".extension");
                FileWriter datawriter = new FileWriter(datafile);
                BufferedWriter out = new BufferedWriter(datawriter);
                out.write(what_to_write);
                out.close();
             }
        }
   }

MODE_WORLD_READBLE または MODE_WORLD_WRITEABLE を使用して Android 内部ストレージに格納されたデータは、デバイス上のすべてのアプリケーションからアクセス可能です。これはデータ破壊からの保護を否定するだけでなく、機密情報の場合、ユーザーのプライバシーとセキュリティに関する懸念に反することとなります。

データをキーチェーンに格納する際、アイテムにアクセスできる時期を指定するアクセシビリティ レベルを設定する必要があります。設定できるアクセシビリティ レベルは次のとおりです。

-kSecAttrAccessibleAfterFirstUnlockThisDeviceOnly:
ユーザーによってデバイスがロック解除されるまで、再起動後はキーチェーン アイテムのデータにアクセスできません。
最初のロック解除後、次回の再起動までデータはアクセス可能なままです。これは、バックグラウンド アプリケーションでアクセスする必要のあるアイテムに推奨されます。この属性を持つアイテムは新しいデバイスに移行されません。このため、別のデバイスのバックアップからリストアした後、これらのアイテムは表示されません。
iOS 4.0 以降で使用できます。

-kSecAttrAccessibleAlways:
デバイスがロックされているかどうかに関係なく、常にキーチェーン アイテムのデータにアクセスできます。
これは、アプリケーションでの使用には推奨されません。暗号化されたバックアップを使用する場合、この属性を持つアイテムは新しいデバイスに移行されます。
iOS 4.0 以降で使用できます。

-kSecAttrAccessibleWhenPasscodeSetThisDeviceOnly:
デバイスがロック解除されている場合のみ、キーチェーンのデータにアクセスできます。デバイスにパスコードが設定されている場合にのみ使用できます。
これは、アプリケーションがフォアグラウンドにある間にのみアクセスできる必要のあるアイテムに推奨されます。この属性を持つアイテムが新しいデバイスに移行されることはありません。バックアップを新しいデバイスにリストアすると、これらのアイテムは失われます。パスコードなしに、デバイス上でこのクラスにアイテムを格納することはできません。デバイスのパスコードを無効にすると、このクラスのすべてのアイテムが削除されます。
iOS 8.0 以降で使用できます。

-kSecAttrAccessibleAlwaysThisDeviceOnly:
デバイスがロックされているかどうかに関係なく、常にキーチェーン アイテムのデータにアクセスできます。
これは、アプリケーションでの使用には推奨されません。この属性を持つアイテムは新しいデバイスに移行されません。このため、別のデバイスのバックアップからリストアした後、これらのアイテムは表示されません。
iOS 4.0 以降で使用できます。

-kSecAttrAccessibleWhenUnlocked:
デバイスがユーザーによってロック解除されている間のみ、キーチェーン アイテムのデータにアクセスできます。
これは、アプリケーションがフォアグラウンドにある間にのみアクセスできる必要のあるアイテムに推奨されます。暗号化されたバックアップを使用する場合、この属性を持つアイテムは新しいデバイスに移行されます。
これは、アクセシビリティ定数を明示的に設定せずに追加されたキーチェーン アイテムのデフォルト値です。
iOS 4.0 以降で使用できます。

-kSecAttrAccessibleWhenUnlockedThisDeviceOnly:
デバイスがユーザーによってロック解除されている間のみ、キーチェーン アイテムのデータにアクセスできます。
これは、アプリケーションがフォアグラウンドにある間にのみアクセスできる必要のあるアイテムに推奨されます。この属性を持つアイテムは新しいデバイスに移行されません。このため、別のデバイスのバックアップからリストアした後、これらのアイテムは表示されません。
iOS 4.0 以降で使用できます。

ThisDeviceOnly を含まないアクセシビリティ レベルでは、暗号化されていないバックアップを使用する場合でも、iCloud および iTunes にバックアップされ、どのデバイスにもリストアできます。格納されているデータがどれだけ機密性が高く個人的かによっては、プライバシーの問題が発生する可能性があります。

例 1: 次の例では、デバイスの電源を入れてロック解除するとき以外は、キーチェーン アイテムが常に保護されていますが、キーチェーン アイテムは iCloud および暗号化されていない iTunes バックアップにバックアップされます。

...
    NSMutableDictionary *dict = [NSMutableDictionary dictionary];
    NSData *token = [@"secret" dataUsingEncoding:NSUTF8StringEncoding];

    // Configure KeyChain Item
    [dict setObject:(__bridge id)kSecClassGenericPassword forKey:(__bridge id) kSecClass];
    [dict setObject:token forKey:(__bridge id)kSecValueData];
    ...
    [dict setObject:(__bridge id)kSecAttrAccessibleWhenUnlocked forKey:(__bridge id) kSecAttrAccessible];

    OSStatus error = SecItemAdd((__bridge CFDictionaryRef)dict, NULL);
...

HTTP(S) レスポンスには、セッション cookie や API トークンなどの機密データが含まれることがあります。 URL ローディング システムはパフォーマンス上の理由ですべての HTTP(S) レスポンスをキャッシュし、安全でない共有ストレージに暗号化せずに格納します。

例 1: 次のコードは、HTTP(S) レスポンス キャッシュを共有ストレージ領域にインストールします。

    protected void onCreate(Bundle savedInstanceState) {
       ...

       try {
           File httpCacheDir = new File(context.getExternalCacheDir(), "http");
           long httpCacheSize = 10 * 1024 * 1024; // 10 MiB
           HttpResponseCache.install(httpCacheDir, httpCacheSize);
       } catch (IOException e) {
           Log.i(TAG, "HTTP response cache installation failed:" + e);
       }
    }

    protected void onStop() {
       ...

       HttpResponseCache cache = HttpResponseCache.getInstalled();
       if (cache != null) {
           cache.flush();
       }
   }

HTTP(S) レスポンスには、セッション cookie や API トークンなどの機密データが含まれることがあります。URL ローディング システムはパフォーマンス上の理由ですべての HTTP(S) レスポンスをキャッシュし、{app ID}/Library/Caches/com.mycompany.myapp/Cache.db* ファイルに暗号化せずに格納します。
開発者は、URLCache クラスの diskCapacity または memoryCapacity プロパティを 0 に設定することで、HTTP(S) レスポンス キャッシュ システムを効果的に無効化できると考えるかもしれません。しかし、NSURLCache ドキュメントには、デバイスのメモリまたはディスク領域が残り少なくなった場合のみ、ディスク上のキャッシュとメモリ内のキャッシュの両方が設定されたサイズまで切り詰められると記載されています。両方の設定は、セキュリティ制御としてではなく、システム リソースを解放してパフォーマンスを向上させるために使用されます。

データ保護 API は、キーチェーンに含まれるアイテムとファイル システム上に保存されているファイルをアクセス可能にする必要がある場合に、アプリケーションが宣言するように設計されています。NSFileManager、CoreData、NSData、SQLite など、大半のファイルやデータベース API で利用可能です。4 つの保護クラスのいずれかを特定のリソースに指定することで、開発者は基盤ファイル システムに、デバイスの UID とユーザーのパスワードの両方から導出された鍵を使用するか、デバイスの UID のみに基づく鍵を使用してその保護クラスを暗号化するように (さらに自動でそれを復号化するタイミングも) 指示できます。

データ保護クラスは NSFileManager に定数として定義されます。つまり、NSFileManager インスタンスと関連付けられた NSDictionary に NSFileProtectionKey 鍵の値として割り当てられることになります。またファイルを作成するか、あるいは setAttributes:ofItemAtPath:error:、attributesOfItemAtPath:error:、createFileAtPath:contents:attributes: などの NSFileManager 関数を使用して変更されるデータ保護クラスをファイルに含めることができます。さらに、対応するデータ保護定数は NSData オブジェクトに NSDataWritingOptions として定義され、これを options 引数として NSData 関数 writeToURL:options:error: および writeToFile:options:error: に渡すことができます。NSFileManager および NSData の各種データ保護クラス定数の定義を以下に示します。

-NSFileProtectionComplete, NSDataWritingFileProtectionComplete:
ディスク上に暗号化された形式で保存されるリソースでは、デバイスがロックされているかデバイスのブート中に、そのリソースへの読み書きはできません。
iOS 4.0 以降で使用できます。
-NSFileProtectionCompleteUnlessOpen, NSDataWritingFileProtectionCompleteUnlessOpen:
リソースは、暗号化された形式でディスクに保存されます。リソースは、デバイスがロックされている状態で作成できますが、一度閉じるとデバイスをロック解除するまで再び開くことはできません。ロックを解除してリソースを開くと、ユーザーがデバイスをロックしてもリソースへのアクセスを通常どおりに続行できます。
iOS 5.0 以降で使用できます。
-NSFileProtectionCompleteUntilFirstUserAuthentication, NSDataWritingFileProtectionCompleteUntilFirstUserAuthentication:
リソースは暗号化された形式でディスク上に保存され、デバイスがブートするまではアクセスできません。ユーザーが初めてデバイスをロック解除すると、アプリはリソースにアクセスし、その後ユーザーがデバイスをロックしてもアクセスを続行できます。
iOS 5.0 以降で使用できます。
-NSFileProtectionNone, NSDataWritingFileProtectionNone:
リソースにはそれに関連する特別な保護はありません。いつでもリソースへの読み書きを実行できます。
iOS 4.0 以降で使用できます。

このため、ファイルを NSFileProtectionCompleteUnlessOpen または NSFileProtectionCompleteUntilFirstUserAuthentication でマーキングすると、ユーザーのパスワードとデバイスの UID から導出された鍵を使用してファイルを暗号化できる一方、データは特定の状況下でアクセス可能のままになります。このように、NSFileProtectionCompleteUnlessOpen または NSFileProtectionCompleteUntilFirstUserAuthentication の使用方法については慎重に検証し、今後も NSFileProtectionComplete による保護が保証されるかどうかを見極める必要があります。

例 1: 以下の例では、所定のファイルはユーザーがデバイスの電源をオンにして初回のパスワードを入力するまでに限り保護されます (次の再起動まで)。

...
filepath = [self.GetDocumentDirectory stringByAppendingPathComponent:self.setFilename];
...
NSDictionary *protection = [NSDictionary dictionaryWithObject:NSFileProtectionCompleteUntilFirstUserAuthentication forKey:NSFileProtectionKey];
...
[[NSFileManager defaultManager] setAttributes:protection ofItemAtPath:filepath error:nil];
...
BOOL ok = [testToWrite writeToFile:filepath atomically:YES encoding:NSUnicodeStringEncoding error:&err];
...

例 2: 以下の例では、所定のデータはユーザーがデバイスの電源をオンにして初回のパスワードを入力するまでに限り保護されます (次の再起動まで)。

...
filepath = [self.GetDocumentDirectory stringByAppendingPathComponent:self.setFilename];
...
NSData *textData = [textToWrite dataUsingEncoding:NSUnicodeStingEncoding];
...
BOOL ok = [textData writeToFile:filepath options:NSDataWritingFileProtectionCompleteUntilFirstUserAuthentication error:&err];
...

キーチェーンのアクセシビリティ定数は、キーチェーンのアイテムにアクセスできる必要がある場合に、アプリケーションが宣言できるように設計されています。特定のキーチェーン アイテムにいずれかのアクセシビリティ定数を指定することで、開発者は基盤ファイル システムに、デバイスの UID とユーザーのパスコードの両方から導出された鍵を使用するか、デバイスの UID のみに基づく鍵を使用してそのキーチェーン アイテムを暗号化するように (さらに自動で復号化するタイミングも) 指示できます。

キーチェーン アクセシビリティ定数は、キーチェーン属性ディクショナリの kSecAttrAccessible キーの値として割り当てる必要があります。さまざまなキーチェーン アクセシビリティ定数の定義を以下に示します。

-kSecAttrAccessibleAfterFirstUnlock:
ユーザーによってデバイスがロック解除されるまで、再起動後はキーチェーン アイテムのデータにアクセスできません。
最初のロック解除後、次回の再起動までデータはアクセス可能なままです。これは、バックグラウンド アプリケーションでアクセスする必要のあるアイテムに推奨されます。暗号化されたバックアップを使用する場合、この属性を持つアイテムは新しいデバイスに移行されます。
iOS 4.0 以降で使用できます。

-kSecAttrAccessibleAfterFirstUnlockThisDeviceOnly:
ユーザーによってデバイスがロック解除されるまで、再起動後はキーチェーン アイテムのデータにアクセスできません。
最初のロック解除後、次回の再起動までデータはアクセス可能なままです。これは、バックグラウンド アプリケーションでアクセスする必要のあるアイテムに推奨されます。この属性を持つアイテムは新しいデバイスに移行されません。このため、別のデバイスのバックアップからリストアした後、これらのアイテムは表示されません。
iOS 4.0 以降で使用できます。

-kSecAttrAccessibleAlways:
デバイスがロックされているかどうかに関係なく、常にキーチェーン アイテムのデータにアクセスできます。
これは、アプリケーションでの使用には推奨されません。暗号化されたバックアップを使用する場合、この属性を持つアイテムは新しいデバイスに移行されます。
iOS 4.0 以降で使用できます。

-kSecAttrAccessibleWhenPasscodeSetThisDeviceOnly:
デバイスがロック解除されている場合のみ、キーチェーンのデータにアクセスできます。デバイスにパスコードが設定されている場合にのみ使用できます。
これは、アプリケーションがフォアグラウンドにある間にのみアクセスできる必要のあるアイテムに推奨されます。この属性を持つアイテムが新しいデバイスに移行されることはありません。バックアップを新しいデバイスにリストアすると、これらのアイテムは失われます。パスコードなしに、デバイス上でこのクラスにアイテムを格納することはできません。デバイスのパスコードを無効にすると、このクラスのすべてのアイテムが削除されます。
iOS 8.0 以降で使用できます。

-kSecAttrAccessibleAlwaysThisDeviceOnly:
デバイスがロックされているかどうかに関係なく、常にキーチェーン アイテムのデータにアクセスできます。
これは、アプリケーションでの使用には推奨されません。この属性を持つアイテムは新しいデバイスに移行されません。このため、別のデバイスのバックアップからリストアした後、これらのアイテムは表示されません。
iOS 4.0 以降で使用できます。

-kSecAttrAccessibleWhenUnlocked:
デバイスがユーザーによってロック解除されている間のみ、キーチェーン アイテムのデータにアクセスできます。
これは、アプリケーションがフォアグラウンドにある間にのみアクセスできる必要のあるアイテムに推奨されます。暗号化されたバックアップを使用する場合、この属性を持つアイテムは新しいデバイスに移行されます。
これは、アクセシビリティ定数を明示的に設定せずに追加されたキーチェーン アイテムのデフォルト値です。
iOS 4.0 以降で使用できます。

-kSecAttrAccessibleWhenUnlockedThisDeviceOnly:
デバイスがユーザーによってロック解除されている間のみ、キーチェーン アイテムのデータにアクセスできます。
これは、アプリケーションがフォアグラウンドにある間にのみアクセスできる必要のあるアイテムに推奨されます。この属性を持つアイテムは新しいデバイスに移行されません。このため、別のデバイスのバックアップからリストアした後、これらのアイテムは表示されません。
iOS 4.0 以降で使用できます。

このため、キーチェーン アイテムを kSecAttrAccessibleAfterFirstUnlock でマーキングすると、ユーザーのパスコードとデバイスの UID から導出された鍵を使用してファイルを暗号化できる一方、データは特定の状況下でアクセス可能のままになります。このように、kSecAttrAccessibleAfterFirstUnlock の使用方法については慎重に検証し、今後も保護が保証されるかどうかを見極める必要があります。

例 1: 以下の例では、所定のキーチェーン アイテムはユーザーがデバイスの電源をオンにして初回のパスコードを入力するまでに限り保護されます (次の再起動まで)。

...
    NSMutableDictionary *dict = [NSMutableDictionary dictionary];
    NSData *token = [@"secret" dataUsingEncoding:NSUTF8StringEncoding];

    // Configure KeyChain Item
    [dict setObject:(__bridge id)kSecClassGenericPassword forKey:(__bridge id) kSecClass];
    [dict setObject:token forKey:(__bridge id)kSecValueData];
    ...
    [dict setObject:(__bridge id)kSecAttrAccessibleAfterFirstUnlock forKey:(__bridge id) kSecAttrAccessible];

    OSStatus error = SecItemAdd((__bridge CFDictionaryRef)dict, NULL);
...

データ保護 API は、キーチェーンに含まれるアイテムとファイル システム上に保存されているファイルをアクセス可能にする必要がある場合に、アプリケーションが宣言するように設計されています。NSFileManager、CoreData、NSData、SQLite など、大半のファイルやデータベース API で利用可能です。4 つの保護クラスのいずれかを特定のリソースに指定することで、開発者は基盤ファイル システムに、デバイスの UID とユーザーのパスワードの両方から導出された鍵を使用するか、デバイスの UID のみに基づく鍵を使用してその保護クラスを暗号化するように (さらに自動でそれを復号化するタイミングも) 指示できます。

データ保護クラスは NSFileManager に定数として定義されます。つまり、NSFileManager インスタンスと関連付けられた NSDictionary に NSFileProtectionKey 鍵の値として割り当てられることになります。またファイルを作成するか、あるいは setAttributes:ofItemAtPath:error:、attributesOfItemAtPath:error:、createFileAtPath:contents:attributes: などの NSFileManager 関数を使用して変更されるデータ保護クラスをファイルに含めることができます。さらに、対応するデータ保護定数は NSData オブジェクトに NSDataWritingOptions として定義され、これを options 引数として NSData 関数 writeToURL:options:error: および writeToFile:options:error: に渡すことができます。NSFileManager および NSData の各種データ保護クラス定数の定義を以下に示します。

-NSFileProtectionComplete, NSDataWritingFileProtectionComplete:
ディスク上に暗号化された形式で保存されるリソースでは、デバイスがロックされているかデバイスのブート中に、そのリソースへの読み書きはできません。
iOS 4.0 以降で使用できます。
-NSFileProtectionCompleteUnlessOpen, NSDataWritingFileProtectionCompleteUnlessOpen:
リソースは、暗号化された形式でディスクに保存されます。リソースは、デバイスがロックされている状態で作成できますが、一度閉じるとデバイスをロック解除するまで再び開くことはできません。ロックを解除してリソースを開くと、ユーザーがデバイスをロックしてもリソースへのアクセスを通常どおりに続行できます。
iOS 5.0 以降で使用できます。
-NSFileProtectionCompleteUntilFirstUserAuthentication, NSDataWritingFileProtectionCompleteUntilFirstUserAuthentication:
リソースは暗号化された形式でディスク上に保存され、デバイスがブートするまではアクセスできません。ユーザーが初めてデバイスをロック解除すると、アプリはリソースにアクセスし、その後ユーザーがデバイスをロックしてもアクセスを続行できます。
iOS 5.0 以降で使用できます。
-NSFileProtectionNone, NSDataWritingFileProtectionNone:
リソースにはそれに関連する特別な保護はありません。いつでもリソースへの読み書きを実行できます。
iOS 4.0 以降で使用できます。

iOS デバイス上にあるすべてのファイル (データ保護クラスの明示的な割り当てを持たないファイルも含む) は暗号化された形式で保存されますが、NSFileProtectionNone を指定すると、デバイスの UID のみに基づいて導出された鍵が暗号化に使用されます。これにより、デバイスの電源が入っているときはパスワードでロックされているときや起動時を含み、これらのファイルが常にアクセス可能になります。このため、NSFileProtectionNone の使用については慎重に検証し、今後もより厳格なデータ保護クラスによる保護が保証されることを見極める必要があります。

例 1: 次の例では、所定のファイルが保護されていません (デバイスの電源がオンのとき常にアクセス可能)。

...
filepath = [self.GetDocumentDirectory stringByAppendingPathComponent:self.setFilename];
...
NSDictionary *protection = [NSDictionary dictionaryWithObject:NSFileProtectionNone forKey:NSFileProtectionKey];
...
[[NSFileManager defaultManager] setAttributes:protection ofItemAtPath:filepath error:nil];
...
BOOL ok = [testToWrite writeToFile:filepath atomically:YES encoding:NSUnicodeStringEncoding error:&err];
...

例 2: 次の例では、所定のデータが保護されていません (デバイスの電源がオンのとき常にアクセス可能)。

...
filepath = [self.GetDocumentDirectory stringByAppendingPathComponent:self.setFilename];
...
NSData *textData = [textToWrite dataUsingEncoding:NSUnicodeStingEncoding];
...
BOOL ok = [textData writeToFile:filepath options:NSDataWritingFileProtectionNone error:&err];
...

キーチェーンのアクセシビリティ定数は、キーチェーンのアイテムにアクセスできる必要がある場合に、アプリケーションが宣言できるように設計されています。特定のキーチェーン アイテムにいずれかのアクセシビリティ定数を指定することで、開発者は基盤ファイル システムに、デバイスの UID とユーザーのパスコードの両方から導出された鍵を使用するか、デバイスの UID のみに基づく鍵を使用してそのキーチェーン アイテムを暗号化するように (さらに自動で復号化するタイミングも) 指示できます。

キーチェーン アクセシビリティ定数は、キーチェーン属性ディクショナリの kSecAttrAccessible キーの値として割り当てる必要があります。さまざまなキーチェーン アクセシビリティ定数の定義を以下に示します。

-kSecAttrAccessibleAfterFirstUnlock:
ユーザーによってデバイスがロック解除されるまで、再起動後はキーチェーン アイテムのデータにアクセスできません。
最初のロック解除後、次回の再起動までデータはアクセス可能なままです。これは、バックグラウンド アプリケーションでアクセスする必要のあるアイテムに推奨されます。暗号化されたバックアップを使用する場合、この属性を持つアイテムは新しいデバイスに移行されます。
iOS 4.0 以降で使用できます。

-kSecAttrAccessibleAfterFirstUnlockThisDeviceOnly:
ユーザーによってデバイスがロック解除されるまで、再起動後はキーチェーン アイテムのデータにアクセスできません。
最初のロック解除後、次回の再起動までデータはアクセス可能なままです。これは、バックグラウンド アプリケーションでアクセスする必要のあるアイテムに推奨されます。この属性を持つアイテムは新しいデバイスに移行されません。このため、別のデバイスのバックアップからリストアした後、これらのアイテムは表示されません。
iOS 4.0 以降で使用できます。

-kSecAttrAccessibleAlways:
デバイスがロックされているかどうかに関係なく、常にキーチェーン アイテムのデータにアクセスできます。
これは、アプリケーションでの使用には推奨されません。暗号化されたバックアップを使用する場合、この属性を持つアイテムは新しいデバイスに移行されます。
iOS 4.0 以降で使用できます。

-kSecAttrAccessibleWhenPasscodeSetThisDeviceOnly:
デバイスがロック解除されている場合のみ、キーチェーンのデータにアクセスできます。デバイスにパスコードが設定されている場合にのみ使用できます。
これは、アプリケーションがフォアグラウンドにある間にのみアクセスできる必要のあるアイテムに推奨されます。この属性を持つアイテムが新しいデバイスに移行されることはありません。バックアップを新しいデバイスにリストアすると、これらのアイテムは失われます。パスコードなしに、デバイス上でこのクラスにアイテムを格納することはできません。デバイスのパスコードを無効にすると、このクラスのすべてのアイテムが削除されます。
iOS 8.0 以降で使用できます。

-kSecAttrAccessibleAlwaysThisDeviceOnly:
デバイスがロックされているかどうかに関係なく、常にキーチェーン アイテムのデータにアクセスできます。
これは、アプリケーションでの使用には推奨されません。この属性を持つアイテムは新しいデバイスに移行されません。このため、別のデバイスのバックアップからリストアした後、これらのアイテムは表示されません。
iOS 4.0 以降で使用できます。

-kSecAttrAccessibleWhenUnlocked:
デバイスがユーザーによってロック解除されている間のみ、キーチェーン アイテムのデータにアクセスできます。
これは、アプリケーションがフォアグラウンドにある間にのみアクセスできる必要のあるアイテムに推奨されます。暗号化されたバックアップを使用する場合、この属性を持つアイテムは新しいデバイスに移行されます。
これは、アクセシビリティ定数を明示的に設定せずに追加されたキーチェーン アイテムのデフォルト値です。
iOS 4.0 以降で使用できます。

-kSecAttrAccessibleWhenUnlockedThisDeviceOnly:
デバイスがユーザーによってロック解除されている間のみ、キーチェーン アイテムのデータにアクセスできます。
これは、アプリケーションがフォアグラウンドにある間にのみアクセスできる必要のあるアイテムに推奨されます。この属性を持つアイテムは新しいデバイスに移行されません。このため、別のデバイスのバックアップからリストアした後、これらのアイテムは表示されません。
iOS 4.0 以降で使用できます。

iOS デバイス上にあるすべてのファイル (キーチェーン アクセシビリティ定数の明示的な割り当てを持たないファイルも含む) は暗号化された形式で保存されますが、kSecAttrAccessibleAlways を指定すると、デバイスの UID のみに基づいて導出された鍵が暗号化に使用されます。これにより、デバイスの電源が入っているときはパスワードでロックされているときや起動時を含み、これらのファイルが常にアクセス可能になります。このため、kSecAttrAccessibleAlways の使用については慎重に検証し、今後もより厳格なキーチェーン アクセシビリティ レベルによる保護が保証されることを見極める必要があります。

例 1: 次の例では、所定のファイルが保護されていません (デバイスの電源がオンのとき常にアクセス可能)。

...
    NSMutableDictionary *dict = [NSMutableDictionary dictionary];
    NSData *token = [@"secret" dataUsingEncoding:NSUTF8StringEncoding];

    // Configure KeyChain Item
    [dict setObject:(__bridge id)kSecClassGenericPassword forKey:(__bridge id) kSecClass];
    [dict setObject:token forKey:(__bridge id)kSecValueData];
    ...
    [dict setObject:(__bridge id)kSecAttrAccessibleAlways forKey:(__bridge id) kSecAttrAccessible];

    OSStatus error = SecItemAdd((__bridge CFDictionaryRef)dict, NULL);
...