要点:ほとんどのiPhoneはデフォルトのセキュリティが優れていますが、Appleはデフォルトでオフになっていたり、メニューの奥深くに埋もれていたり、利便性を優先してプライバシーよりも劣る設定になっているプライバシー・セキュリティ項目を数十個用意しています。このチェックリストはそれらをすべて網羅しています。時間が限られている場合は、「認証」セクションの最初の5項目だけでセキュリティ上の価値の大半が得られます。徹底的に対応したい場合は全18項目を実施してください — 所要時間は約30分です。iPhone固有の設定を超えた幅広い対策については、2026年にiPhoneをより安全にする方法のガイドをご覧ください。
クイックリファレンスまとめ
詳細な手順に入る前に、優先度付きの全チェックリストを一覧でご確認ください。詳細版を一度通読した後のクイックリファレンスとしてご活用ください。
| # | 項目 | カテゴリ | 優先度 | 所要時間 |
|---|---|---|---|---|
| 1 | 強力な英数字パスコードの設定 | 認証 | 最重要 | 2分 |
| 2 | Face ID / Touch IDの有効化 | 認証 | 最重要 | 3分 |
| 3 | Apple IDの2ファクタ認証 | 認証 | 最重要 | 5分 |
| 4 | 盗難デバイス保護 | 認証 | 最重要 | 1分 |
| 5 | 自動ロックを30秒または1分に設定 | 認証 | 高 | 30秒 |
| 6 | App のトラッキング透明性 — すべて拒否 | プライバシー | 高 | 1分 |
| 7 | 位置情報サービスの監査 | プライバシー | 高 | 5分 |
| 8 | 分析データの共有を無効化 | プライバシー | 中 | 1分 |
| 9 | 機密性の高い権限の確認 | プライバシー | 高 | 5分 |
| 10 | iCloud用高度なデータ保護 | iCloud | 最重要 | 5分 |
| 11 | iPhoneを探すの有効化 | iCloud | 最重要 | 1分 |
| 12 | 回復用連絡先と回復キーの設定 | iCloud | 高 | 5分 |
| 13 | VPNまたはDNSフィルタリングの有効化 | ネットワーク | 高 | 5分 |
| 14 | 未知のWiFiへの自動接続を無効化 | ネットワーク | 中 | 1分 |
| 15 | iCloudプライベートリレー(iCloud+加入者の場合) | ネットワーク | 中 | 1分 |
| 16 | インストール済みアプリの確認と未使用アプリの削除 | アプリ | 中 | 10分 |
| 17 | 不明な構成プロファイルの確認 | アプリ | 最重要 | 1分 |
| 18 | 自動アップデートの有効化 | アプリ | 高 | 1分 |
それでは各項目を詳しく見ていきましょう — 何をすべきか、設定の正確な場所、そしてなぜ重要かを説明します。
認証(項目1〜5)
認証は玄関扉です。攻撃者があなたのスマートフォンをロック解除したりApple IDにアクセスできたりすれば、他のすべての設定は無意味になります — すべてが手の届くところに置かれてしまいます。この5項目でその玄関扉を守ります。
1. 強力な英数字パスコードを設定する
場所:「設定」→「Face IDとパスコード」(または「Touch IDとパスコード」)→「パスコードを変更」。「パスコードオプション」をタップして「カスタムの英数字コード」を選択します。
理由:4桁のパスコードは1万通りの組み合わせしかなく、専用ハードウェアを使えば数分でブルートフォース攻撃が可能です。6桁の数字コードは100万通り — 多少マシですが、依然として脆弱です。8文字以上の英数字コード(英字+数字+記号)は数十億通りの組み合わせがあり、iOSのレート制限と組み合わせることで実質的にブルートフォース不能です。日常的なロック解除にはFace IDやTouch IDを使うため、パスコードを入力する機会はほとんどなく、長くて強力なコードにしても不便は生じません。
避けるべきこと:推測されやすいもの — 誕生日、電話番号、000000、123456、連続した数字など。あなたを知る人が10回以内で当てられるなら十分に強力ではありません。法執行機関や高度な攻撃者が使用するGrayKeyやCellebriteのデバイスは弱いパスコードを悪用します。強力な英数字コードを使えば、こうした攻撃者の作業は桁違いに難しくなります。
2. Face ID / Touch IDを有効にする
場所:「設定」→「Face IDとパスコード」。Face IDが「iPhoneのロック解除」「Apple Pay」「iTunes & App Store」「パスワードの自動入力」およびその他の利用可能なオプションに設定されていることを確認します。
理由:生体認証は2つの目的を果たします。第一に、ロック解除が十分に速くなり、利便性のためにパスコードを弱くする誘惑がなくなります。第二に、パスワードの変更やApple Payの承認などの機密操作に物理的な存在が必要となります — パスコードだけなら見られてコピーされる可能性がありますが、顔や指紋は(現実的には)そうなりません。
3. Apple IDの2ファクタ認証がオンになっていることを確認する
場所:「設定」→上部のご自身の名前→「サインインとセキュリティ」→「2ファクタ認証」。
理由:Apple IDはiCloudバックアップ、iPhoneを探す、iMessage、FaceTime、App Storeでの購入、そして場合によってはメールも制御しています。攻撃者が2FAなしでApple IDを侵害した場合、デバイスをリモートでワイプしたり、iCloud同期メッセージを読んだり、写真をダウンロードしたり、アカウントからロックアウトしたりすることが可能です。2FAが有効なら、信頼されたデバイスのいずれかへのアクセスも必要になり、攻撃のハードルが劇的に高まります。Appleはほとんどの新規アカウントで2FAを必須にしていますが、古いアカウントではまだオフになっている場合があります。確認してください。
4. 盗難デバイス保護を有効にする
場所:「設定」→「Face IDとパスコード」→下にスクロールして「盗難デバイス保護」→オンにします。
理由:iOS 17.3で導入されたこの機能は、特定の攻撃パターンに対応しています。例えばバーで肩越しにパスコードを盗み見た攻撃者がスマートフォンを盗む、というパターンです。盗難デバイス保護がなければ、そのパスコードだけでApple IDパスワードの変更、iPhoneを探すの無効化、アカウントの永久ロックアウトが可能です。有効にすると、Apple IDパスワードの変更、iPhoneを探すのオフ、Face IDの変更などの機密操作には、見慣れた場所から離れている場合に生体認証と1時間のセキュリティ遅延が必要になります。この単一の設定が、リリース以来何千件もの「iPhone盗難によるアカウント乗っ取り」を防いでいます。
5. 自動ロックを30秒または1分に設定する
場所:「設定」→「画面表示と明るさ」→「自動ロック」。
理由:自動ロックの時間を短くすることで、スマートフォンがロック解除状態のまま放置される時間が短縮されます。テーブルにスマートフォンを置いて席を離れた場合、30秒の自動ロックなら誰かがロック解除状態のデバイスにアクセスできる時間は30秒です。5分(よくあるデフォルト設定)なら、それは永遠に等しい時間です。Face IDで再ロック解除が瞬時にできるため、利便性のトレードオフは最小限です。
プライバシー設定(項目6〜9)
これらの設定は、アプリおよびApple自身がデバイスから収集できるデータを制御します。ハッキングを直接防ぐものではありませんが、プロファイリング、ソーシャルエンジニアリング、標的型攻撃に利用可能なデータを減らします。
6. App のトラッキング透明性 — すべてのトラッキングを拒否する
場所:「設定」→「プライバシーとセキュリティ」→「トラッキング」。「Appにトラッキングの許可を求めることを許可」をオフにすると、すべてのトラッキングリクエストがサイレントに拒否されます — アプリにはプロンプトも表示されません。
理由:これをオンにすると、クロスアプリトラッキング用のIDFA(広告識別子)にアクセスしようとするアプリが自動的に拒否されます。これですべてのトラッキングが止まるわけではありません — アプリはフィンガープリンティングやサーバーサイドのアトリビューションを引き続き使用できます — しかし、広告業界が依存してきた、簡単で信頼性の高いクロスアプリ識別子が排除されます。「確認」(アプリごとにプロンプトを表示)ではなく完全にオフ(すべて拒否)にする方がシンプルで、誤って「許可」をタップする心配もありません。
7. 位置情報サービスを監査する
場所:「設定」→「プライバシーとセキュリティ」→「位置情報サービス」。リスト内のすべてのアプリを確認します。
対応内容:各アプリについて、必要最小限のアクセス権を選択してください。ほとんどのアプリは「このAppの使用中のみ」または「なし」が適切です。「常に」が正当に必要なアプリはほとんどありません — ナビ(Google Maps、Waze)、フィットネストラッカー、iPhoneを探すが主な例外です。下にスクロールして「システムサービス」をタップし、「iPhoneの分析」「経路と交通情報」「マップを改善」「重要な場所」(よく訪れる場所をすべて記録します)を無効にしてください。「iPhoneを探す」「緊急SOSと緊急電話」「タイムゾーンの設定」はオンのままにしてください。
理由:位置情報データは非常に機密性が高いものです。どこに住み、どこで働き、どこで礼拝し、誰を訪ねるか、医師や弁護士を訪れたか、日々の行動パターンが明らかになります。「常に」の位置情報アクセスを持つアプリは継続的にトラッキングし、そのデータをデータブローカーに販売できます。「このAppの使用中のみ」に制限すると、アプリがアクティブに表示されているときだけ位置情報を取得できます。
8. 分析および広告データの共有を無効にする
場所:「設定」→「プライバシーとセキュリティ」→「解析と改善」。すべてのトグルをオフにします:「iPhoneの解析を共有」「SiriおよびDictationを改善」「iCloudの解析を共有」「Assistive Voice機能を改善」。次に「設定」→「プライバシーとセキュリティ」→「Apple広告」に移動し、「パーソナライズされた広告」をオフにします。
理由:これらのトグルは、Appleがデバイスから診断・使用データを受け取るかどうかを制御します。Appleのデータ慣行はほとんどの企業より優れていますが、プライバシーを最大化する選択は何も共有しないことです。「パーソナライズされた広告」を無効にすることで、AppleのApp StoreやApple Newsでの広告ネットワークがターゲット広告にあなたのデータを使用しなくなります。これらの設定はいずれもスマートフォンの機能には影響しません。
9. 機密性の高い権限(カメラ、マイク、連絡先、写真)を確認する
場所:「設定」→「プライバシーとセキュリティ」。各カテゴリに移動します:カメラ、マイク、連絡先、写真、カレンダー、リマインダー、Bluetooth、ローカルネットワーク。
対応内容:各権限について、「このアプリが私の使い方に必要な機能のためにこれが必要か?」と自問してください。SNSアプリが写真投稿のためにカメラへのアクセスを必要とすることは合理的です。天気アプリは連絡先を必要としません。写真については、可能な限り「フルアクセス」の代わりにiOS 16以降で利用可能な「選択した写真」を使用してください — これによりライブラリ全体を公開せずに特定の写真へのアクセスを許可できます。意味をなさないものはすべて取り消してください。「ローカルネットワーク」には特に注意してください — 多くのアプリがWiFi上のデバイスを検出するためにこれを要求しますが、ホームネットワークのフィンガープリンティングにも利用されます。スマートホームデバイスを制御したりローカルネットワーク検出が必要なアプリでなければ拒否してください。
iCloudセキュリティ(項目10〜12)
iCloudにはバックアップ、写真、メッセージ、パスワード、ヘルスデータなどが保存されています。iCloudのセキュリティ確保はスマートフォン本体の保護と同じくらい重要です — iCloudデータはApple IDの認証情報があればどのデバイスからでもアクセスできるからです。
10. iCloudの高度なデータ保護を有効にする
場所:「設定」→ご自身の名前→「iCloud」→「高度なデータ保護」。セットアップフローに従って進めます。
理由:デフォルトでは、AppleがほとんどのiCloudデータの暗号化キーを保持しています — つまり、法的な要請があれば復号でき、Appleのインフラが侵害された場合に露出する可能性があります。高度なデータ保護を有効にすると、iCloudバックアップ、写真、メモ、リマインダー、ボイスメモ、Safariのブックマーク、Siriのショートカット、ウォレットパスなどのエンドツーエンド暗号化が有効になります。ADPを有効にすると、復号キーを保持するのはあなたのデバイスだけとなり、Appleでさえデータを読むことができません。これはiCloudで最も重要なセキュリティ設定です。トレードオフとして、すべての信頼されたデバイスと回復キーを失った場合、Appleはデータの回復を助けることができません。だからこそ項目12(回復用連絡先)がこの項目とセットになっています。
カバーされていないもの:iCloudメール、連絡先、カレンダーは、Apple以外のメール・カレンダープロトコルと相互運用する必要があるため、ADPを有効にしてもエンドツーエンド暗号化されません。Appleの公式セキュリティガイドに、対象となるデータカテゴリが正確に記載されています。
11. iPhoneを探すが有効になっていることを確認する
場所:「設定」→ご自身の名前→「探す」→「iPhoneを探す」。「iPhoneを探す」「探すネットワーク」「最後の位置情報を送信」がすべてオンになっていることを確認します。
理由:スマートフォンを紛失したり盗まれたりした場合、「探す」を使って位置を特定したり、音を鳴らしたり、紛失モードに設定したり(ロックしてメッセージを表示)、リモートでデータを消去したりできます。「最後の位置情報を送信」は、バッテリーが極端に低下したときに自動的に位置情報をAppleに送信します — バッテリーが切れても最後の既知の位置が残ります。「探すネットワーク」オプションは、近くのAppleデバイスのBluetooth信号を使用して、オフライン状態のスマートフォンでも位置を特定します。これらの機能によって何千台もの盗難スマートフォンが回収されており、回収不能な場合はリモート消去機能がデータを守ります。
12. アカウント回復用連絡先と回復キーを設定する
場所:「設定」→ご自身の名前→「サインインとセキュリティ」→「アカウント回復」。少なくとも1人の回復用連絡先(Appleデバイスを持つ信頼できる家族または友人)を追加します。オプションとして、回復キーも生成できます。
理由:高度なデータ保護を有効にした場合、すべての信頼されたデバイスへのアクセスを失うとデータへのアクセスも永久に失われます — 回復手段を持っていない限り。回復用連絡先は、アクセスを取り戻す必要がある場合にあなたの本人確認を承認できます。回復キーはオフラインで保存する28文字のコード(スマートフォンのメモではなく印刷して保管)で、最後の手段としてアカウントのロックを解除できます。少なくとも1つの回復用連絡先を設定してください。さらなる安全網として回復キーも設定しておくとより万全です。
ネットワーク保護(項目13〜15)
スマートフォンは常にネットワーク(モバイル通信、WiFi、またはその両方)に接続されています。ネットワークレベルの保護により、接続自体が攻撃ベクターにならないようにします。
13. VPNまたはDNSフィルタリングサービスを使用する
場所:App StoreからVPNベースのフィルターアプリ(Casper's Cloak、AdGuard、またはNextDNSの設定)をインストールします。プロンプトが表示されたらVPNプロファイルを有効にします。
理由:VPNベースのDNSフィルターは2つのことを行います。第一に、トラフィックを暗号化します — これにより、公衆WiFiネットワーク、ISP、ネットワーク事業者がトラフィックを観察したり改ざんしたりできなくなります。第二に、既知の悪意あるドメイン(フィッシングサイト、マルウェアのコマンド&コントロールサーバー、広告トラッカー)へのDNSレベルでの接続を、スマートフォンがコンテンツを読み込む前にブロックします。これはすべてのアプリにわたって機能する外部防御レイヤーで、上記で設定したアプリ権限制限のネットワーク版と言えます。Casper's Cloakは、まだブロックリストに載っていないゼロデイフィッシングドメインを検知するAI脅威検出と、数万の既知のトラッカーエンドポイントをカバーするトラッカーブロッキングを追加します。
14. 未知のWiFiネットワークへの自動接続を無効にする
場所:「設定」→「Wi-Fi」→「ネットワークへの参加を確認」— 「確認」または「オフ」に設定します。また、保存済みの公衆ネットワーク(カフェ、空港、ホテル)については、情報アイコンをタップして「自動接続」を無効にします。
理由:iPhoneは接続したことのあるWiFiネットワークを記憶し、同じネットワーク名を検出すると自動的に再接続します。攻撃者はこれをイービルツインアクセスポイントで悪用します — 以前に同名のネットワークに接続していたためスマートフォンが自動接続してしまう、「Starbucks WiFi」や「Airport Free WiFi」という名前の不正ホットスポットです。接続されると、攻撃者がDNSを制御し、キャプティブポータルフィッシングページを提供し、暗号化されていないトラフィックを観察できます。公衆ネットワークの自動接続を無効にすることで、どのネットワークに接続するかを意識的に選択することが強制されます。
15. iCloudプライベートリレーを有効にする(iCloud+加入者)
場所:「設定」→ご自身の名前→「iCloud」→「プライベートリレー」。オンにします。
理由:プライベートリレーはSafariのトラフィックをダブルホップリレーアーキテクチャ経由でルーティングします(AppleはIPアドレスを知るが接続先は知らない、サードパーティリレーは接続先を知るがIPアドレスは知らない)。これにより、Safariでウェブサイトに実際のIPアドレスが見えなくなり、強力なトラッキングシグナルを排除します。Safariにのみ適用され、他のブラウザやアプリには適用されません。すでにVPN(項目13)を使用している場合、そちらがすべてのトラフィックのIPマスキング機能を担います。プライベートリレーはVPNがアクティブな場合でもSafari固有のダブルホップ分離を追加しますが、VPNプロバイダーの設定によって両者の相互作用は異なります。
アプリ管理(項目16〜18)
スマートフォンにインストールされているすべてのアプリは潜在的な攻撃面です。インストール済みアプリの数を減らし、最新の状態に保つことでその攻撃面を最小化します。
16. インストール済みアプリを確認し、使用していないものを削除する
場所:「設定」→「一般」→「iPhoneストレージ」。最後に使用した日付とともに、すべてのアプリがサイズ順に一覧表示されます。
対応内容:スクロールして、3ヶ月以上使用していないアプリをすべて削除します。インストール済みのアプリはすべて、許可した権限へのアクセスの可能性があり、パッチ適用前に悪用される脆弱性を含む可能性があり、トラッキングに使用される可能性のあるバックグラウンドプロセスを実行しています。アプリが少ないほど潜在的な攻撃ベクターも少なくなります。後でアプリが必要になった場合は、App Storeから再ダウンロードできます。
17. 不明な構成プロファイルを確認する
場所:「設定」→「一般」→「VPNとデバイス管理」。このメニュー項目が表示されない場合は、プロファイルがインストールされていません(これは正常な状態です)。
理由:構成プロファイルはシステムの深い設定を変更できます — ルート証明書のインストール、DNSの変更、VPNの設定、App Store外からのアプリのインストールなど。正当な用途には、企業のデバイス管理(MDM)、キャリア設定、一部のVPN・DNSアプリが含まれます。身に覚えのない、インストールした記憶がないプロファイルを見つけた場合、それは深刻な警告サインです。ストーカーウェアや一部のマルウェアは、iOSで永続化するために構成プロファイルを使用します。説明のつかないプロファイルを見つけたら、直ちに削除してください。
18. アプリとOSの自動アップデートを有効にする
場所:OSの場合:「設定」→「一般」→「ソフトウェアアップデート」→「自動アップデート」— すべてのトグルをオンにします(iOS アップデートをダウンロード、iOS アップデートをインストール、セキュリティ対応とシステムファイル)。アプリの場合:「設定」→「App Store」→「Appのアップデート」を有効にします。
理由:2026年に成功した攻撃の大多数は、すでにパッチが適用された脆弱性を標的にしています。自動アップデートにより、セキュリティ修正が公開されると同時に適用され、Appleがパッチを公開してからあなたがインストールするまでの窓が閉じられます。ラピッドセキュリティレスポンス(フルOSリリース間に展開される小さなパッチ)は、積極的に悪用されている脆弱性に対処するため特に重要です。3つのトグルをすべてオンにすることで、意識しなくてもスマートフォンが常に最新の状態に保たれます。
このリストを再確認する頻度
これらの設定のほとんどは一度設定すれば終わりです。しかし3つのカテゴリは定期的な確認が必要です:
- アプリ権限(項目7と9):四半期ごとに確認してください。新しくインストールするアプリには権限が付与され、既存のアプリはアップデート後に追加の権限を要求する場合があります。四半期ごとの5分間の確認で権限の肥大化を防げます。
- インストール済みアプリ(項目16):四半期ごとに確認してください。使用をやめたアプリを削除します。アプリが少ないほど攻撃面も小さくなります。
- パスワード(このリストには含まれていませんが関連しています):大規模なデータ侵害の報告を聞いた後に「設定」→「パスワード」→「セキュリティに関する勧告」を確認してください。iCloudキーチェーンが侵害された認証情報を警告します — フラグが立ったら直ちに修正してください。
その他の設定 — パスコード、2FA、高度なデータ保護、自動アップデート — は一度設定すれば維持されます。AppleがメジャーなiOSリリースでデフォルト設定を変更した場合、通常はアップデートフロー中に強調されます。iOS 20がリリースされ重要な新しい設定が追加された際には、このチェックリストを更新します。
まとめ
iPhoneはデフォルトで強力なセキュリティを備えていますが、デフォルトと堅牢な設定の間には大きな差があります。このチェックリストの18項目は、インパクト順に並んでおり、作業時間は約30分です。最初の5項目(認証)がセキュリティ価値の大半を担います。高度なデータ保護(項目10)は、ほとんどの人がまだ有効にしていない最も重要なiCloudセキュリティアップグレードです。ネットワークレベルの保護(項目13)はすべてのアプリにわたって機能する外部防御レイヤーを追加します。定期的な権限監査(項目7、9、16)は、アプリが時間をかけて静かに要求する不必要なデータアクセスの緩やかな蓄積を防ぎます。
このページをブックマークして、権限とアプリの確認のために四半期ごとに再訪してください。技術的な相談を受ける家族にも転送してください — 手順は具体的なので、追加の説明なしに誰でも実行できます。