この記事は英語版の対応するページを翻訳することにより充実させることができます。（2024年4月） 翻訳前に重要な指示を読むには右にある[表示]をクリックしてください。 英語版記事を日本語へ機械翻訳したバージョン（Google翻訳）。 万が一翻訳の手がかりとして機械翻訳を用いた場合、翻訳者は必ず翻訳元原文を参照して機械翻訳の誤りを訂正し、正確な翻訳にしなければなりません。これが成されていない場合、記事は削除の方針G-3に基づき、削除される可能性があります。 信頼性が低いまたは低品質な文章を翻訳しないでください。もし可能ならば、文章を他言語版記事に示された文献で正しいかどうかを確認してください。 履歴継承を行うため、要約欄に翻訳元となった記事のページ名・版について記述する必要があります。記述方法については、Wikipedia:翻訳のガイドライン#要約欄への記入を参照ください。 翻訳後、{{翻訳告知|en|Secure Enclave|…}}をノートに追加することもできます。 Wikipedia:翻訳のガイドラインに、より詳細な翻訳の手順・指針についての説明があります。

Secure Enclave（セキュアエンクレーブ）はAppleが開発した、iOS/iPadOSデバイスやMacのTouch IDあるいはFace ID対応モデルのApple A7, T1^[1]以降、Apple TV、Apple Watch、HomePod に搭載されているセキュリティコプロセッサである^[2]。
FileVault と安全な起動に必要な暗号化キーを保護し、Touch IDセンサーから指紋データを処理・一致しているかどうかを判断する役割も担っている。

Secure Enclave Processorとも表記され、略してSEPと呼ばれることもある。

Touch IDの指紋データ、またはFace IDの顔認証データ、Apple Payのカードデータは、このSecure Enclave内の、アプリケーションプロセッサーやアプリからは隔離された特殊な領域に保存される。

そのため、インターネット経由やApp経由(システム含む)からはアクセスが不可能になっている。

OSバージョン毎にアップデートされる。

ある程度のバージョン間では互換性があるが、特殊な方法で互換性のないOSバージョンとSEPの組み合わせになると、そのバージョンを使用している間は生体認証が使用できなくなりパスコード認証のみとなる。

再度Apple Configurator等で最新版にアップデートすると利用可能状態に戻る。

Secure Enclaveはメインプロセッサやアプリケーションプロセッサから隔離されていて、アプリケーションプロセッサのカーネルが侵害された場合でも、ユーザの機密データを安全に保てるように設計されている。Secure EnclaveはSoCと同じような設計で、ハードウェア信頼ルートを確立するための専用のBoot ROM、効率的かつ安全な暗号化操作のためのAESエンジンと保護されたメモリで構成されている。

Secure Enclaveにはストレージは含まれてないが、アプリケーションプロセッサとiOSで使用されるNANDフラッシュストレージとは別の接続されたストレージに、情報を安全に保存するメカニズムがある。

Secure Enclaveプロセッサはセキュリティための主要な演算を担当する。最大限の隔離を実現するため、Secure EnclaveプロセッサがiOS上で担当するのはセキュリティ処理のみとなっている。これにより、悪意のあるソフトウェアに依存したサイドチャネル攻撃を防止することができる。

Secure EnclaveはデバイスのDRAMメモリの専用領域で動作し、複数の保護層によってアプリケーションプロセッサからの隔離が確保されている。

iOS起動時に、Secure Enclave Boot ROMがメモリ保護エンジンのために一時的なランダムなメモリ保護鍵を生成し、Secure Enclaveがデータを専用領域に書きこむ際、メモリ保護エンジンはAESを用いてメモリブロックを暗号化しCMAC認証タグを計算する。メモリの読み込み時には認証タグを検証し、一致すればメモリブロックを復号し、不一致の場合はエラーを送信する。このエラーが発生すると、システムが再起動するまでSecure Enclaveは停止することで強力なセキュリティを実現する。

さらにA11やS4 SoCからSecure Enclaveメモリ向けにリプレイ保護を追加し、重要なデータのリプレイを防ぐ。アンチリプレイ値と認証タグを使用し、Secure Enclave内のSRAMを基にした整合性ツリーで保護する。A14、M1、以降のSoCでは、Secure EnclaveとSecure Neural Engineのそれぞれに対応した2つの一時的な保護鍵をサポートする。メモリ保護は透過的で、安全性を確保しながら性能を維持する。

Secure Enclaveは専用のSecure Enclave Boot ROMを備えている。このBootROMはSecure Enclaveの信頼の起点となる変更不可のコードである。システム起動時、iBootはSecure Enclaveにメモリの専用領域を割り当てる。Secure Enclave Boot ROMはメモリを暗号化で保護するため、メモリ保護エンジンを初期化する。アプリケーションプロセッサがsepOSイメージを送信し、その後イメージのハッシュと署名を検証する。有効であれば、Boot ROMはsepOSに制御を移す。無効の場合、チップがリセットされるまで使用を防止する。Apple A10以降のSoCでは、Boot ROMはsepOSのハッシュを専用レジスタにロックし、OS固定鍵として利用する。

Apple A13以降のSoCでは、Secure Enclaveが起動時の整合性を強化するためにブートモニタを利用する。ブートモニタは、Secure EnclaveプロセッサがSecure Enclave Boot ROM以外のコードを実行するのを防ぎ、sepOSの実効性を確保するためにハッシュを生成してSCIP設定を更新する。このプロセスは、新しいコードが実行可能になるたびに実行される。最後に、実行中のハッシュはファイナライズされ、OS固定鍵作成に使用される。これにより、Secure Enclave Boot ROMの脆弱性があっても鍵固定がバイパスされることはない。

真性乱数生成器（TRNG）は、安全なランダムデータを生成するために使用される装置である。Secure Enclaveがランダムな暗号鍵やランダムな鍵シードなどのエントロピーを生成する際には、必ずTRNGが用いられることになる。TRNGは、CTR_DRBG（カウンタモードのブロック暗号に基づくアルゴリズム）で後処理されており、複数のリングオシレータに基づいている。

Secure Enclave AESエンジンは、AES暗号に基づく対称暗号を実行するハードウェアブロックである。AESエンジンは、タイミングと静的電力解析（SPA）に対する耐性を持ち、A9 SoC以降では動的電力解析（DPA）に対する対策も備えている。AESエンジンは、Secure EnclaveのUIDまたはGIDから導出されたハードウェア鍵とソフトウェア鍵をサポートする。これらの鍵はAESエンジン内にとどまり、sepOSソフトウェアでも確認できない。ユーザーは暗号化と復号をリクエストできるが、鍵を抜き出すことはできない。Apple A10以降のSoCsでは、AESエンジンにUIDまたはGIDから導出された鍵を多様化するためのロック可能なシードビットが含まれており、デバイスの動作モードに応じてデータアクセスを制限できる。この機能は、デバイスファームウェアアップデート（DFU）モードでの起動時に、パスワード保護されたデータへのアクセスを拒否する場合などに使用される。

Secure Enclaveは、専用のセキュア不揮発性ストレージデバイスを備えている。このストレージはI2Cバスを通してのみSecure Enclaveに接続され、利用可能である。ユーザデータの暗号鍵はSecure Enclaveのストレージに保管されるエントロピーに基づく。A12、S4、またはそれ以降のSoC搭載デバイスでは、Secure Enclaveはセキュアストレージコンポーネントとペアリングされる。これはROMコード、乱数ジェネレータ、一意キー、暗号化エンジン、改ざん検出機能を備える。

2020年秋以降に初めてリリースされたデバイスは、第2世代セキュアコンポーネントを有し、カウンタロックボックスが追加されている。カウンタロックボックスはパスコードエントロピーを保持し、アクセス時には暗号化プロトコルを使用する。10回を超えるロック解除試行でデータは消去される。

カウンタロックボックス生成には、パスコードエントロピーと最大試行値がSecure Enclaveから送られる。ソルト値が乱数で生成され、パスコードベリファイアとエントロピー値が導出され、カウンタ0で初期化される。その後、エントロピー値がSecure Enclaveに返される。

データ保護にはカウンタロックボックスのエントロピーに基づく鍵が使用され、安全なストレージはSecure Enclaveのアンチリプレイサービスにも使用される。Secure Enclaveはイベントによってデータの無効化を行い、各種セキュリティ設定に影響を与える。セキュアストレージコンポーネントを持たないアーキテクチャではEEPROMが使用され、専用のハードウェアセキュリティ機能は含まれない。

Face ID搭載デバイスでは、Secure Neural Engineが2D画像と深度マップを顔の数学的モデルに変換する。A11からA13 SoCsまで、Secure Neural EngineはSecure Enclaveに組み込まれており、DMAを使用してパフォーマンスを向上させる。sepOSカーネルのIOMMUは、このアクセスを承認済みメモリに制限する。A14、M1以降では、Secure Neural EngineはアプリケーションプロセッサのNeural Engineのセキュアモードとして実装され、専用ハードウェアセキュリティコントローラがトランザクション毎に状態をリセットし、データの安全性を保つ。専用エンジンはメモリ暗号化、認証、アクセス制御を利用し、承認済みメモリに制限する。

L4マイクロカーネルファミリー - Secure EnclaveのsepOSは、NICTAが2006年に開発したL4-embeddedカーネルベースのものである^[2]

ARM Trust Zone - 類似技術^[3]

Apple A7,A8,A8X,A9,A9X,A10,A10X,A11,A12,A12X, A12Z,A13,A14,A15,A16,A17 Pro,A18, A18 Pro

Apple M1,M1 Pro,M1 Max,M1 Ultra,M2,M2 Pro,M2 Max,M2 Ultra,M3,M3 Pro,M3 Max,M4,M4 Pro,M4 Max

• Appleプラットフォームのセキュリティ Secure Enclave

表 話 編 歴 iOS
バージョン	iPhone OS 1 iPhone OS 2 iPhone OS 3 iOS 4 iOS 5 iOS 6 iOS 7 iOS 8 iOS 9 iOS 10 iOS 11 iOS 12 iOS 13 iOS 14 iOS 15 iOS 16 iOS 17 iOS 18 iOS 26
派生OS	iPadOS iPadOS 13 iPadOS 14 iPadOS 15 iPadOS 16 iPadOS 17 iPadOS 18 iPadOS 26 watchOS tvOS audioOS visionOS
アプリケーション	App Store FaceTime Image Playground（英語版） iTunes Store News（英語版） Photo Booth Safari TV Watch ウォレット カレンダー カメラ 株価 拡大鏡 計算機 計測（英語版） コードスキャナー コンパス 探す 写真 ショートカット ジャーナル（英語版） 設定 天気 電話 時計 パスワード（英語版） ヒント ファイル ブック フリーボード フィットネス（英語版） フィードバックアシスタント ヘルスケア ボイスメモ ポッドキャスト ホーム 翻訳（英語版） マップ ミュージック メール メッセージ メモ リマインダー 連絡先 Apple Fitness 廃止 iPhoneを探す Newsstand 友達を探す
機能	AirDrop AirPlay AirPrint Apple Intelligence Appleでサインイン AVFoundation CarPlay Cocoa Touch Core Animation Core Image Face ID Genmoji（英語版） iOS SDK Night Shift（英語版） Optic ID Secure Enclave Shazam Siri Spotlight SpringBoard Touch ID VoiceOver WebKit アニ文字 コントロールセンター スクリーンタイム スタンバイ 通知センター ファミリー共有（英語版） 廃止 Cover Flow
サービス	Apple Arcade Apple Card Apple Music Apple Pay Cash Apple TV Apple TV Apple TVオリジナル番組 Game Center iCloud iMessage News News+ Push Notifications iTunes Connect（英語版） TestFlight（英語版） 終了 Cards iAd iDisk MobileMe iTunes Radio（英語版）
その他	Appleシリコン Darwin FairPlay iFund iPhone Simulator iPhoneの歴史 Liquid Glass Metal Swift Playgrounds Swift WWDC 論争 300ページのiPhone請求書 アンテナ問題 バッテリー問題（英語版）
一覧 カテゴリ

表 話 編 歴 macOS
バージョン	Public Beta 10.0 10.1 10.2 10.3 10.4 10.5 10.6 10.7 10.8 10.9 10.10 10.11 10.12 10.13 10.14 10.15 11 12 13 14 15 26
アプリケーション	Automator DVD プレーヤー FaceTime Finder Font Book Image Playground（英語版） iPhoneミラーリング Launchpad Mac App Store News（英語版） Photo Booth QuickTime Player Safari Siri TV カレンダー 株価 計算機 探す 写真 辞書 システム設定 ショートカット スティッキーズ チェス テキストエディット 天気 時計 パスワード（英語版） ヒント ブック フリーボード プレビュー ホーム ボイスメモ ポッドキャスト マップ ミュージック メール メッセージ メモ リマインダー 連絡先 廃止 Dashboard Front Row iChat iPhoto iSync iTunes
ユーティリティ	AirMacユーティリティ Audio MIDI 設定 Bluetoothファイル交換 Boot Campアシスタント ColorSyncユーティリティ Digital Color Meter Grapher Mission Control Time Machine VoiceOverユーティリティ アーカイブユーティリティ アクティビティモニタ 移行アシスタント イメージキャプチャ 拡張スロットユーティリティ 画面共有 キーチェーンアクセス コンソール システム情報 スクリプトエディタ スクリーンショット ターミナル チケットビューア ディスクユーティリティ ディレクトリユーティリティ デスクビュー フィードバックアシスタント フォルダアクション設定 プリントセンター ワイヤレス診断 廃止 Sherlock グラブ ネットワークユーティリティ
テクノロジーおよび インタフェース	AirDrop AirPlay AirPrint Apple Pay Apple File System Apple Intelligence Apple Remote Desktop AppleScript Apple Type Services for Unicode Imaging Appleシリコン Appleでサインイン Aqua Audio Units AVFoundation Bonjour Boot Camp bridgeOS Cocoa (API) ColorSync Core Animation Core Audio Core Data Core Foundation Core Text Core Image CUPS Darwin Dock FileVault Game Center Gatekeeper Genmoji（英語版） Grand Central Dispatch（英語版） Keychain launchd Liquid Glass Mac Catalyst Mach-O Metal Mission Control Night Shift（英語版） Open Directory plist Preferred Executable Format Push Notifications Quartz Quartz Compositor Quick Look Rosetta 2 Secure Enclave Shazam Siri Spotlight Swift Time Machine Touch ID Uniform Type Identifier Universal Binary VoiceOver WebKit XNU XQuartz アップルメニュー アプリケーションパッケージ コントロールセンター システム整合性保護 スクリーンタイム 通知センター 日本語入力プログラム ファミリー共有（英語版） マルウェア削除ツール 文字ビューア 非推奨 Carbon (API) HFS Plus • HFSX OpenGL OpenCL 廃止 Apple Filing Protocol Backup Classic Cover Flow Dashcode Inkwell Project Builder QuickTime X QuickTime 7 Rosetta Spaces Xgrid ことえり ペアレンタルコントロール 32ビットアプリケーション
開発ツール	Apple Developers Tools Interface Builder iOS SDK iPhone Simulator Swift Playgrounds Xcode
その他	Macのオペレーティングシステム WWDC
一覧 カテゴリ

この項目は、コンピュータに関連した書きかけの項目です。この項目を加筆・訂正などしてくださる協力者を求めています（PJ:コンピュータ/P:コンピュータ）。

• 表示
• 編集

• IOS
• IPadOS
• MacOS
• System on a chip
• CPU
• MacOSのセキュリティ技術
• Apple

• 英語版ウィキペディアからの翻訳を必要とする記事
• ウィキデータにない公式ウェブサイト
• すべてのスタブ記事
• コンピュータ関連のスタブ項目