Mac OS X FileVault とは何ですか?またその使用方法は何ですか?

Mac OS コンピュータにパスワードを設定しておくと安心かもしれません。これが役立つのは、コンピューターを家に置いてきた場合や、図書館に飲み物を取りに行った場合のみですが、一定の知識と少しの時間があれば、データにアクセスできる可能性があります。

実際には、パスワードは誰かがログインしてオペレーティング システムにアクセスしようとすることを阻止するだけですが、ハード ドライブ自体は暗号化されません。 Ubuntu ブート ディスクを使用するか、ハード ドライブを取り外しても、誰もが引き続きコンピュータ上のすべてのファイルにアクセスできます。

ハード ドライブ上のファイルを手動で暗号化することによってのみ、ファイルを真に安全に保つことができます。そこで Mac OS X FileVault が登場します。

Mac OS X FileVault 1 および 2

FileVault は、ハードドライブ上のファイルを暗号化するために Apple が提供するテクノロジーです。十分に強力なアルゴリズムでこれらのファイルを暗号化すると、従来の手段ではこれらのファイルにアクセスできなくなります。 Mac OS X は、Mac OS X Panther (10.3) で初めて FileVault を起動しました。次に、FileVault は、暗号化チェーン (CBC) モードを使用して、個々のユーザーのホーム フォルダーのみを 1 つの大きなファイルで暗号化します。 Mac OS X Lion (10.7) 以降、FileVault 1 (Apple では Legacy FileVault と呼ばれています) は FileVault 2 に置き換えられました。

対照的に、FileVault 2 はブートディスク全体を無数の小さなファイルに暗号化します。また、現在の安全性の低い CBC 暗号化を XTS-AES 128 モードに置き換え、より注目すべき暗号化アルゴリズムを使用します。つまり、範囲が広くなり、より安全になります。このドライブ全体を暗号化すると、セキュリティ上の追加の影響がいくつかあります。詳細については、以下を参照してください。

従来の FileVault ユーザーは、Mac OS X Lion 以降で FileVault 環境設定ウィンドウにアクセスすると、違いが通知されます。古い FileVault ファイルを無効にすることで、FileVault 2 に切り替えることができます。 Mac OS X Lion 以降のバージョンのユーザー、および FileVault の使用を開始するユーザーは、デフォルトで FileVault 2 を使用します。

パフォーマンスが低下する

FileVault はハードドライブのデータを継続的に復号化するため、使用するとパフォーマンスが低下します。 The Practice of Code の Jasondiscount は、Max OS X Lion の最初の起動時に FileVault 2 をテストしました。

これらのテストは、2011 MacBook Air (Lion が発売された頃のもの) で実行されました。ハードドライブ (SSD) の I/O パフォーマンスは平均約 18% です。これは重要ではありませんが、SSD のデータ転送は古いハード ドライブよりもはるかに高速です。通常のハードドライブを使用している場合。このパフォーマンスの低下はさらに顕著になります。セキュリティ上の利点が本当にパフォーマンスを犠牲にする価値があるかどうかを検討する必要があります。

フルドライブ暗号化とシングルロック解除

前述したように、FileVault は個々のユーザーのホーム ディレクトリではなく起動ディスク全体を暗号化するようになりました。起動後、許可されたユーザー アカウントでログインすると、ドライブ全体のロックが解除されます。これにはプラスの影響とマイナスの影響の両方があります。

プラスの面としては、互換性のないアプリによるリスクがありません。ログイン後はドライブ全体のロックが解除されるため、コンピュータ上で実行されているアプリケーションにはドライブが暗号化されていないように見えます。ただし、ドライブはシャットダウンするまでロック解除されたままになります。つまり、ドライブのロックが解除された後に第三者がコンピューターにアクセスした場合、理論上は、サインアウトしていてもデータにアクセスできます。

FileVault の使用に加えて、コンピュータが非アクティブなときはパスワードで保護する必要があります。 Mac OSを見分けることができます[システム環境設定] > [デスクトップとスクリーン セーバー] > [スクリーン セーバー] > [ホット コーナー]にあるホット コーナーと組み合わせると、コンピューターから少し離れる必要がある場合に、パスワードで保護されたスクリーン セーバーを有効にすることができます。

この追加のセキュリティ対策は多くの侵入者を防ぎますが、ハード ドライブをロックするのではなく、コンピュータを完全にシャットダウンするだけであることに注意してください。

Boot Camp と特別なドライブ構成

FileVault 2 は、標準の Mac OS X ボリューム構成 (リカバリ パーティションを備えた Mac OS X ブート ボリューム) に依存し、それを想定しています。最近の Mac OS X インストールにはこのリカバリ パーティションが付属していますが、リカバリで起動してみて確認できます。 Mac を再起動し、cmd+Rを押してリカバリをすぐに起動するか、Alt を押して利用可能な起動オプションを一覧表示します。何らかの理由で Mac で Recovery パーティションが利用できなくなった場合は、FileVault を使用しないでください。これを実行すると失敗し、データが失われる可能性があります。

高度なRAID 構成など、他の非標準ドライブ設定でも同じ問題に直面します。 Boot Camp を使用した場合でも、互換性は保証されません。 FileVault を有効にする前に Boot Camp を構成し、すべてのドライバーをインストールすると成功したと報告する人もいますが、互換性は保証されていないことに注意してください。

FileVault を有効にする方法

始める前に、Mac 上のファイルをバックアップしてください。ドライブ全体の暗号化は大規模なプロセスであり、いつ問題が発生するかわかりません。いずれにしてもデータのバックアップは重要です。

「システム環境設定」を開き、「セキュリティとプライバシー」セクションに移動して、「FileVault」タブを選択します。これらの設定を変更する前に、ユーザー名とパスワードを使用してコンソールのロックを解除する必要があります。「FileVault をオンにする…」をクリックしてプロセスを開始します。 FileVault を有効にするには、ドライブ全体を暗号化する必要があるため、時間がかかる場合があることに注意してください。ドライブのサイズと種類に応じて、これには 30 分から数時間かかる場合があります。

同じコンピュータ上に複数のユーザー アカウントがある場合は、起動後にドライブのロックを解除できるユーザーを選択できます。許可されたユーザーは、許可されていないユーザーがログインする前に、起動後にドライブのロックを解除する必要があります。

次に、長い一連の数字が含まれる回復キーが提供されます。それを書き留めて (または LastPass などの安全なパスワード マネージャーに入れて) 安全に保管してください。通常のパスワードを忘れた場合、これがバックアップキーとして機能します。この回復キーがなければ、パスワードを失うことはすべてのデータを失うことと同じです。

回復キーを Apple に保存することを選択できます。キーを紛失した場合は、Apple サポートに連絡し、秘密の質問を使用してキーを取得できます。セキュリティの質問に対する答えを正確に再現できる必要があります。そうしないと、Apple サポート スタッフもキーにアクセスできなくなります。このキーの取得は追加機能であるため、料金が適用される場合があります。

これは物議を醸しています。最後に、鍵は非常に慎重に保管することをお勧めします。将来的にはこのセーフティネットが必要になるかもしれません。いずれの場合も、秘密の質問はセキュリティ ネットワークの中で最も脆弱な部分であることが多いため、慎重に選択する必要があります。

その後、Mac からコンピュータを再起動するよう求められます。再起動後、Mac OS X はドライブ上のすべてのデータの暗号化を開始します。その間 Mac を使い続けることはできますが、ドライブのパフォーマンスが低下する可能性があることに注意してください。

再起動後、FileVault 設定に戻り、暗号化プロセスと推定完了時間を確認できます。

FileVault またはその他のセキュリティ ソリューションを使用したことがありますか?以下のコメント欄でお知らせください。

続きを見る：

• Mac 用の 10 の暗号化ツール
• 暗号化されたディスクイメージを作成して機密データを Mac に保存する
• Mac OS X Lion のフォルダをパスワードで保護する