スタンバイモードでキーストレージを破壊してFileVaultのセキュリティを最大化

スタンバイモードは、Mac が一定時間スリープ状態になった後に自動的に休止状態になる省電力機能で、バッテリーの消耗をさらに抑えます。FileVault 暗号化を使用している Mac がスタンバイモードになると、FileVault キー (はい、このキーは暗号化されています) が EFI (ファームウェア) に保存され、ディープスリープから復帰したときにスタンバイモードからすばやく復帰できます。99% のユーザーにとって、これはほとんど問題ではなく、セキュリティ上の懸念もありませんが、絶対的な最大限のセキュリティを懸念し、Mac を異常に積極的な攻撃 (つまり、スパイレベル) から保護したい場合は、省電力スタンバイモードになったときに FileVault キーを自動的に破棄するように OS X を設定できます。これにより、保存されたキーが潜在的な弱点や攻撃対象になるのを防ぐことができます。

この設定を有効にすると、FileVault ユーザーは、Mac がスタンバイモードから復帰するときに FileVault パスワードを入力する必要があります。これは、すばやく復帰できるように FileVault キーが保存されなくなるためです。ほとんど不便ではありませんが、ディープスリープからの復帰が少し遅くなり、Mac が再び使用可能になるまでに、ユーザーは標準のロックとログイン機能を超えた追加レベルの認証を行う必要があります。

スタンバイモードでFileVaultキーを破壊してFileVaultのセキュリティを強化する

このコマンドは、/Applications/Utilities/にあるターミナルに入力する必要があります。

pmset -a destroyfvkeyonstandby 1

-a フラグは、バッテリーと充電器の両方を含むすべての電源プロファイルに設定を適用します。

この機能が不要または煩わしい場合は、次のように 1 を 0 に設定してコマンドを再度使用することで簡単に元に戻すことができます。

pmset -a destroyfvkeyonstandby 0

アクティブなユーザー アカウントの権限によっては、これらのコマンドの両方に sudo をプレフィックスとして付けてスーパーユーザーから実行する必要がある場合があります。その場合、コマンドは次のようになります。

FileVaultキー破壊を有効にする

sudo pmset -a destroyfvkeyonstandby 1

FileVaultキー破壊を無効にする

sudo pmset -a destroyfvkeyonstandby 0

次のコマンドを使用すると、pmset 設定をチェックして、これが現在有効になっているか無効になっているかをいつでも確認できます。

pmset -g

確かに、これは少々技術的で極端な話なので、大多数のMacユーザーには当てはまらないでしょう。しかしながら、セキュリティが重視される環境にいる方、非常に機密性の高いデータをコンピュータに保存している方、あるいは個人のセキュリティを最優先に考えている方にとって、これは非常に価値のある選択肢であり、起動時間が遅くなるというトレードオフがセキュリティ上のメリットを上回るのであれば、検討する価値があります。

FileVaultではいつものことながら、パスワードを忘れないようにしてください。パスワードを忘れると、Mac上のすべてのコンテンツに永久にアクセスできなくなります。暗号化レベルは非常に強力で、人間の時間スケールでは事実上何も解読できないからです。FileVaultとフルディスク暗号化の概念を初めて使用する場合は、正しく設定し、FileVaultの回復キーを絶対に紛失しないようにしてください。

このトピックに関するより技術的な情報については、Apple が PDF 形式で提供している優れた FileVault 展開ガイドをご覧ください。