FileVaultを使用してMac OS Xでフルディスク暗号化を実現する
FileVaultは、Mac OS Xに搭載されている優れたディスクレベルの暗号化機能です。有効にすると、ディスク上のすべてのコンテンツが暗号化され、データの暗号化と復号化がリアルタイムで実行されます。つまり、新しく作成されたデータや文書も即座に暗号化されます。XTS-AES 128暗号化を採用し、高速かつ非常に安全で、覗き見の目からデータを遠ざけます。
FileVault を使うべきか否か?
FileVaultは優れた機能と使いやすさを備え、セキュリティ面で大きなメリットをもたらしますが、すべての人に適しているわけではありません。ほとんどの人はこれほど強力なセキュリティを必要としませんし、重要なファイルを保存する際にはシンプルな暗号化フォルダイメージを使用する方が、多くのユーザーにとってより適切なソリューションとなる場合が多いでしょう。FileVaultを使用するかどうかは、完全にユーザー自身のセキュリティニーズ次第ですが、有効にする前に、以下の2つの重要な考慮事項を検討してください。
まず、パスワードとバックアップ復旧キーを紛失した場合、データは完全に失われます。つまり、ファイルは復元不可能、アクセス不可能、つまり完全に消えてしまう可能性があります。これは、FileVaultの暗号化が非常に強力であるため、誰も(少なくとも地球人にとっては10万年は到底無理ですが)それなりの時間内に解読できないためです。復旧バックアップキーをAppleに保管することでリスクをいくらか軽減できますが、必ずしもすべての人にとって選択肢となるわけではありません。つまり、忘れっぽくて物をなくしやすい方には、FileVaultは適していないと言えるでしょう。
次に、FileVaultはオンザフライ暗号化を使用するため、一部のMacではパフォーマンスが低下する可能性があります。特に古いモデルや、低速なハードドライブを搭載したMacでは顕著です。そのため、FileVaultは新しいMac、できればSSDなどの高速ハードディスクを搭載したMacで使用することをお勧めします。SSDは高速なので、違いはほとんど感じませんが、古い5400rpmのドライブでは、特に大きなファイルにアクセスするときに遅延を感じることがあります。ディスクレベルの暗号化と高速なパフォーマンスを本当に求めているなら、FileVaultはSSDへのアップグレードのもう一つの大きな理由となるでしょう。SSDはますます手頃な価格になり、アップグレード費用に見合う最高の価値を提供しています。
パスワード要件や回復キーに問題がなく、最高のパフォーマンスを発揮できる高速 Mac をお持ちで、ディスク レベルの暗号化による Mac の最高のセキュリティが必要だと感じている場合は、Mac OS X で FileVault を有効にする手順に進みます。
MacでFileVault暗号化を有効にする方法
Mac OS X で FileVault ディスク暗号化を有効にするのは簡単です。
- Appleメニューからシステム環境設定を開き、「セキュリティとプライバシー」に進みます。
- 「FileVault」タブを選択し、左下隅にある小さな鍵アイコンをクリックして、管理者パスワードを入力します。
- 次に、「FileVaultをオンにする」ボタンをクリックしてセットアッププロセスを開始します。
- オプション: Macに複数のユーザーまたは異なるユーザーアカウントがある場合は、各ユーザーのパスワードを入力してFilevaultアクセスを個別に有効にする必要があります。これにより、ディスクではなくファイルの暗号化を解除できるようになります。そうしないと、それらのユーザーはディスクにアクセスできなくなります。
- 重要:次の画面に表示される回復キーをメモし、安全な場所に保管してください。パスワードを忘れた場合、Macに再びアクセスするにはこれが唯一の方法です。完了したら「続ける」をクリックしてください。
- 推奨:「Appleに回復キーを保管する」を選択し、3つの質問に答えてください。これは、回復キーを紛失した場合のバックアッププランのようなもので、Appleに連絡して回復キーを入手できます。
- 質問に答えて回復キーを安全な場所に書き留めたら、「再起動」をクリックしてドライブの暗号化プロセスを開始します。
FileVault リカバリキーは、パスワードを忘れた場合にドライブの暗号化を解除するための、24文字の英数字からなるパスワード代替手段です。パスワードを忘れた場合、Mac を復元するための一般的な方法は機能せず、ディスク上のデータにアクセスできなくなるため、このキーは安全な場所に保管することが非常に重要です。このキーは、金庫など物理的にアクセス可能な場所だけでなく、仮想世界(自分宛ての Web メールアカウントでパスワード保護された zip ファイルを送信するなど)の安全な場所に保管することも、乱数セットを保存できる多層セキュリティを備えた場所に保管することをお勧めします。ただし、キーを分かりやすくしすぎると、誰かに見つかった場合に暗号化の目的が達成されなくなります。
最高レベルのセキュリティを実現するために「復旧キーをAppleに保管しない」を選択することは有効ですが、一般ユーザーにとってはおそらく良い考えではありません。したがって、極めて高度なセキュリティ(極秘データ、極秘データなど)を必要としない大多数の平均的なMacユーザーにとっては、復旧キーをAppleに保管する方が賢明です。
最初の再起動後、ハードドライブとすべてのコンテンツが暗号化される間、処理速度が非常に遅くなります。最善策は、この処理を実行したままにして、コンピューターを操作しないことです。Macの速度とドライブ自体の速度にもよりますが、ドライブの使用容量50GBごとに5~15分かかるようです。
MacでFileVault暗号化の進行状況を確認する
暗号化の進行状況を確認するには、セキュリティとプライバシーの設定パネルに戻り、「FileVault」タブを確認します。
暗号化と復号化に関連付けられた特定のプロセス ID を見つけようとしている場合、それは実際には存在せず、代わりにプロセス全体が「kernel_task」の下で実行されます。これは、両側で作業を実行する Mac OS X カーネルです。
MacでFileVault暗号化を無効にする
FileVault は自分には合わないと感じていませんか?そう感じているのはあなただけではありません。幸いなことに、FileVault をオフにするのはとても簡単です。必要なのは管理者パスワードだけです。そして、以下の簡単な手順に従ってください。
- Appleメニューからシステム環境設定に行き、「セキュリティとプライバシー」コントロールパネルを選択します。
- 「FileVault」タブに移動し、隅にあるロックアイコンをクリックして設定のロックを解除します。
- 「FileVaultをオフにする」ボタンをクリックします
FileVault はドライブの復号化中に進行状況インジケーターを表示し、完了予定時間も表示します。通常、これはドライブの暗号化にかかる時間とほぼ同じ時間です。ドライブのサイズ、速度、Mac の速度に応じて、10 分から 2 時間以上かかる場合があります。処理が完了するまではそのまま放置しておくのが最善ですが、必要に応じて Mac を使用することもできます。ただし、ディスクと CPU の処理負荷が大きくなるため、パフォーマンスが多少低下し、動作が重く感じる場合があります。
FileVaultと一般的なセキュリティ上の注意事項
FileVaultは非常に安全ですが、従来のセキュリティ対策に代わるものではありません。Macを使用していない時は必ずロックをかけ、スクリーンセーバーやログイン時およびシステム起動時のパスワード入力を求めるなど、Macをパスワード保護してください。データのバックアップは非常に重要なので、Time Machineバックアップを保護するだけでなく、外付けドライブも暗号化することをお勧めします。特に、メインのMacの機密データや書類が保存されている場合はなおさらです。もちろん、メインのMacを非常に安全に保っておいても、バックアップは誰でも覗き見できるような無防備な状態にしておくのは意味がありません。
平均的なユーザーにとって、これらすべては必要でしょうか?おそらくそうではありませんが、最終的には、特定のニーズに合わせてどのようなセキュリティ対策を講じるべきかを決定する必要があります。
FileVault のトラブルシューティング
一部のユーザーで、FileVault が「暗号化が一時停止されました」というエラーで停止してしまうことがあります。この問題が発生した場合、OS X を最新バージョンにアップデートすると解決することが多いですが、FileVault 暗号化一時停止のメッセージを回避するには、USB ボリュームから Mac を起動し、ドライブのロックを解除(FileVault を無効化)し、再起動してから FileVault を再度有効化する必要がある場合もあります。
一部のユーザーはボリューム上で fsck を実行する必要があるかもしれません。
fsck_cs diskID
Filevault に関するその他のヒントやコツ、トラブルシューティングに関するヒントがあれば、コメントでお知らせください。
