macOSセキュリティの基礎知識：暗号化によってデータを保護することの重要性

「暗号化」と聞いて何を思い浮かべるかは、その人の経験値によって異なります。ファイルやフォルダをディレクトリ内で非表示にするという単純な作業から、どんなに巧妙なパスワード割り出しツールを使っても暴けない64文字の複雑なパスワードでZIPファイルを保護する作業まで、様々なものが存在します。つまり、「暗号化」という言葉自体が非常に多くの可能性とバリエーションを含んでおり、そこには「ソルトによるハッシュ化」や「独自の暗号作成」など、このブログの範囲をはるかに超える高度なトピックも存在します。

それを踏まえた上で、このブログでは以下の点について見ていきます。

• macOSの基本的な暗号化の仕組み
• FileVaultができること＆できないこと
• MacでFireVaultを有効にするメリット

暗号化技術のはじまり

上記のトピックに入る前に2003年にタイムスリップしてみましょう。AppleからMac OS X Panther（バージョン10.3）がリリースされ、Macでデータの暗号化を行うためのFileVault（FV）が初めて導入された頃です。FileVaultは、ユーザがログオフ中にボリュームをロックし、認証に成功した際にロック解除するための方法として有効にすることができ、ユーザの認証情報を利用してホームフォルダのみを暗号化することができます。

これは、Apple特有のスパースディスクイメージ（DMGファイルに似ているが暗号化されている）に、デスクトップやドキュメントディレクトリなどを含むユーザのホームフォルダのコンテンツを格納し、暗号化を可能にするものでした。

しかし、Appleの暗号化技術は2007年のOS X Lion（バージョン10.7）のリリースに伴い追加機能とともに再設計され、「FileVault 2」として生まれ変わりました。それ以降、FV2は標準的な暗号化技術としてOS XとmacOSのすべてのバージョンに搭載されてきました。FV2の機能や仕組みについては、後ほど掘り下げて説明します。

防御メカニズム

Appleは、このブログで取り上げるセキュリティ機能の有効・無効化に対してシンプルなアプローチをとっています。

注記：これ以降は、初代FVではなくFV2に関連して話を進めていきます。

暗号化を有効にする

FV2の有効化は、ユーザが手動で有効にする場合でも、ITがMDM経由で自動化する場合でも、以下の手順で簡単に行うことができます。

1. 管理者レベルの認証情報でMacにログインする
2. システム環境設定を開く
3. 「プライバシーとセキュリティ」をクリックする
4. 「FileVault」タブをクリックする
5. 「FileVault をオンにする」をクリックする

これだけでFV2が有効になり、データの暗号化を行うことができるようになります。あとは指示通りにコンピュータの再起動を行えば、プロセスが完了します。

暗号化を無効にする

せっかく暗号化でMacを保護しているのに、わざわざ無効化にする意味はあるのかと思うかもしれませんが、実際のところ、さまざまな理由で一時的にFV2を無効化するケースがあります。暗号化を無効にするには：

1. 上記の手順1～4に従う
2. 「FileVault をオフにする」をクリックする

Macを使用しながらバックグラウンドで行う場合は、すべてのデータを復号化（暗号化の解除）するためにある程度の時間を必要とします。なお、FV2の暗号化と復号化のプロセスを完了させるためには、Macがスリープ状態になっていないこととAC充電器に接続されていることが必須になります。

FileVaultの復旧キーの保管

FV2を有効にすると、ユーザは復旧キーを安全に保存するよう促されます。これは、 ユーザがアカウントのパスワードを変更した場合や、アカウントが危険にさらされた場合、または単に認証情報を忘れた場合に、データを復号化するために使うことができるものです。

このキーの重要性を理解し、ドライブ内の保護されたデータに望ましくない人がアクセスできないよう、安全な場所に保管しておくことをお勧めします。

iCloudアカウントをお持ちの場合は、復旧キーをクラウドベースで保管することもできます。これはセキュリティの面で非常に安全な方法です。ユーザはいつでもどこからでも、iCloud経由でキーに安全にアクセスすることができ、Appleでさえそれを読むことはできません。

FileVaultを利用したITタスクの自動化

上記は、プライベートまたは仕事で使用するMacにも当てはまることですが、このセクションでは、Jamf Proのようなモバイルデバイス管理（MDM）ソフトでMacフリートを管理している組織に焦点を当てて話を進めていきます。

MDMソリューションでは、デバイスの一元管理だけでなく、FV2の適用を自動化するための構成を設定することができます。また、デバイスごとに異なる復旧キーの管理を効率化し、各デバイスの記録として安全かつ簡単に保管することができるほか、IT部門が必要に応じて容易に取得することも可能です。

組織でJamf Proを使用してFileVault 2や復旧キーをセットアップまたは管理する方法を詳しく知りたい方に向けた管理ガイドをご用意しています。業界のベストプラクティスに則ってフリートを管理し、Appleのセキュリティとプライバシーのフレームワークを遵守しながらデバイスのセキュリティポスチャを強化する方法について詳しくご覧いただけます。

全体的なアプローチ

FileVaultの最大の魅力は言うまでもなく暗号化です。結局のところ、これがセキュリティ制御を有効にする最大の理由と言えます。Appleによると、FileVaultによるディスク全体の暗号化では、「XTS-AES-128暗号化方式と256-ビットのキーを用いて、起動ディスク上の情報への不正アクセスを阻止」するということです。

つまり、暗号化するのはユーザのホームフォルダではなく、起動ディスクなのです。これは表記ミスではなく、FileVault 2と旧式FileVaultの重要な違いです。前述の通り、初代FileVaultを有効にした場合、保護されるのはユーザのホームフォルダのみでした。このため、ユーザが各自ホームフォルダを保護するためにFVを有効にする必要がありました。つまり、FVを有効にしないユーザのホームフォルダやオペレーティングシステムは保護されず、セキュリティ脅威や攻撃を受ける可能性がありました。

しかし、FileVault 2ではディスクを丸ごと暗号化することで、この問題を解決しています。これにより、ディスクに保存されているすべてのデータを効果的に暗号化することができます。まずFV2のアクセス権限を持つユーザがMacにログインしてディスクのロック解除を行い、他のユーザのログインを許可します。

FV2の登場により、データを保護することを選んだユーザだけでなく、ディスク上のすべてのデータを全体的に保護する暗号化システムが生まれたのです。

スマートな運用

FileVault 2の暗号化プロセスは、データを安全に保つことの他にも、ユーザにいくつかのメリットを提供します。

• ディスク全体、あるいは起動ディスクの暗号化を導入する場合、システムドライブ上の未使用の空き領域も併せて保護されるため、攻撃対象エリアを縮小し、マルウェアを仕掛けようとする攻撃者を退けることができます。ちなみにセキュリティの専門家は、MacBookが盗まれた、ストレージドライブがMacから取り外された、またはデータを盗もうとする他の形態のディスクベースの攻撃が発生した場合に、個人や組織のデータやプライバシーデータの安全性を維持するための「最終の砦」として暗号化を見ています。
• FV2が有効になっているデバイスの場合、そのデバイスを使用する各ユーザアカウントもFVを有効にする必要があります。アカウントにセキュアトークンが関連付けられていないユーザは、FVが有効になっているユーザがログインしてディスクのロックを解除するまで、事実上Macにログインすることができなくなります。この機能は、権限のないユーザがドライブのコンテンツにアクセスするのを防ぎます。これは、ユーザのMacからのローカルアクセスはもちろんのこと、ドライブが取り外されて別のMacに接続された場合（データ盗難でよくあるケース）でも有効です。
• FileVaultの両バージョンとも、セキュリティ三原則のひとつである「機密性」が守られています。これは、データが不正なユーザの脅威から保護されているだけでなく、FVがNIST（米国国立技術標準研究所）のガイドラインを遵守していることを意味します。アメリカの政府機関であるNIST は、サイバーセキュリティのリスクを管理・軽減するためのガイダンスを組織に提供しています。特にSP 800-179（Revision 1）は、Appleエンドポイントのセキュリティポスチャを強化しながらリスクを軽減するための、ベストプラクティスに基いたエンタープライズレベルのガイダンスを提供します。
• FVが有効になっているデバイスへのユーザアクセス管理にJamf Proを使うメリットは明白ですが 、手動で管理することを希望する管理者は、「ターミナル」を使用して各ユーザアカウントのセキュリティトークンアクセスの有効・無効化やパスワードのリセットを簡単に行うことができます。以下は、FileVault 2で暗号化されたデバイスへのアクセスをユーザアカウント単位で管理する際に使用するsysadminctlコマンドです。