何らかの理由で、政府による詮索から自分の通信を守りたいと考えているとしましょう。直接的なハッキングを受けるような著名な標的でない限り(例えば、アラブ首長国連邦は人権活動家アハメド・マンスール氏のデジタル防御を3度も突破しようとしたとされています)、通常の生活を送り、プライベートな考えや会話を続けるために、合理的な対策を講じることができます。
特定の政府や政権を批判しているわけではないことをご承知おきください。政治はさておき、私たちは皆、反体制派のように考えるべきです。なぜなら、世界中で自由から独裁へ、左から右へと潮の流れが満ち引きしているからです。共通しているのは、賢明な対策を講じることです。
潜在的な政府による侵入から身を守るには、多くの利便性を放棄する必要があります。デジタルでのやりとりを容易にする多くのツールは、犯罪者やその他の個人だけがデータやハードウェアにアクセスしようとするものと想定し、当局は法律に拘束され、裁判所の判決に従うものとしているからです。
サンバーナーディーノのテロリストの一人に支給された職場所有のiPhoneに保存されたデータを解読するため、FBIがAppleにカスタムOSの開発を依頼したという、話題を呼んだ事件でも、懸念はより現実的なものだったため、FBIは裁判所を回避しようとはしなかった。Appleは、暗号を解読できるiOSのバージョンが広く使用されることを懸念していたのだ。
いくつかの仮定から始めなければなりません:
- バックアップドライブを含め、所有するあらゆるデバイスが押収される可能性があります。
- 指紋の使用を物理的に強制されることに対する保護が削減または削除されます。
- 政府が設計したマルウェアが配布され、デバイスに大量に侵入する可能性があります。
- インターネット経由で送信するすべてのデータは自動的に傍受され、検査されるため、暗号化する必要があります。
- クラウドプロバイダーは、保存されているデータへの無制限のアクセスを当局に許可する必要があります。
このコラムでは、まずiOSデバイスとMacの暗号化とセキュリティの向上について取り上げ、これらの問題点を軽減する方法について解説します。今後のコラムでは、より多くのトピックを取り上げていく予定です。
MacとiOSデバイスのセキュリティを強化する
iOSはデフォルトで、強力な暗号化方式を用いてすべてのストレージを暗号化します。この方式は、たとえ意図的なクラッキングにも耐えるものです。macOSではフルディスク暗号化を有効にできますが、制限事項が多くあります。これらは、ハードウェアの差し押さえに対する効果的な第一線防衛策となり得ます。
このレベルの暗号化のためにiOSに変更を加える必要はありません。何らかのパスコードを使用している限り、この暗号化はiOS固有のものであり、無効にすることはできません。
macOS では、OS X 10.7 Lion 以降で利用可能な FileVault 2 を有効にします。
- 「セキュリティとプライバシー」システム環境設定パネルを開きます。
- 左下のロックアイコンをクリックし、管理者パスワードを入力します。
- [FileVault をオンにする]ボタンをクリックします。
- 復旧キーをiCloudに保存することは避けてください。そうすると、自分では制御できない弱点が生まれてしまうからです。ローカルに保存し、暗号化した復旧キーのコピーを、暗号化対象のMacとは別の場所に保管してください。
- クリックして再起動します。
暗号化には数時間かかる場合があります。SSDを使用すると、はるかに高速になります。
FileVault 回復キーを iCloud に保存しないでください。そうすると、外部から抽出される危険性が高くなります。
Macをシャットダウン状態から再起動した後にログインする必要があるすべてのユーザーアカウントを選択し、設定してください。FileVaultはリカバリディスクを使用して起動します。FileVault用に設定されたユーザーログイン情報はリカバリディスクに保存され、アカウントのパスワードはメインの起動パーティションを暗号化する暗号化キーのロック解除に使用されます。
セキュリティの第一人者であり、ファイルアクセス監視ツール Little Flocker の開発者でもある Jonathan Zdzriarski 氏は、新しい Touch Bar 搭載の MacBook Pro モデルでも、FileVault 暗号化はハードウェアに結び付けられていないと指摘しています。
個々のドライブで暗号化を有効にします。
FileVaultは他のドライブを暗号化しません。Time Machineなどのローカルバックアップオプションを使用している場合は、それらのドライブも暗号化する必要があります。マウントされたドライブまたはパーティションを右クリックし、「ドライブ名を暗号化」を選択できます。ただし、パスワードを作成して別途保存する必要があります。そうしないと、ドライブにアクセスできなくなるリスクがあります。
また、システムの再起動時やドライブのマウント解除・再マウント時にも、パスワードを入力する必要があります。iCloud経由でキーチェーンを同期しておらず、macOSに強力なパスワードを設定している限り、キーチェーンを使ってパスワードを保存することも可能です。(iCloudキーチェーン同期は非常に安全ですが、より多くのデバイスから秘密情報にアクセスできるようになります。)1Passwordのようなサードパーティ製のパスワードツールを使うことをお勧めします。これについては、後日詳しく解説します。
Macが起動し、ドライブがマウントされている間は、システムをロックしていてもデータが危険にさらされる可能性があります。コンピュータから離れる際は電源を切る必要があります。つまり、作業中にバックアップをスケジュールしておく必要があります。
強力なパスワードとTouch IDの放棄
Appleは、個人のセキュリティ対策としてTouch IDの使用を推奨しています。Touch IDは、誰かがあなたの手を掴んでセンサーに指を置くといった物理的な強制に弱いため、人間の精神による保護は受けられません。意識する必要すらありません。
政府がもはや有効な対策を講じていないと考えるなら、ほとんどの人にとってTouch IDを有効にするのは得策ではない。Zdzriarski氏は、Touch IDを管理するには、「警察や税関に遭遇する可能性があると感じたら、iOSデバイスをシャットダウンし、電源を入れ直し、夜間はモバイルデバイスを(パスコードなしで)ロックして指紋リーダーを無効にしておく」といった対策が必要だと述べている。また、親指や人差し指ではなく、目立たない指を使うことを推奨している。「指紋は強制的に取得させることはできますが、どの指を使ったかを強制的に教えてもらうことができるかどうかは議論の余地があります」と、少なくとも現在の米国法では述べている。
Touch ID を使っていても、パスコードは長くて強力なものにする必要があります。句読点、数字、大文字と小文字を混ぜた、完全にランダムな文字列を使うべきだと主張する人もいます。私は、多くの主要なセキュリティ専門家が提案する、ランダムに生成される複数単語のパスフレーズを推奨します。これにより、ブルートフォース攻撃への耐性が同等になります。安全のために、3つ以上の単語は合計20文字以上にする必要があります。
iOS の 6 桁のパスフレーズから複数単語のパスフレーズに切り替えましたが、入力に慣れた今では、入力にかかる時間は数秒長くなるだけです。
今後のコラムでは、iCloudなどのクラウド同期に伴うリスク、macOSのセキュリティツールの使用、メッセージングと仮想プライベートネットワーク(VPN)によるネットワークアクセスの保護、匿名ブラウジングの利用などについて解説します。どうぞお楽しみに。そして、安全を、いや、より安全に。
