先週のコラムでは、Apple の組み込み FileVault 2 を使用してフルディスク暗号化 (FDE) を有効にすることの使用方法と利点 (およびいくつかの欠点) について説明しました。
読者からいくつか質問がありました。記事のコメント欄でいくつか回答しましたが、ここでも詳しく説明します。その後、ドライブ全体ではなく個々のファイルを暗号化する方法について詳しく説明します。
FileVault 2 の説明
FileVault 2はハードドライブレベルでデータを暗号化します。Mac上で動作するプログラムは、データが暗号化されていないかのように認識します。これにより、システムがロックされている場合でも、ログインしたままドライブをバックアップできます。ただし、Dropbox、オンラインバックアップサービス、ローカルドライブ、またはTime Machineの保存先にコピーされたファイルは暗号化されません。ただし、これらのオプションすべてに暗号化を追加できます。
FileVault 2は設定が簡単で、最近のMacの速度を低下させることはありません。復旧キーを安全な場所に保管してください。
元の記事に記載されているように、ドライブを選択して「ドライブ名の暗号化」を選択すると、Time Machine やその他のローカル ドライブは FileVault 2 と同じテクノロジーを使用して暗号化できます。
FileVault 2の回復キーを紛失してしまった場合(ある読者は紛失したと考えているようです)、コンピューターを起動する権限を持つアカウントのパスワードさえ覚えていれば、変更可能です。ただし、FileVault 2を無効にしてドライブ全体を復号化し、再度有効にする必要があるため、少々面倒です。数日かかる場合があり、AC電源が安定していることを確認してください。
FileVault 2 が OS X の速度を劇的に低下させると考える読者もいますが、ベンチマーク、私自身の経験、そして他の読者の証言は、その考えを覆すものです。新しいコンピューター(全モデル2012年以降、一部は2010年と2011年に発売)で、ほとんどのモデルにSSDが搭載されている場合、パフォーマンスはわずかに低下する程度で、ディスクを大量に使用する操作を行っている場合のみに発生します。
それではディスクユーティリティに進みます。
ディスクユーティリティを使用してファイルを暗号化する方法
FileVault 2はディスク全体に影響を与え、パスワードを忘れたりディスク回復キーを紛失したりすると、ファイルが完全に復元できなくなるなど、いくつか恐ろしい点があります。しかし、代わりに、あるいはそれに加えて、すべてのファイルを暗号化する仮想ディスクを作成することもできます。
つい最近まで、Macでファイルやフォルダを暗号化する方法は複数ありました。TrueCryptは、ほぼ匿名で利用できる無料のオープンソース暗号化ツールでしたが、2014年5月に突如開発が中止されました。数年前、PGPはファイル暗号化用のMacツールを提供していましたが、フォルダや仮想ディスクへのアクセスには対応していませんでした。(GPGToolsにはMac版があり、主にメールの暗号化管理に役立ちます。)
残るはディスクユーティリティ。これはディスクのアクセス権の修復だけでなく、ディスクイメージの管理と作成もできる、お馴染みのツールです。ソフトウェア開発者でなければ、ディスクイメージを作成する必要がなかったかもしれません。ディスクイメージとは、ファイルとフォルダの配置と階層、ファイルのアクセス権、その他のデータを、物理的な内蔵ディスクやリムーバブルディスクに保存されているかのように保存する、単なるフラットファイル(またはOS Xパッケージ)です。(DropDMGは24ドルのユーティリティで、OS Xのディスクイメージコマンドに暗号化などの実用的なインターフェースを追加し、管理オプションも提供します。)
Appleは、暗号化されたディスクイメージを作成するための詳細な手順を公開しています。より高度な暗号化レベルである256ビットAESを選択することをお勧めします。暗号化されたディスクイメージはFileVault 2上でも使用できます。これら2つの技術は競合しません。
少数のファイルだけを暗号化したい場合は、ディスクユーティリティの「スパースバンドル」が最適です。パスワードをキーチェーンに保存することもできます。
また、スパースバンドルイメージ形式の使用をお勧めします。この形式は、イメージに指定した全サイズではなく、実際に保存するファイルに必要なディスク容量とわずかなオーバーヘッド分のみを占有します。つまり、10GBを指定して100MBだけ使用すれば、イメージは100MBをわずかに超える程度の大きさになります。「バンドル」とは、イメージが複数のファイルに自動的に分割されることを意味します。これにより、ディスクをアンマウントした際にイメージの一部だけを簡単にバックアップできます。そうしないと、暗号化されたディスクイメージは小さな変更によって大きく変化し、増分更新によってアーカイブストレージと帯域幅が消費されてしまいます。
ディスクイメージの暗号化にはパスワードを設定します。このパスワードは、ディスクをマウントして使用するたびに必要です。作成時とマウント時にキーチェーンに保存することもできますが、ロックされていない起動中のコンピューターに誰かがアクセスできることを懸念している場合は、リスクが高まります。マシンが常に自分の管理下にある、または不要な時はシャットダウンされていると確信できる場合は、キーチェーンにパスワードを保存することで手順が1つ減ります。正直なところ、より長く、より強力なパスワードを選択する可能性が高くなります。
他の形式の暗号化と同様に、パスワードを紛失したり忘れたりすると (キーチェーンには保存されません)、ファイルは永久に失われます。
