39
新しいMacを安全にセットアップし、古いMacをアップデートする方法

新しいMacを手に入れたら、どうすればできる限り安全にセットアップできたか確認できますか?Appleは、完全に新規のインストールプロセスを進める際、複数の選択肢の中から最も安全な選択肢を選ぶように誘導してくれますが、利用可能なオプションを整理して決定を下すのは、おそらく最悪のタイミングです。

読者の方から、次にゼロから始める場合のアドバイスをいただき、このコラムでそのアドバイスを提供できます。ただし、私の提案はすべて、OS Xの再インストール、別のMacからインストールして移行する、あるいは既存のインストールをそのまま使い続けるなど、後から追加する場合でも同様に機能します。最初に設定しておくのがベストですが、レイヤーを追加するのに遅すぎるということはありません。

FileVault 2に賛成する

OS X 10.7 Lionで導入されたFileVault 2は、Appleによるフルディスク暗号化(FDE)の名称です。FileVault 2を有効にすると、OS Xは起動ボリュームから直接起動するのではなく、OS Xリカバリパーティションを使用して起動します。起動ボリュームから直接起動すると、アカウントログイン選択画面が表示されます。OS Xはこれを使用して暗号化キーのロックを解除し、そのキーを使用して起動ボリュームをリアルタイムで復号化して、通常の起動処理を続行します。電源を切ると、ドライブの内容全体が強力に暗号化されます。

privatei セットアップファイルボールトコピー

FileVault はドライブの内容全体を暗号化します。電源を切ると、Mac は現在知られている手段では解読できなくなります。

SSDにはもう一つの利点があります。それは、フラッシュメモリの劣化に伴う特定のフラッシュメモリセルの過度な摩耗を防ぐために、新しいデータの書き込みを分散させるという点です。FileVault 2が有効になっていない場合、SSD上のデータを永久に削除する絶対的に安全な方法はありません。FileVault 2が有効になっている場合、SSD内に散在する断片データは暗号化され、事実上復元が不可能になります。

新しいシステムでは、 OS X 10.10 Yosemite以降、Appleはセットアップまたはアップグレードのプロセス中にFileVault 2を有効にします。ただし、セットアップのその段階で「FileVault暗号化をオンにする」チェックボックスをオフにした場合は除きます。ディスクのロックを解除するためのバックアップ方法としてiCloudを選択できます。iCloudオプションをオフにした場合は、復旧キーを作成してください。パスワードを忘れた場合、iCloudまたは復旧キーのいずれかがディスクのロックを解除する唯一の方法となり、それ以外の場合はデータは永久に失われます。

既存のインストールの場合、以下の手順に従ってください。

  1. 「セキュリティとプライバシー」システム環境設定パネルを開きます。
  2. FileVault タブをクリックします。
  3. [FileVault をオンにする] をクリックします。
  4. パスワードを思い出せない場合に、バックアップとして iCloud または回復キーを使用するかどうかを決定します。
  5. シャットダウンした状態で Mac を起動できるアカウントを選択し、起動ボリュームのロックを解除します。
  6. プロセスを開始するには、「再起動」をクリックします。

FileVault プロセスは一度開始すると停止できず、通常のシステムパフォーマンスを低下させる可能性があります。金曜日の午後に開始すると、数時間または数日間実行できます。(ただし、FileVault を無効にすることは可能ですが、その場合は再起動が必要になり、復号化に長い時間がかかります。)

定期的にクローンとバックアップを作成する

これはセキュリティ上の問題には思えないかもしれませんが、システムが侵害された場合に備えて復元可能な状態を維持することは、セキュリティにとって非常に重要です。Macはマルウェアの侵入をほぼ免れてきましたが、完全には免れていません。ほとんどの攻撃者がOS XやSafariに侵入して攻撃を広範囲に拡散させることができないという事実は、攻撃が起こらないことを意味しません。ランサムウェアの金銭的利益率は非常に高いため、犯罪者はMacユーザーへの感染を試み始めています。感染させるには数百万人規模である必要はなく、数千人、数万人規模で十分です。

Appleは、OS Xのインストール完了時にTime Machineの設定を促すメッセージを表示します。Time Machineが有効な場合は、Macに新しいディスクを接続するたびに表示されます。別のバックアップソリューションを導入する準備ができていない場合は、Appleのアドバイスに従ってください。非常に安価で高速な、USB 3.0対応のマルチテラバイトのポータブルハードディスクやAC電源対応のハードディスクドライブは、多くの販売元から入手できるので、最初からバックアップしないという言い訳はできません。

可能であれば、3つの側面から攻撃することをお勧めします。

  • SuperDuper または Carbon Copy Cloner を使って、起動ボリュームのクローンを定期的に、あるいは夜間に作成しましょう。これにより、起動ドライブ全体を消去しなければならない場合でも、すぐに元の状態に戻すことができます。Time Machine に加えて、あるいは Time Machine の代わりに、クローンを常に使用することをお勧めします。
  • クローンを貸金庫のようなオフサイトの場所に保管しましょう。定期的に行うことができない場合でも、これは保険の1つとなります。
  • ドキュメントは暗号化されたクラウドホストストレージにバックアップしましょう。CrashPlanやBackblazeなど、パスフレーズを設定してサービス側がアクセスできないようにできるサービスの利用を推奨します。これにより、会社の従業員、ハッカー、令状なしの政府機関によるファイルへの侵入を防止できます。

最悪の場合、感染したとしても、クラウド ストレージ内のドキュメントのクローンまたはコピー、あるいは以前の Time Machine スナップショットにロールバックできます。

Apple IDによる2要素認証

昨今のクラッキングの蔓延状況では、コンピュータやiOSデバイスで使用するApple ID(複数可)に2要素認証(2FA)を有効にすることが必須です。大手オンラインネットワークや小売店からパスワードが漏洩するケースは、毎日のように発生しています。Apple IDのパスワードを使い回したことがある場合、クラッキングによって漏洩すると、第三者があなたのアカウントにアクセスできるようになる可能性があります。

また、「どこでもMy Mac」を有効にし、iCloudログインを許可している場合、誰かがMacにリモートアクセスする可能性があります。攻撃者は、別のMacであなたのApple ID認証情報を使用し、Finderの利用可能なデバイスリストにそのMacが表示されるのを確認して、同じApple IDでログインします。

Apple の 2FA は、以前の 2 段階システムのアップデートですが、オンラインの目的で Apple ID を使用する際にパスワードを使用する正当な人物であることを確認するために、信頼できるデバイスに依存しています。

El Capitanでは、Appleはセットアップ中に2FAの有効化を促すプロンプトをまだ表示しません。macOS Sierraシステムを最初からセットアップした際には、既に2FAが有効になっていたため、確認が必要でしたが、まだ有効化していない場合に確認プロンプトが表示されるかどうかは確認できませんでした。2段階認証を使用している場合は、2FAを有効にするには、まず2段階認証を無効にする必要があります。(ただし、iOSでは、新しいデバイスのセットアップ中、またはデバイスを消去して最初からセットアップした後は、確認プロンプトが表示されます。)

OS Xの場合:

  1. iCloud システム環境設定パネルを開き、「アカウントの詳細」をクリックします。
  2. [セキュリティ]をクリックします。
  3. 「2要素認証を有効にする」をクリックします。

信頼できる電話番号または信頼できるデバイスを追加するには、手順に従ってください。

私は数か月前から Apple の 2FA を有効にしていますが、Apple Web サイトにログインしたり、新しいデバイスをセットアップしたりするたびに、複数のデバイスで通知が表示されるので、とても安心します。Apple が記録を取っていることを前向きに思い出させてくれるからです。

限定的な監視ソフトウェアのインストールを検討する

インストール後の検討事項として、OS Xのファイアウォール(システム環境設定の「セキュリティとプライバシー」パネルで設定)を有効にするか、より多機能でカスタマイズ可能なサードパーティ製ソフトウェアをインストールすることを検討してください。Little Snitchのようなソフトウェアは、受信接続と送信接続を監視し、許可または拒否できます。

firewall settings os x copy

OS X に組み込まれているファイアウォールは十分ですが、よりカスタマイズ可能で拡張性の高いサードパーティ製のネットワーク アクセスおよび監視ツールにアップグレードすることもできます。

Little Snitchなどのソフトウェアは悪意のあるアクティビティを完全に防ぐことはできませんが、何が許容され、何が許容されないかを尋ねてくるので注意深く見守っていれば、システムに何か危険なものが侵入していないかに気付くかもしれません。また、たとえ無害な情報であっても、母艦に接続してあなたに関する情報を報告させたくない正規アプリの「電話ホーム」動作を制御することもできます。

ネットワーク監視ソフトウェアは理にかなっているものの、Mac用のウイルス対策ソフトについては長年否定的でした。なぜなら、アプリがマルウェアを識別・削除できるようになる頃には、大抵の場合、役に立たないほど手遅れになっているからです。AppleはOS Xのサイレントゲートキーパーをアップデートし、マルウェアの実行を防ぐためのシグネチャを追加したことで、大規模な攻撃を未然に防ぐことができたようです。

しかし、他のプラットフォームのユーザーと定期的に文書をやり取りしたり、複数のプラットフォームを自分で使用したり、Boot CampやWindowsと他のOSの仮想インスタンスを実行したりする場合は、それらのプラットフォームだけでなく、クロスプラットフォームウイルスを検出できるMacにもウイルス検出ソフトウェアをインストールする価値があります。OS Xソフトウェアでは起動しないマクロベースのウイルスや、Windowsに転送する可能性のある文書内のペイロードは、あなたを感染させる可能性があります。Intego Internet Security X9は、アプリケーションネットワークアクセスと、Windowsマルウェアの検出機能を含むウイルス対策ソフトウェアを1つのバンドルに統合しています。

Ecosystem
Posted by Timsod