新しいMacでFileVaultとT2セキュリティチップがどのように連携するか

新型Macには、独自のSecure Enclaveを備えたT2セキュリティチップが搭載されています。これは、iPhoneやiPadと同様に、高度なセキュリティを実現する耐タンパー性シリコンチップです。Touch IDの有効化やノートパソコンでのApple Payの利用に使用されますが、フルディスク暗号化など、他のいくつかのタスクも処理します。（T2チップは2017年後半にiMac ProからMacに搭載され始めました。お使いのMacがT2チップ搭載機種かどうかわからない場合は、こちらのリストをご覧ください。）

T2以前のモデルでは、macOSはソフトウェアとハ​​ードウェアアクセラレーションによる暗号化を組み合わせて、ディスク上のすべてのデータをFileVaultで暗号化します。FileVaultは、環境設定の「セキュリティとプライバシー」の「FileVault」タブでオン/オフを切り替えることができます。これらの古いMacでは、FileVaultが初めてドライブを完全に暗号化するまでに非常に長い時間がかかり、処理中はシステムが重くなることがあります。その後は、Macは通常、データが暗号化されていない場合とほぼ同じ速度でライブ読み込みと書き込みを処理します。

FileVaultは、電源が入っておらずログインもされていない保存状態のディスク上のデータが、いかなる効果的な方法でも抽出できないように保護します。データはキーにアクセスできないため、単なるデジタルゴミの山と化します。また、Mac上のFileVaultにリンクされたアカウントのパスワードがなければ、キーを取得することはできません。ドライブのロックを解除するには、起動時にそのパスワードを入力する必要があります。

T2 チップが暗号化を管理するようになった今、これらのモデルで FileVault が果たす役割は何でしょうか? それはかなり微妙です。

T2チップ搭載MacでFileVaultをオフにすると、たとえ悪意のある人物がMacからドライブを抜き取ったとしても、その内容にはアクセスできません。これは、T2チップ搭載以前のMacではFileVaultで保護されていないコンテンツが完全に読み取れたのに対し、改善された点です。これはセキュリティの基本的な改善と言えるでしょう。（ちなみに、その結​​果、T2チップ搭載Macで「デバイスを探す」から「このデバイスを消去」コマンドを受信すると、T2チップを搭載せずFileVaultが有効になっているMacと同様に、ほぼ瞬時に「消去」されます。つまり、暗号化キーを消去すると、ドライブの内容は永久に復元不可能になります。）

しかし、FileVault を有効にしないと、Mac を起動するだけでフルディスク暗号化が開始されます。アカウントに自動ログインしなくても、暗号化は T2 チップ内の Secure Enclave によって管理されるハードウェアキーにロックされていますが、Mac が起動してログイン画面が表示されるとすぐに復号化が開始されます。悪意のある第三者が macOS を改ざんしたり、ハードウェア的な手段を用いてマウントされ動作中のドライブからデータにアクセスしたりする可能性があります。

しかし、FileVaultをオンにすると、T2搭載Macは、ソフトウェアでディスク暗号化を処理するMacと同じ起動動作を行います。macOSを直接起動するのではなく、リカバリパーティションは特別なモードで起動し、FileVaultの使用を許可されているアカウントのパスワードの入力を求められます。パスワードが入力されるまで、ディスクの内容は保存されているときと同じように暗号化されたままになります。

最高のセキュリティと安心のために、T2搭載MacでFileVaultを有効にすることをお勧めします。さらに嬉しいことに、T2チップが既にドライブを暗号化しているため、オーバーヘッドや遅延もなく、FileVaultはすぐに有効になります。

Mac 911に問い合わせる

よくある質問とその回答、コラムへのリンクをまとめました。FAQ集をご覧になり、ご質問が網羅されているかご確認ください。もし掲載されていない場合でも、私たちは常に新しい問題解決の糸口を探しています！ご質問は[email protected]までメールでお送りください。スクリーンショット（必要な場合）と、氏名の使用可否を明記してください。すべての質問に回答できるとは限りません。メールへの返信は行っておりません。また、トラブルシューティングに関する直接的なアドバイスも提供できません。

著者: Glenn Fleishman、Macworld 寄稿者