Appleは当初、macOSにフルディスク暗号化(FDE)保護機能を提供するためにFileVaultを導入しました。FDEは、macOSがシャットダウン(スリープ状態だけでなく)した際に、起動ボリューム全体に暗号化キーを設定することで、そのボリューム全体をロックします。FileVaultはそのキーを、シャットダウン後にMacにログインできるアカウントとペアリングすることで、Macを効果的に起動させることができません。
T2セキュリティチップを搭載したIntel Macモデル以降、起動ボリュームは常に暗号化されます。FileVaultはもはやそのタスクを実行しません。これはすべてのMシリーズMacに当てはまります。これらのモデルでは、FileVaultはボリュームの暗号化キーを保護するだけですが、これは非常に重要な機能です。(ハードウェア暗号化ボリュームでFileVaultが無効になっている場合、悪意のある第三者が起動中のコンピュータにアクセスし、保存されているファイルにアクセスする可能性があります。)
どのMacモデルでもFileVaultが有効になっている場合、予防措置を講じていないと、特定の状況でドライブから永久にロックアウトされる可能性があります。Macをしばらく使用していない間に、承認済みのFileVaultアカウントのパスワードを忘れてしまうこともあるでしょう。また、私が受け取ったメールによると、アカウント管理に問題が発生する場合があり、macOSの完全シャットダウン後の「コールドスタート」ログインや起動ボリュームの問題診断に使用されるmacOS復元では、正しいパスワードを入力してもログインできないという状況が発生することがあるようです。
このような場合、MacでFileVaultをオンにした際にmacOSによって設定された復旧キーが役立ちます。しかし、時間が経つと、キーをどこに保存したか、どうやって取得するかを忘れてしまう可能性があります。Macworldの読者であるElainaさんもその一人です。彼女はキーが見つからず、iCloudオプションを使って保存したことは覚えていたものの、iCloud Driveを調べても見つかりませんでした。彼女は、ロックアウトされて復旧キーを取得できなくなるのではないかと心配しています。
これは、定期的に操作して記憶をリフレッシュする必要がないほど信頼性の高いシステムのセキュリティオプションに問題があります。iOSとiPadOSのTouch IDとFace ID、そしてmacOSのTouch IDでは、デバイスのパスコードまたはパスワードを忘れないように、少なくとも6日ごとに再入力する必要があります。
FileVault を初めて設定する際、復旧キーが見つからない場合に、ディスクのロックを解除して macOS アカウントのパスワードをリセットする方法として iCloud アカウントを使用するかどうかを尋ねる手順があります。(Monterey 以前では、 > システム環境設定 > セキュリティとプライバシー > FileVault の順に進み、Ventura 以降では、 > システム設定 > プライバシーとセキュリティの順に進み、FileVault セクションまで下にスクロールします。)
パスワードのリセットのために、回復キーを iCloud アカウントの一部として保存することを選択できます。
iCloud を選択した場合、復旧キーは iCloud Drive やファイルとして保存されるのではなく、Apple が管理する裏のアカウント情報に紐付けられます。復旧キーは完全に暗号化されているため、Apple でさえ暗号化されていない復旧キーデータにアクセスすることはできませんが、パスワードをリセットする必要がある場合、Apple は暗号化された復旧キーを Mac に配信できます。この設定では、復旧キーが表示されることも、入力する必要もありません。(手順は少し複雑です。Apple はこのサポートドキュメントの「パスワードリセットアシスタントを使ったリセット(FileVault がオンになっている必要があります)」セクションで説明しています。)
FileVault が回復キーを生成して表示するという別の方法を選択した場合は、Mac が起動できない場合でもアクセスできるよう、必ずキーを書き留めるか電子的に入力し、安全に保管する必要があります。私はこの目的で 1Password のセキュアノートを使用していますが、信頼性が高く、安全で、アクセスしやすい保管方法であれば何でも構いません。
良い戦略としては、四半期ごとに復旧キー(および同じ場所に保管する必要があるその他の重要なパスワードやキー)を探すためのリマインダーを設定することが挙げられます。見つからない場合は、macOSでFileVaultを無効にしてから再度有効にしてください。T2セキュリティチップを搭載していないIntelモデルでは、ドライブ全体が復号化されてから再暗号化されるため、この処理に時間がかかります。T2 IntelモデルとMシリーズでは、この処理は数秒で完了します。Macのどのモデルでも、macOSは全く新しい復旧キーを生成するので、それをもう一度注意深くメモしておくことができます。
上記のいずれの状況でも、iCloud にログインできなくなったり、回復キーを紛失したりすると、昨年私が書いたように、Mac のファイルは永久に回復できなくなります。
Mac 911に問い合わせる
よくある質問とその回答、コラムへのリンクをまとめました。FAQ集をご覧になり、ご質問が網羅されているかご確認ください。もし掲載されていない場合でも、私たちは常に新しい問題解決の糸口を探しています!ご質問は[email protected]までメールでお送りください。スクリーンショット(必要な場合)と、氏名の使用可否を明記してください。すべてのご質問に回答することはできません。メールへの返信は行っておりません。また、直接的なトラブルシューティングのアドバイスも提供できません。
