AppleのFileVault 2暗号化プログラム：チートシート - TechRepublic

AppleのFileVault暗号化プログラムは、OS X 10.3（Panther）で初めて導入され、ユーザーのホームフォルダのみを暗号化できました。OS X 10.7（Lion）以降、Appleは暗号化方式を再設計し、FileVault 2としてリリースしました。このプログラムは、より新しく強力な暗号化規格に加え、ディスク全体の暗号化も提供します。FileVault 2は10.7以降のOS X/macOSの各バージョンで利用可能です。従来のFileVaultも、OS Xの以前のバージョンで引き続き利用可能です。

AppleのFileVault 2に関するこの包括的なガイドでは、機能、システム要件などを網羅しています。FileVault 2に関する新しい情報が入りましたら、この記事を更新します。

注:この記事は、無料の PDF ダウンロード「Apple FileVault 2: IT プロフェッショナル向けのヒント」に含まれています。

エグゼクティブサマリー

FileVault 2 とは何ですか? また、どのようにデータを暗号化するのですか? FileVault 2 は、Mac 上のデータを暗号化して、復号化キーまたはユーザーのアカウント資格情報を持たないユーザーによる不正アクセスを防ぐ、ディスク全体の暗号化プログラムです。
FileVault 2 がなぜ重要なのか？保存データやディスクに保存されたデータの暗号化は、不正アクセスからデータを保護するための最後の手段となることがよくあります。近年のセキュリティ侵害事件により、FileVault 2 などの暗号化プログラムについて知ることがさらに重要になっています。
FileVault 2はすべてのmacOSユーザーが利用できますか？すべてのmacOSユーザーはFileVault 2を有効にしてデータを保護できます。最新バージョンのOS Xをご利用のユーザーの中には、ディスク暗号化も有効にできる方もいますが、古いバージョンのOS Xをご利用のユーザーは、ホームフォルダのみを暗号化する従来のFileVaultのみをご利用いただけます。
FileVault 2 を使用するメリットとデメリットは何でしょうか？メリットとしては、レガシーハードウェアをサポートし、ユーザーやIT部門がローカルまたは集中管理で導入できることなどが挙げられます。デメリットとしては、FileVault 2 を有効にすると、最新のCPUの約20～30%のI/Oパフォーマンスに悪影響を与える可能性があることが挙げられます。その他のメリットとデメリットについては、この記事で詳しく説明しています。
FileVault 2 の代替手段は何ですか？主な競合製品は、VeraCrypt、BitLocker、GnuPG、LibreCrypt、EncFS です。
FileVault 2 を入手するにはどうすればよいですか? FileVault 2 は、macOS のすべてのバージョンと、サポートされている OS X のバージョンに組み込まれています。暗号化プログラムはデフォルトではオフになっていますが、簡単に有効にすることができます。

追加リソース

Apple コンピュータをランサムウェアから守る 7 つの方法 (TechRepublic)
すべてのMacユーザーがデータ保護のために実行すべき4つのステップ（TechRepublic）

FileVault 2 とは何ですか? また、Mac の起動ディスクをどのように暗号化するのですか?

FileVault 2は、Appleが開発した暗号化プログラムで、Macコンピュータの起動ディスクのフルディスク暗号化を実現します。最新の暗号化アルゴリズムと最新CPUのパワーと効率性を活用することで、起動ディスクの内容全体が暗号化され、ディスクに保存されているデータへの不正アクセスを防止します。データにアクセスできるのは、ディスク上でFileVaultを有効にしたアカウント認証情報、またはマスターリカバリキーを所有するユーザーのみです。

FileVault 2 のディスク全体の暗号化を有効にすると、データは不正なアクセスから保護され、このデータにアクセスしようとすると (物理的またはネットワーク経由で)、認証を求めるプロンプトが表示されるか、データにアクセスできないことを示すエラーメッセージが表示されます。これは、FileVault 2 によって暗号化されるデータバックアップにアクセスしようとする場合でも同様です。

参照: 暗号化ポリシー (Tech Pro Research)

追加リソース

MacでFileVault 2を使ってデータを保護する（TechRepublic）
FileVault 2 ディスク暗号化でデータを簡単に保護 (TechRepublic)
FileVaultを使用してMacの起動ディスクを暗号化する（Apple）
FileVault で Mac のコンテンツを暗号化する (Apple)

FileVault 2 が重要なのはなぜですか?

FileVault 2 自体は、ユーザーによるシステムへの攻撃や暗号化されたデータの流出を防ぐことはできません。この暗号化プログラムは、適切な物理的、論理的、およびデータセキュリティ基準の代替ではなく、デバイスのセキュリティを構成する全体的なパズルの一部です。

データの暗号化は、最後の手段とみなされることが多いです。なぜなら、導入されている他のすべてのセキュリティ機能が侵害された場合、暗号化されたデータは、復号キーを持つ人、またはアルゴリズムを総当たり攻撃で突破できる人以外は誰も読み取れないからです。これは言うは易く行うは難しです。

参照: TechRepublic のすべてのチートシートと賢い人向けガイド

暗号化規格が適切に実装され、強力で最新のアルゴリズムが使用されており、回復キーがアクセスできないか、長くランダムなキー空間で構成されている場合、攻撃者にとっては非常に困難な作業となります。攻撃者がディスク上のデータにアクセスできれば、データをコピーしたり、ネットワークから持ち出したり、さらには直接攻撃したりすることも可能ですが、暗号を解読できなければ、攻撃は行き詰まってしまいます。そして、攻撃者が暗号を解読できない場合、データは読み取れなくなり、結果としてほとんど役に立たず、価値もなくなります。

追加リソース

通信の暗号化：適切に行うことがなぜ重要なのか（TechRepublic）
国民が基本的人権として暗号化を必要とする理由 (TechRepublic)
企業におけるBYODのリスク軽減（PDFダウンロード）（TechRepublic）
BYODポリシー（Tech Pro Research）
ランチ＆ラーニング：BYODのルールと責任（Tech Pro Research）

FileVault 2 はすべての macOS ユーザーが利用できますか?

OS X 10.7 (Lion) 以降から現在のバージョンの macOS 10.13 (High Sierra) までを実行しているユーザーは、デスクトップまたはラップトップの Mac コンピューターで FileVault 2 のフルディスク暗号化機能を有効にして、完全に利用できます。

この機能はデフォルトで無効になっていますが、システム環境設定にアクセスし、「FileVault 2 をオンにする」ボタンをクリックするだけで、ディスク全体を暗号化できます。企業所有のデバイスの場合、暗号化はユーザーが有効化することも、管理者が管理することもできます。管理者は、プロファイルマネージャやスクリプトなどを使用して、導入時にFileVault 2を有効化し、必要に応じてデバイスごとに暗号化されたデータを復元できるように、企業が管理する組織レベルの回復キーを実装するポリシーを設定しています。

参照：ITリーダー必読：サイバーセキュリティに関する10冊の本（無料PDF）（TechRepublic）

FileVault 2 を有効にすると、自分のアカウントで FileVault 2 を有効にした管理者権限を持つユーザーのみがドライブのコンテンツを復号できます。さらに、初期プロセス中にマスター回復キーが作成されるため、これらのキーのいずれかを持つユーザーのみがボリュームを復号し、ドライブのコンテンツを読み取ることができます。

追加リソース

FileVault 2 への移行に関する考慮事項 (ZDNet)
OS X FileVault に関する質問への回答 (CNET)
Apple macOS High Sierra：賢い人のためのガイド（TechRepublic）
APFS を詳しく見る: Mac ユーザーが Apple の新しいファイルシステムについて知っておくべきこと (ZDNet)
HFS+ vs. APFS: どちらの Apple ファイルシステムが優れているか? (TechRepublic)

FileVault 2 を使用することの長所と短所は何ですか?

FileVault 2を使用するメリット

これは、Apple が Apple コンピュータ向けに設計したネイティブの Apple ソリューションです。
FileVault 2 は、Apple によって正式にサポートされなくなったデバイスであっても、レガシーハードウェアをサポートします。
FileVault 2 の展開は、ユーザーまたは IT 部門によってローカルまたは集中的に管理できます。
ディスク全体の暗号化は、現在および将来にわたってディスクに保存されるすべてのデータを保護します。
暗号化されたデータのバックアップは Time Machine とシームレスに連携し、自動バックアップセットを作成します。
FileVault 2 で暗号化されたディスクは、まず「ロック解除が有効」になっているユーザーアカウントでロックを解除する必要があります。これらのアカウントは通常、管理者権限を持つアカウントであり、設定されている ACL 権限に関係なく、管理者以外のアカウントがディスクの内容にアクセスできないようにします。
FileVault 2 は、128 ビットブロックと 256 ビットキーを使用する AES アルゴリズムに基づいた、強力な形式のブロック暗号チェーンモードである XTS を使用します。

FileVault 2 を使用する際のデメリット

従来のFileVault（FileVault 1）はディスク全体を暗号化せず、ユーザーのホームフォルダの内容のみを暗号化します。これは、FileVault 2の機能をサポートしていない従来のハードウェアに影響します。
Time Machineによる暗号化データのバックアップは、ユーザーがセッションからログオフしている場合にのみ実行できます。オンザフライバックアップの場合、バックアップ先パスはTime Machine Serverである必要があります。Time Machine Serverでは、オンラインバックアップを実行するためにmacOS Serverが必要です。
ディスクの暗号化に使用される暗号化パスフレーズは、FileVault 2 を有効にしたエンドユーザーのパスワードと同じです。パスワードが侵害されると、ディスクが暗号化され、データが侵害される可能性があります。
FileVault 2 を有効にすると、最新の CPU の約 20 ～ 30% の I/O パフォーマンスに悪影響を与える可能性があり、古いプロセッサハードウェアではパフォーマンスが著しく低下します。
パスフレーズまたは回復キーを変更する必要がある場合は、ボリューム全体を復号化し、新しいキーを使用して暗号化プロセスを再度実行する必要があります。
FileVault 2 が有効になっているデバイスは、管理者以外のアカウントでアクセスまたは使用する前に、管理者の認証情報を持つアカウントでロック解除する必要があります。デバイスがロック解除されていない場合、管理者以外のアカウントは、ロック解除が完了するまでコンピューターを使用できません。
個々のファイル、フォルダ、その他のデータは、オンザフライで暗号化することはできません。ローカルディスクまたはFileVault 2で暗号化されたボリューム上にあるデータのみ、全体を暗号化できます。

追加リソース

FileVault を使用するメリットとデメリット (Apple)
FileVault でディスクを暗号化することの欠点 (AskDifferent)
MacのFileVault 2のフルディスク暗号化は40分以内に回避可能（Sophos）

FileVault 2 の代替手段にはどのようなものがありますか?

VeraCryptは、Windows、Linux、macOSのクロスプラットフォーム対応を提供する、無料のオープンソースディスク暗号化ソフトウェアです。VeraCryptは、セキュリティ監査で複数の脆弱性が発見された後、開発者によるサポートが中止されたフルディスク暗号化アプリケーションであるTrueCryptから派生したものです。

TrueCryptの使用権を獲得したVeraCryptは、以前のアプリをフォークし、脆弱性を修正するとともに、ファイルの保存方法を強化するための変更を加えました。VeraCryptは、ファイル内に仮想的に暗号化されたディスクを作成し、OSが読み取り可能なディスクとしてマウントします。ディスク全体、パーティション、USBフラッシュドライブなどのストレージデバイスを暗号化でき、リアルタイムのオンザフライ暗号化を提供します。ハードウェアアクセラレーションによりパフォーマンスが向上します。また、TrueCryptの隠しボリュームとOSの隠し機能もサポートしています。

BitLockerは、Windows Vista以降のサポート対象バージョンに搭載されているMicrosoftのフルディスク暗号化機能です。デフォルト設定では、BitLockerはXTSモードのAES暗号化と128ビットまたは256ビットのキーを組み合わせて最大限の保護を実現します。特にTPMモジュールと併用することで、信頼されたブートパスの整合性が確保され、多くの物理攻撃やブートセクターマルウェアによるデータ侵害を防止します。

Active Directory環境のコンピューターで使用する場合、BitLockerはキーエスクローをサポートします。これにより、Active Directoryアカウントは回復キーのコピーを保存できます。データの回復が必要な場合、管理者はキーを取得できます。

GnuPGは、Phil Zimmermann氏が開発し、後にSymantec社に買収されたPGP暗号化プログラムをベースにしています。Symantec社が提供するPGPとは異なり、GnuPGは完全にフリーソフトウェアであり、GNUプロジェクトの一部です。このソフトウェアはコマンドラインベースで動作し、パフォーマンス向上のための対称鍵暗号と、安全な鍵交換の容易さを目的とした公開鍵暗号を組み合わせたハイブリッド暗号化を提供します。

GUIがないことは必ずしも万人向けではないかもしれませんが、このプログラムの柔軟性により、署名付き通信、ファイル暗号化、そして設定次第ではディスク暗号化によるデータ保護が可能になります。ユニバーサル暗号エンジンと呼ばれるGnuPGは、CLI、シェルスクリプト、あるいは他のプログラムから直接実行でき、他のアプリケーションのバックエンドとして機能することも少なくありません。

LibreCryptは、Windowsを完全にサポートし、Linuxディストリビューションも部分的にサポートする透過的なフルディスク暗号化プログラムです。オープンソースであり、問題解決と新機能の導入に尽力するユーザーによるオンラインコミュニティがあります。Windowsで最も使いやすい暗号化プログラムとしてよく挙げられるLibreCryptは、暗号化されたコンテナも作成でき、Windowsエクスプローラーでリムーバブルディスクとしてマウントして簡単にアクセスできます。

サポートされている多数の暗号化およびハッシュ標準とモードに加えて、ユーザーを認証するためのスマートカードとセキュリティトークンもサポートし、ファイルレベル、パーティション、またはディスク全体でデータを復号化します。

EncFSは、FUSEライブラリを使用してユーザー空間で実行される暗号化ファイルシステムです。FUSEライブラリは、ユーザー空間におけるファイルシステムのインターフェースとして機能し、ホストOSでネイティブサポートされていないファイルシステムをマウントして使用できるようにします。FUSE/EncFSはオープンソースリリースであり、Linux、BSD、Windows、Androidデバイス、macOSをサポートしています。また、コミュニティメンバーによって翻訳されているため、複数の言語で利用可能です。

GitHub でのアクティブなコミュニティサポートと定期的な更新により、EncFS は、マウントして安全なデータファイルを格納できるファイルシステムを作成する機能をユーザーに提供します。また、その後、オフライン攻撃や不正なユーザーアクセスから保護するためにアンマウントすることもできます。

追加リソース

VeraCrypt で USB フラッシュドライブを暗号化する方法 (TechRepublic)
GnuPGを使ってLibreOffice 6文書にデジタル署名する方法（TechRepublic）

FileVault 2 を入手するにはどうすればいいですか?

FileVault 2は、macOS 10.7から10.13までのすべてのバージョンに搭載されています。エンドユーザーが初期設定プロセスを実行できるように、このサービスはデフォルトで無効になっているため、有効化するだけで利用できます。このプロセスでマスターリカバリキーを作成できます。このキーは、アカウントがロックアウトされ、別の方法でデータを復旧する必要がある場合に、バックアップとして機能します。

OS X 10.7より前のバージョンをご利用の場合は、Legacy FileVault、またはFileVault 1（暗号化アプリケーションの初期バージョン）をご利用いただけます。FileVault 1は、ユーザーのホームフォルダのみを暗号化し、ディスク全体を暗号化しません。この設定は、デバイス上のユーザーごとに有効にする必要があり、暗号化されたホームフォルダに保存されていないデータは、不正アクセスの対象となります。

幸いなことに、Apple コンピュータが最新バージョンの OS X または最新リリースの macOS をサポートしている限り、いつでも Mac のオペレーティングシステムを新しいバージョンにアップグレードして、FileVault 2 の強化されたセキュリティのメリットを享受できます。

追加リソース