macOS TahoeのFileVaultがiCloudキーチェーンに対応

by
0703 PV約6分
macOS TahoeのFileVaultがiCloudキーチェーンに対応

macOS 26 Tahoeで、Appleはディスク暗号化機能であるFileVaultの管理方法を大幅に変更しました。

正直言って、これまでのユーザーには即座に影響はありませんが、最終的にはすべてのユーザーが新しい方式を使用する必要があります。今回の変更は、セキュリティの向上を図る一方で、ユーザーの責任が増す側面もあります。

FileVaultとは何でしょうか

Recovery Key_02.

FileVaultの暗号化プロセスを抽象的に表現

基本的な仕組み

FileVaultは、Macのディスクを暗号化し、データを保護する機能です。現在のFileVaultは、Mac OS X 10.7 Lionで初めて登場しました。ちなみに、最初のFileVaultはホームフォルダだけを保護していました。

FileVaultが動作している場合、以下のような保護を提供します。まず起動時の保護では、Macが立ち上がる前にパスワードの入力が必要になります。さらにデータの保護により、正しいパスワードなしではデータボリューム(ハードディスク)の中身を見ることができません。

Apple Silicon MacでのFileVault

Apple Silicon Macでは、FileVaultは特別な仕組みで動作します。やはりFileVaultが動作していると、実際にはmacOSではなく、コンピューターの奥深くにあるプログラムがログイン画面とそっくりな画面を表示するのです。

動作の流れは次のようになります。まずパスワードを入力し、次にMacのブートプログラム(起動システム)が、保存されているパスワードと入力されたパスワードが一致するかをチェックします。その後、ユーザーのデータにアクセスできるようにロックを解除して、最後にシステムをスムーズに起動します。

復旧キーの重要性

復旧キーとは

FileVaultを設定すると、macOSが特別な復旧キー(緊急用パスワード)を自動で作ります。普段はいつものパスワードでログインしてデータにアクセスしますが、ログイン情報が壊れてしまった場合、この復旧キーが唯一の救済手段となります。

正直言ってめったに起こらない故障ですが、万が一の場合に備えた重要な安全装置なのです。

これまでの保存方法

これまでは2つの選択肢がありました。まず自分で記録では、復旧キーを一度だけ表示し、ユーザーが紙に書き留めたり、パスワード管理アプリに保存する方法がありました。一方、iCloudに保存では、復旧キーをAppleのサーバーに預けていましたが、十分な保護がない状態でした。

とはいえ、iCloudに保存する方法では、Apple IDにログインできる人なら誰でも、ロックされたMacから復旧キーを取り出せるという問題がありました。

macOS Tahoeでの変更点

Recovery Key_03.

従来方式から新方式への改善

新しい保存方式

Apple TahoeでのFileVaultは、以下の重要な変更を行いました。まずiCloudキーチェーンを使用することで、エンドツーエンド暗号化(強力な暗号化)で復旧キーを保護ます。さらにパスワードアプリからアクセスすることで、他のiPhoneやiPadからも安全にアクセス可能になりました。またいつでもアクセスにより、「表示」ボタンでいつでも復旧キーを確認できるようになったのです。

既存ユーザーへの影響

今使っている設定はそのまま使えます。ただし、新しいMac、macOSの再インストール、FileVaultの再設定時は新しい方法を使うことになります。これまでのiCloudに保存する方法は段階的になくなる予定です。

セキュリティの向上点

エンドツーエンド暗号化

新しい方式では、復旧キーがiCloudキーチェーンでエンドツーエンド暗号化(強力に暗号化)されます。これにより、Apple IDだけでは復旧キーにアクセスできません。信頼できるデバイスからのみアクセス可能になり、Touch ID、Face ID、またはパスワードによる追加の本人確認が必要になります。

管理方法の改善

パスワードアプリでの管理により、使いやすくなりました。Mac版では、シリアル番号を含む詳しい情報が保存されます。一方、iPhone/iPad版では基本的な情報として、復旧キーのみが表示されます。そして複数のデバイス間での同期が可能になったのです。

ユーザーが注意すべき点

Recovery Key_04.

ユーザーの責任増加と適切な管理の必要性

責任の増加

新しい方式では、ユーザーの責任が増します。まずアクセスできるかの確認では、Macが起動しない場合でも復旧キーにアクセスできるか確認が必要です。さらにバックアップの重要性として、iCloudキーチェーンが使えない場合に備えて、パスワード管理アプリへの保存や紙に書いて安全な場所に保管することが求められます。

おすすめの対策

まず複数の保存方法として、iCloudキーチェーンとパスワード管理アプリの両方を使うことをお勧めします。次に定期的な確認では、時々復旧キーが取得できるかチェックすることが大切です。最後に安全な場所への保管として、金庫などの安全な場所に紙で保管することも検討しましょう。

変更への対応

既存ユーザー

現在の設定は続けて使えます。ただし、FileVaultをオフからオンにすると新しい方法に変わります。段階的な変更なので、慌てる必要はありません。

  1. [システム設定] > [プライバシーとセキュリティー]を選択します
  2. [復旧キー]の表示をクリックします

    3. Recovery Key_11.

  3. このMacでのログインキーを入力し{OK}をクリックします

    4. Recovery Key_12.

  4. 復旧キーが表示されます

    5. Recovery Key_13.

新規ユーザー

自動的に新しい方法を使うことになります。設定時に復旧キーの保管場所をよく考えて、複数の安全な保管方法を組み合わせることをお勧めします。

技術的な詳細

暗号化の仕組み

Apple Silicon Macでは、ハードウェアレベルでの暗号化が常に動作しています。FileVaultは起動時の保護システムとして機能し、T2セキュリティチップやM-seriesチップによる高速処理を実現しています。

速度への影響

現代のCPUに内蔵された暗号化回路により高速処理が可能です。SSDとの組み合わせで、暗号化による速度低下はほぼありません。つまり、普段使いでの速度への影響はほとんどないのです。

まとめ

macOS TahoeでのFileVaultの変更は、セキュリティの大幅な向上をもたらします。エンドツーエンド暗号化(強力な暗号化)により、これまでのiCloudに保存する方法の弱点を解決し、より安全な復旧キー管理を実現しています。

一方で、ユーザーはより積極的に復旧キーの管理に関わる必要があります。複数の安全な保管方法を用意し、万が一の際にアクセスできることを確認することが重要でしょう。

この変更は、プライバシーとセキュリティを重視するAppleの姿勢を示すものであり、長期的にはユーザーにとってより安全な環境を提供するものと言えるでしょう。

出典: FileVault on macOS Tahoe uses iCloud Keychain to store its Recovery Key – Six Colors


LEAVE A REPLY

*
*
* (公開されません)