最近のMacでFileVaultとT2セキュリティチップが連携する仕組み

最近のMacでFileVaultとT2セキュリティチップが連携する仕組み

最近のMacには、独自のSecure Enclaveを搭載したT2セキュリティチップが搭載されており、このチップは、iPhoneやiPadと同じように高いレベルのセキュリティを実現する、改ざん耐性のあるシリコンです

Touch IDを有効にしてApple Payをラップトップで使えるようにするために使われていますが、フルディスク暗号化を含む他の多くのタスクにも対応しています

Apple T2 セキュリティチップを搭載したコンピュータ

  • iMac (2020 年に発売されたモデル)
  • iMac Pro
  • Mac Pro (2019 年に発売されたモデル)
  • Mac mini (2018 年に発売されたモデル)
  • MacBook Air (2018 年以降に発売されたモデル)
  • MacBook Pro (2018 年以降に発売されたモデル)

T2以前のモデルでは、macOSはFileVaultを使用してディスク上のすべてのデータを暗号化するために、ソフトウェアとハードウェアで高速化された暗号化を組み合わせて使用します、FileVaultは、 「システム環境設定」>「セキュリティとプライバシー」の「FileVault」タブでオン/オフを切り替えることができます


FileVaultがこれらの古いMacで初めてドライブを完全に暗号化し、実行中にシステムを停止させるには、かなり長い時間がかかる場合があります、その後、Macは通常、データが暗号化されていない場合とほぼ同じ速度でライブの読み取りと書き込みを処理します

FileVaultは、ディスクに保存されているデータを簡単に抽出できないようにします、データは、キーにアクセスできなければ、データはただのデジタルゴミの塊になってしまいます

また、Mac上のFileVaultにリンクされたアカウントの1つのパスワードなしでキーを取得することはできず、ドライブのロックを解除するために起動時に入力する必要があります。

T2搭載MacでFileVaultがオフになっていると、Macからうまくドライブを取り出したとしても、コンテンツにはアクセスできません、これは、FileVaultで保護されていないコンテンツを完全に読み取ることができるT2以前のMacよりも優れています

これは、基本的なセキュリティの向上です。(その結果、「探す」アプリのデバイスで「このデバイスを消去」コマンドを受信したT2搭載のMacは、T2チップを搭載せずに「FileVault」を有効にしたMacと同様に、ほぼ瞬時に「消去」されるようになります)

ただし、FileVaultを有効にしていない場合、Macを起動するだけで、アカウントに自動的にログインしなくてもディスク全体の暗号化が開始されます、暗号化はT2チップのSecure Enclaveが管理するハードウェアキーにロックされていいますが、Macがログイン画面を起動するとすぐに復号化が開始されます

悪意のあるユーザがmacOSを破壊したり、ハードウェアメソッドを使用してマウントおよび実行中のドライブからデータにアクセスしたりする可能性があります


しかし、FileVaultを有効にすると、T2搭載のMacは、ソフトウェアでディスク暗号化を処理するMacと同じ起動動作をします、Recoveryパーティションは、macOSを直接ロードするのではなく、FileVaultを使用できるアカウントのパスワードを入力する必要がある特別なモードで起動します、パスワードが入力されるまで、ディスクの内容は保存されているかのように暗号化されたままです

セキュリティと安心感を最大限に高めるには、T2搭載のMacでFileVaultを有効にすることです

T2チップはすでにドライブを暗号化しているため、オーバーヘッドも遅延もありません、FileVaultはすぐに有効になります

(Via Macworld.)


LEAVE A REPLY

*
*
* (公開されません)