私達はMacやPCを使う場合、セキュリティ上の理由でログイン認証をかけることが殆どです。パスワードを入力しないとログイン出来ないアレです。

しかし、もし第三者にHDDSSDを抜き取られたり、別のPCと直に接続されればデータを読まれてしまう場合があります。その理由は、データが平文で(暗号化されずに)そのまま格納されているからです。

これを防ぐため、Macは2003年10月リリースの「Mac OS X v10.3 Panther」からディスク暗号化機能「FileVault」を標準搭載しています。

Macより3年遅れ、Windowsも同様の機能をOSに搭載しました。2006年11月に発売された「Windows Vista」以降、「BitLocker」の名称で存在する機能がそれです。

10年ほど前までは、暗号化によってCPU負荷が上がり、処理が重くなることを懸念されていました。現在はCPU性能の向上によって、FileVaultのONとOFFの処理速度差を体感するのは不可能なレベルに達しています。

ディスクを暗号化しておけば、Macを紛失または盗まれてもそのままでは読み出すことが出来ないので、データ流出のリスクを低減することができます。Macを使っているなら、初期状態でOFFになっているFileVaultをすぐに有効化するべきでしょう。

情報漏洩のリスクは暗号化の有無だけではない

データが盗み見られるリスク要因のひとつに「ソーシャル・エンジニアリング」があります。

例えば、パスワード入力時のキータッチを横から覗き見されれば、暗号強度など関係ありません。極端な話、キーボードの位置に向けて隠しカメラを回しておけばいいだけです。

また、ログイン時のキー打音からパスワード文字数など簡単に推測できますし、タイピング音の感覚から指の移動箇所をある程度絞り込むことすら可能です。

暗号化を正面から突破するより、人の行動やちょっとした油断から「パスワード文字列」を推測する方がはるかに簡単です。中でも、ハニー・トラップは人間心理を利用した高度なソーシャル・エンジニアリング手法のひとつです。

以上の事から、いくら暗号強度を高めても、下記に無頓着であればあまり意味が無いこともあります。

  • ログイン時は周辺に人目がないことを確認しているか
  • パスコード入力時はキーボード面をしっかり隠しているか
  • キー打音が出ないようにゆっくり静かにタッチしているか
  • 入力するタイミングや指の移動スピードを都度変えているか
  • アスタリスク「##」で入力文字数が一目瞭然だったりしないか (※Mac標準)
  • ハードまたはソフトでキーロガーが仕掛けられていないか
  • パソコン利用中に擦り寄ってくるハニー・トラッパーみたいな人がいないか

クラッキングは殆どの場合、暗号方式の正面突破ではなく「パスワード文字列を盗む、推測する」ソーシャル・エンジニアリングを用いて行われています。

外付けドライブも暗号化しよう!

FileVaultでMacをしっかり暗号化したら、今度はお手元のリムーバブルドライブ(外付けHDD・USBメモリ等)を暗号化しましょう。

接続時に都度パスコードが求められ、紛失時のデータ流出リスクを低減できます。外付けドライブはMac本体より小さく、無くし易いので、優先度は高めの方が良いでしょう。

外付けドライブの暗号化はMacの「ディスクユーティリティ」で行います。フォーマットの項目で「Mac OS 拡張 ジャーナリング 暗号化」を選びます

パスワードを設定します。強度も判定してくれますし自動生成も可能です

以上の2ステップで、手元の外付けHDDドライブやUSBメモリを暗号化できます。パスワード強度はデータ流出リスクに直結するため、可能な限り強固なパスワードを設定するべきでしょう。

「Mac OS 拡張 ジャーナリング」はMacのファイル形式「HFS+」でフォーマットが行われるため、Windows標準では認識しません。よって、Windows端末との互換性を重視するなら「ExFAT」または「FAT」形式でフォーマットする必要があります。

困ったことに、FAT系のファイルシステムに対しては、ディスクユーティリティから暗号化をかけることができません。この場合はファイル自体を暗号化し、パスワードを設定するなどして自己防衛することが望ましいですが、ファイル単位の暗号化はとても面倒なので導入が億劫になります。

よって、ディスク全体を暗号化することが簡単にセキュリティを高める一つのポイントなのです。

「Time Machine」も暗号化しよう!

Macには「Time Machine)」という全自動バックアップシステムが搭載されています。暗号化された外付けHDDをバックアップ先にしているならそのままでも問題ありませんが「Time Capsule」を家族全員のMacのバックアップ先として使っている場合など、暗号化によって運用の煩雑化が懸念されるときもあります。

そのような場合は、バックアップ先に作られる自分のTimeMachineイメージを各自で暗号化することができます。

設定をONにするとパスワードが求められ、これを忘れると二度とバックアップから復元出来なくなります。TimeCapsuleは持ち歩くものではないので、自宅に侵入したドロボウに持って行かれた場合などのレアな機会に限定されますが、データ流出リスクに一定の低減効果を発揮します。

今はディスク暗号化が必須の時代

紛失したディスクがもし暗号化されてなければ、第三者の手に渡った瞬間にデータは見られ放題です。でも、もし暗号化が施されていれば簡単に読むことはできません。そう考えると「暗号化しない」状態がいかに無防備かおわかり頂けると思います。

Macには「FileVault」を設定し、外付けディスクも暗号化して安心のMacライフを楽しみましょう!

(image by 著者)