Mac紛失時のデータ漏洩を防ぐ「FileVault」はオンにすべき？

　Macの設定の中でも、初心者から中級者にとって分かりにくい機能の1つがストレージ暗号化機能「FileVault」です。何のための機能なのか、またオフのまま使うと何が変わるのかを十分に理解しないまま利用している人も少なくないでしょう。本記事では、FileVaultの基本的な仕組みや有効化による効果、注意点について解説します。

FileVaultは、Macのセキュリティ機能の中でも重要なものの1つです。正しく活用するためにも、基本をしっかり理解しておきましょう

Macのデータを保護するFileVault

　FileVaultは、ユーザが意識しなくても、Mac内のデータを強力な暗号化で保護するセキュリティ機能です。

　「暗号化」と聞くと難しく感じられるかもしれませんが、Macのストレージに保存されたデータを第三者が勝手に読み取れないよう保護する仕組みと考えると分かりやすいでしょう。

　FileVaultを有効にするとMac内のデータは暗号化され、起動時にログインパスワードで認証されたユーザだけがデータにアクセスできるようになります。

　これにより、万が一Macを紛失したり盗難に遭ったりした場合でも、第三者によるデータの不正な読み取りを防ぎ、情報漏洩のリスクを低減できます。

　FileVaultは初期セットアップ時に有効化できるほか、あとからでも「システム設定」を開き、[プライバシーとセキュリティ]から[FileVault]の項目をオンにすることで利用できます。

Macを初めて使い始める際にFileVaultを有効にするには、macOSのセットアップ画面で[オンにする]を選択します

FileVaultをオンにすると、24文字の英数字からなる「復旧キー」(パスワードを忘れた場合にデータへアクセスするためのコード)が作成されます

初期セットアップ時にFileVaultをオンにしなかった場合は、「システム設定」を開き、[プライバシーとセキュリティ]から[FileVault]を選択して有効にできます

FileVaultをオンにするには、そのMacの管理者権限が必要です。管理者のユーザ名とパスワードを入力して有効化します

暗号化の処理が開始され、終了すると復旧キーが表示されます。紙のメモなどに書き取り、安全な場所に保管しておきましょう

FileVaultを有効化する理由とは？

　FileVaultの歴史は意外と古く、初めて搭載されたのは2003年にリリースされたMac OS X Pantherです。当初はユーザの[ホーム]フォルダだけを保護する機能でしたが、2011年のMac OS X Lionで「FileVault 2」へと進化し、ストレージ全体を暗号化できるようになりました。

　その後、2017年にリリースされたmacOS High SierraでファイルシステムがAPFS(Apple File System)へ移行し、AES-XTSによる強力な暗号化が採用されたことでデータ保護の仕組みはさらに強化されています。

　しかし、現在のMacではFileVault以外のセキュリティ機能も大きく進化しています。

　たとえば、Appleシリコン搭載MacやApple T2セキュリティチップを搭載したIntel Macでは、FileVaultの設定に関わらず内蔵ストレージのデータは標準で暗号化されます。

　そのため、「FileVaultはオンにしなくても平気なのでは？」と疑問に思う人もいるでしょう。

　しかし、この仕組みはMacごとに割り当てられたハードウェアUID(ユニーク識別子)と、「Secure Enclave」と呼ばれるセキュリティ専用の領域を利用したハードウェアベースの暗号化です。

　つまり、Mac本体が盗難に遭った場合は、ハードウェアと一体化した暗号化データもそのまま攻撃者の手に渡ることになり、保護効果は限定的なものになります。

　一方、FileVaultを有効にすると、データへのアクセス条件にユーザ認証が追加されます。ハードウェアによる暗号化に加えて「正しいユーザによる認証」が必要になるため、セキュリティはさらに強化されます。

　たとえるなら、データの入った「金庫」を開けるために、「その鍵」に加えて、「正しいユーザがパスワードを入力すること」が必要になるイメージです。

　ただし、Macがすでにログイン済みでロックされていない状態だったり、ログインパスワードが第三者に知られていたりすると、FileVaultによる保護は十分に機能しませんので注意しましょう。

　なお、FileVaultを有効にしている場合、Mac同士を直接接続してデータをやり取りする「ターゲットディスクモード」やmacOS復旧の「ディスク共有」を利用する際にも、管理者権限を持つユーザのログインパスワードによる認証が必要となり、認証がない場合はデータへアクセスできません。

Appleシリコン搭載MacおよびApple T2セキュリティチップを搭載したMacにおけるFileVaultの暗号化の仕組みについては、Appleの公式ドキュメントで詳しく解説されています

FileVaultを有効にするデメリットは？

　FileVaultはMacのセキュリティを強化するうえで重要な機能ですが、有効化にあたってはいくつか留意しておきたい点もあります。

　たとえば、復旧キーを紛失するとデータの復旧が困難になることや、複数のユーザで1台のMacを共有する場合に設定がやや煩雑になること、自動ログイン機能が利用できなくなることなどが挙げられます。

　もっとも、これらは実用上大きなデメリットとまでは言い切れないため、特別な理由がない限りはFileVaultを有効にしておくのが現実的でしょう。

　「FileVaultをオンにするとMacの動作が遅くなる」といった指摘もありますが、これは現在では大きな誤解です。

　確かにApple T2セキュリティチップが搭載されるよりも前のIntel Macでは、暗号化に時間がかかる場合がありました。

　しかし、APFSの導入以降は仕組みが最適化されており、Appleシリコン搭載MacおよびApple T2セキュリティチップ搭載Macでは暗号化処理は短時間で完了し、日常利用において体感速度への影響はほとんどありません。

macOS Tahoeで変わった復旧方法

　FileVaultをオンにした状態でログインパスワードを忘れてしまった場合は、データにアクセスできなくなる可能性がありますが、復旧のための仕組みはAppleによって用意されています。

　ただし、その設定方法はmacOSのバージョンによって変化しているため注意が必要です。

　2024年9月にリリースされたmacOS Sequoia以前は、セットアップ時や「システム設定」からFileVaultを有効にする際に、起動ディスクのロック解除方法としてiCloudアカウントを利用する方法と、復旧キーを作成して利用する方法を選択できました。

　一方、現行のmacOS Tahoe以降では、FileVaultを有効にすると復旧キーが自動的に作成され、その復旧キーを使ってパスワードをリセットする仕組みが基本となります。

　従来のように複数の選択肢からロック解除方法を選ぶ流れではなくなっているため、復旧キーの管理がより重要になります。

　なお、復旧キーは「パスワード」アプリにも自動的に保存され、同じApple AccountでサインインしているiPhoneやiPadから確認することも可能です。

「パスワード」アプリの検索欄で「FileVault」と入力してマシン名を選択し、[復旧キー]をクリックすると確認できます

外付けストレージのデータを守るには？

　ここまでFileVaultの仕組みや利用方法、注意点について解説してきましたが、最後に「FileVaultがどこまでを保護する機能なのか」についても知っておきましょう。

　FileVaultが対象とするのは基本的にMacの内蔵ストレージであり、外付けSSDやHDDなどの外付けストレージは自動的には暗号化されません。

　もし外付けストレージのデータを保護したい場合は、「ディスクユーティリティ」でAPFS形式にフォーマットしたうえで、Finderから副ボタンクリックして[暗号化]を選び、独自のパスワードを設定しましょう。

　なお、Time Machineでバックアップ先として使用している外付けストレージは、初期設定時に「バックアップを暗号化」を有効にすることでバックアップデータを保護できます。

APFS形式でフォーマットされた外付けストレージを副ボタンクリックすると、[暗号化]を選択できます。ここで設定した暗号化パスワードは、ログインパスワードやFileVaultの復旧キーとは別に管理する必要があります

FileVaultをオンにした状態で「ディスクユーティリティ」から内蔵ボリュームを確認すると、[APFS (暗号化)]と表示されます。FileVaultはAPFSによる暗号化を用いて、起動ボリュームを保護しています