Macの暗号化は多くの概念があってわかりづらいです。混同されがちな「FileVault」とファイルシステムフォーマットの「APFS(暗号化)」という言葉が示すものの違いについて説明します。それを理解するには近年導入されたSecure Enclaveというセキュリティシステムとの関係を抑えておくことが重要になります。
もくじ
結論から言うとほとんど同じ意味
まず、「FileVault」というのはMacのディスク暗号化機構全般を指し、特定の暗号化方式を指すわけではありません。具体的な暗号化方式は場合によって違います。
APFSというファイルシステムフォーマットに対して、Macが暗号化した(FileVaultを適用した)ものが「APFS(暗号化)」ということになります。
そして、古いが未だにディスクユーティリティで選択可能なフォーマットの「Mac OS拡張(ジャーナリング)」にMacが暗号化(FileVaultを適用した)したものが「Mac OS拡張(ジャーナリング、暗号化)」となります。
未だに選択可能とはいえ、「Mac OS拡張」、つまりHFS+はなくなっていきます。また、他に選択可能なWindows互換のフォーマットは暗号化を選択できません。なので、ディスクの暗号化と言えば、APFS(暗号化)に一元化されていくと思われるので、
FileVault ≒ APFS(暗号化)
と言えます。
以上の理解で良いのかサポートにも確認しましたし、次の公式ドキュメントの表現からも推察できます。
このページの冒頭に以下のようにあります。
FileVaultでは、AES-XTSデータ暗号化アルゴリズムを使用して、内蔵ストレージデバイスとリムーバブル・ストレージ・デバイス上のボリューム全体が保護されます。
ここから、内蔵ディスクでも外付けディスクでもFileVaultの対象だとわかります。そしてこのページの最下部に以下のようにあります。
リムーバブル・ストレージ・デバイスの暗号化では、Secure Enclaveのセキュリティ機能は使用されず、T2チップが搭載されていないIntelプロセッサ搭載Macと同じ方法で暗号化が行われます。
ここから、FileVaultはSecure Enclaveを使わない場合の暗号化も含んでいると理解できます。つまり、Macのディスク暗号化機構全般をFileVaultと呼ぶと推察できます。
個人的には、もっとわかりやすくするために、FileVaultという言葉を無くして単に暗号化と呼ぶか、「APFS(暗号化)」ではなく「APFS(FileVault)」という記載にするのどちらかにした方が良いと思います。
Macセットアップ時に選ばさせられるFileVaultのON、OFFって
上のように考えるとシンプルなのですが、誤解を呼びやすくしているのが、Macの初期セットアップ時に選ばさせられるFileVaultのON、OFFです。これは、セットアップ後に、「システム設定」から「プライバシーとセキュリティ」にあるFileVaultの「オンにする」「オフにする」と同じ設定です。
これは内蔵ディスクを「APFS」ではなく、「APFS(暗号化)」にしますか?
という意味なのですが、ディスクの操作で使うディスクユーティリティではFileVaultという言葉を使わないので混乱を生みやすくなっていると思います。以下はセットアップ時にFileVaultをONにした後の、ディスクユーティリティでの表示です。
「APFS(暗号化)」とのみ表示されています。ここはもしFileVaultをOFFにしていると、ただの「APFS」と表示されます。
上はDataというボリュームですが、Machintosh HDというボリュームも同じです。
内蔵ディスクだけ特別扱いする理由もある
ドキュメントではFileVaultは暗号化全般を指しているのに、インターフェイスでは内蔵ディスクに対する暗号化だけ、仰々しくFileVaultと表現していたり、システム設定にそれ用の項目があったり、と特別扱いしているように見えます。しかし、その理由と思える事情もあります。
FileVaultの具体的な暗号化方式は場合によって違うと前述しましたが、内蔵ディスクに対するFileVaultのみ、基本的にSecure Enclaveというセキュリティシステムを介して暗号化が行われます。外付けのハードディスクなどに対するFileVaultでは従来のIntel Macで行われていた暗号化方式が使われます。Secure Enclaveを介する暗号化のメリットデメリットは以下で詳述していますが、簡単にいうと、暗号化がハードウェアのチップと一体化するので、データが保存されているSSDのみなら悪い人に奪われてもデータを守れるのと、専用のチップで処理されるのでCPUやメモリーに負荷をかけないというものです。
Secure EnclaveはAppleも気合いを入れて作っているだろうし、ユーザへのデメリットも無くはないので、内蔵ディスクへの暗号化のみインターフェイス上の扱いが違うと考えられます。
内蔵ディスクのみSecure Enclaveの対象の理由
原理的には外付けのディスクにもSecure Enclaveを介した暗号化はできそうに思えます。
ただ、外付けディスクのデータをSecure EnclaveでMacのハードウェアと一体化させてしまったら、他のデバイスからそのデータを開けなくなってしまいます。また、外付けのディスクにはTime Machineなどのバックアップを保存するユースケースが多いと考えられます。Macを失くしたり壊したりした時のためのバックアップなのに、他のデバイスから開けないというのは致命的です。
外付けのディスクに対しての暗号化は、Secure Enlaveを介するのではなく、従来のIntel Macで行われていた暗号化方式が使われている理由は、このような事情からだと推測します。
とはいえ、絶対にこのMacでしか使わない外付けディスクというユースケースも無くはないので、選べるようにしてもいい気もしますが。
例外的に内蔵ディスクでもSeure Enlaveが使われないケース
ここからは超例外的なお話になりますが、ここまでのお話の理解を深めるためには参考になると思います。興味本位で私がサポートの方から聞いた内容です。
内蔵ディスクへのFileVaultつまり、内蔵ディスク内のAPFS(暗号化)というフォーマットでも、Secure Enclaveが使われず、外付けディスクと同じ暗号化方式が使われるケースもあります。
FileVaultをONにして、Secure Enclaveの対象となる内蔵ディスク内のボリュームはMac OSのシステムが入っているボリュームのみです。OSのバージョンやデバイスで違うかもしれませんが、私が使っているM2 Macbook Air(13.0)の場合、以下の2つのボリュームとなります。
- Machintosh HD
- Data
セットアップ完了時、デフォルトではこの2つのボリュームしかありません。
もし、ディスクユーティリティで、内蔵ディスク内に新たにボリュームを作り、フォーマットで「APFS(暗号化)」を選んだ場合、Secure Enclaveを介する暗号化ではなく、Intel Macで行われていた暗号化方式が使われます。
その場合、ディスクユーティリティ上では、既存の2つのボリュームとともに新しく作ったボリュームの全てが「APFS(暗号化)」と表示されます。しかし、適用されている暗号化が新しいものだけ違うことになり、少しややこしいですが、ざっくり「Machintosh HD」と「Data」という名前はSecure Enclave対象で、それ以外の名前は対象外と思っても大丈夫でしょう。
厳密に判別する方法としては、サポートの方曰く、暗号化を解除する時に求められるパスワードが通るか通らないかで判断できるということです。既存のボリューム2つの暗号化では、デフォルトではログインパスワードがそのまま使われます。新しいボリュームでは、ボリュームを作る時にパスワードを設定できるので、別のパスワードを設定すれば見分けることはできなくはないそうです。
ここからわかる大事な注意点は、FileVaultがONだからといっても全ての内蔵ディスクのボリュームがSecure Enclaveが使われた暗号化になっていると勘違いして油断しないことです。
例外的に外付けディスクでもSecure Enclaveが使われるケース
こちらも超例外的なケースです。
Mac OSのシステムが入っている「Machintosh HD」と「Data」というボリュームがSecure Enclaveの対象となると前述しました。
もし、外付けディスクをあたかも内蔵ディスクのように、OSをインストールして、「Machintosh HD」と「Data」というボリュームがあるようにし起動ディスクにしてしまえば、Secure Enclaveが適用される、とのことでした。
とはいえ、上記2つの例外は、私は試していません。また、Appleのサポートの方はこれまでの経験だと人によって全く違うことを言う場合があるので、確証があるわけではありません。なので、参考程度にしてみてください。
さいごに
すでに外付けHDDを購入済みの方は以降は読む必要はありませんが、私が使っているバッファローのHDDは、2万円程度で8TBとかなり高コスパです。
タイムマシンを5回走らせましたが、8TB中152GBしか使ってません。まぁ、初回以降は差分しかバックアップしないので、あまり増えないのも当然ですが。なので、これ1台で何年も持ちそうです。
また、通常HDDはSSDと違ってディスクが回転するので音がうるさいのですが、これはHDDと思えないくらい静かで気に入っています。参考にしてみてください。
