週刊アスキー

  • Facebookアイコン
  • Twitterアイコン
  • RSSフィード

外部メディアからの起動は初期状態ではオフに

T2チップ搭載の新MacBook Pro強固すぎるセキュアブートとは?

2018年07月25日 13時00分更新

主にTouch Barのために搭載されていたApple T1チップから大幅に役割が増えたT2チップ。暗号化やセキュアブートのほか、Siriをハンズフリーで利用できる「Hey, Siri」機能なども提供する

 新MacBook Proシリーズには、第8世代Coreプロセッサーとは別にApple T2という別のチップが搭載されている。T2チップは、昨年発売された超ハイエンド一体型マシンであるiMac Proに続いて2例目の採用だ。T2チップ搭載による恩恵はさまざまあるが、最も注目したいのが内蔵ストレージの暗号化とmacOSのセキュアブート(安全な起動)機能だろう。

自分のマシンにApple T2チップが搭載されているかどうかは「システム情報」アプリの「コントローラ」欄で確認できる。iMac Proや新MacBook Proを買った記憶がないユーザーのマシンはむなしい空欄になるだけ

 まずは内蔵ストレージの暗号化。新MacBook ProシリーズはT2チップによって内蔵SSDのデータが瞬時に暗号化されており、ログインできなければデータを読み出せないようになっている。内蔵SSDの暗号化といえばFileVault機能を思い浮かべるMacユーザーも多いと思うが、T2チップによる暗号化とは手法が異なる。

内蔵SSDの情報を見ると、「フォーマット:APFS(Encrypted)」と表示されていた

 FileVaultはボリュームやディレクトリー(フォルダー)単位でmacOSが暗号化するのに対し、T2チップによる暗号化はハードウェアが処理している。具体的にはT2チップが暗号化エンジン(AES エンジン)を内蔵しており、このエンジンを使って256ビットの暗号化が実行されているのだ。もちろん、FileVaultを利用すれば暗号化が二重となりより強固になる。

FileVaultによる二重の暗号化によってセキュリティーはより強固になる。外部ストレージについてもFileVaultでの暗号化がお勧めだ

 2つ目のmacOSのセキュアブート(安全な起動)を説明するには、「システム環境設定」→「起動ディスク」を選んで外付けの起動ディスク(macOSをインストールした起動可能なボリューム)を選ぶと一目瞭然。ダイアログが現れて、「このMacで外部起動ディスクを使用することはできません。」と表示される。つまり、iMac Proや新MacBook Proシリーズでは、初期状態では外部ストレージのからOSを起動できないのだ。

初期状態ではなんと外部ストレージからの起動が不可能になっている

 外付けのハードディスクやSSD、USBメモリーなどを簡単に起動ディスクできるのがmacOSの伝統的な特徴だが、新MacBook Proでは安全な環境を確保するためにあえてこの特徴をオフにしているわけだ。前述した内蔵ストレージの暗号化との組み合わせにより、外部ストレージからの起動により内蔵ストレージのデータを盗み取られるというリスクがほぼなくなる。

 なおセキュアブートの設定はユーザーが自由に変更することが可能だ。「command」+「R」キーを押しながら電源をオンにすると新MacBook Proがあらかじめ用意している復元ボリュームからの起動となり、「macOSユーティリティ」の画面が表示される。

「command」+「R」キーを押しながら電源をオンにすると「macOSユーティリティ」が起動。ここからOSの再インストールやTime Machineからの復旧が可能だ

 ここで「ユーティリティ」メニューから「起動セキュリティユーティリティ」を選ぶと管理者パスワードの入力画面が現れ、入力後に同名のアプリが起動する。このアプリ画面の下にある「外部起動」で「外部メディアからの起動を許可」に切り替えればOKだ。

外部メディアからの起動を許可するには、「ユーティリティ」メニューから「起動セキュリティユーティリティ」を呼び出す必要がある

もちろん管理者パスワードがないと「起動セキュリティユーティリティ」を利用できない

「起動セキュリティユーティリティ」の操作画面。下部にある「外部メディアからの起動を許可」を選ぶとUSBメモリーや外付けストレージからのmacOSの起動が可能になる

 「起動セキュリティユーティリティ」ではこのほか、「安全な起動」の項目で起動時の振る舞いを選ぶことも可能だ。初期状態では「完全なセキュリティ」が設定されており、アップルから信頼されている署名入りのOSであるかどうかが検証され、正当性を検証できなかった場合はOSの検証に必要な最新の整合性情報をアップルのサーバーからダウンロードして再検証。それでも不正の場合は、ソフトウェアアップデートで正規のmacOSをインストールすることか可能になる。

 「中程度のセキュリティ」では、アップルに信頼されたmacOSであるかどうかのみをチェックして最新の整合性情報は取得せず、ソフトウェアアップデートで正規のmacOSをインストールすることか可能になる。最後の「セキュリティなし」は文字通りチェックなしでOSが起動する。

 このセキュアブートは、macOSだけでなくWindowsにも適用され、Boot Camp環境以外の特殊な方法でインストールした場合は正当性が検証できないかもしれない。ちなみに、アップルのサポートドキュメントにはLinuxについての記述はない。

 このように新MacBook Proシリーズは、Apple T2チップによるガチガチのセキュリティーによって個人のデータはほぼ完全に保護されるといっていいだろう。しかし裏を返すと、ログインパスワードを忘れたり、マシンが壊れたりした場合は内蔵SSDのデータを二度と読み出せなくなる。個人のデータは普段からiCloudやTIme Machine機能を使ってバックアップしておきたい。

この記事をシェアしよう

週刊アスキーの最新情報を購読しよう