スリープ解除を「すぐに」に設定する
Macの中にあるデータや機密情報の盗難といえばどんな方法を思い浮かべるでしょうか。ハッキング? それともウイルス? もちろんそれも間違いではないのですが、実は情報漏えいのほとんどは離席中などに発生し、ユーザが「目を離した隙」にデータを盗み見られているのです。そのため、作業中のMacから離れるときには必ず、ほかの人が触れないようにロックをかけるのがMacのセキュリティにおける大原則です。
これを実現するためにOS Xにはシステム環境設定の中の[セキュリティ]パネルに[スリープとスクリーンセーバの解除にパスワードを要求]という項目が用意されています。これを開始後[すぐに]に設定しておけば、もう大丈夫です。ひとたびスリープしたり、スクリーンセーバが起動すれば必ず自分のログインパスワードを入力する必要があるため、第三者にデータを盗み見られるリスクがぐっと低くなります。これがセキュリティの第一歩です。
パスワード要求のオプションは標準でオンにですが、最初は「1分後」の設定なのでこれを変更しましょう。
設定がオンになれば、必ずログインパスワードが求められるため、第三者の盗み見をなくすことができます。
自動ログインを使用不可にする
起動時にログインパスワードがいらない状態になっている人もいるかもしれません。その場合、Macの電源を入れるとシステムが読み込まれて、やがてファインダが表示され、すぐに使用可能な状態になります。これは「自動ログイン」が設定されているからで、古くからMacを使っている人ほど、そのような設定にしているのではないでしょうか。しかし、電源を入れた直後の無防備な状態をさらすのは安全面から考えるとやはり問題です。
最近のOS Xではこの自動ログインは標準では使われなくなりましたが、より安全に運用するのであれば、システム環境設定の中にある[ユーザとグループ]パネルの[ログインオプション]から[自動ログイン]を[切]にしておくことをおすすめします(最近のOS Xでは、標準で[切]になっています)。電源投入のたび、その都度パスワードを入れるのは面倒に感じるかもしれませんが、第三者にMacを使用されるリスクは回避することができるでしょう。
システム環境設定の中にある[ユーザとグループ]パネルの[ログインオプション]をクリック。[自動ログイン]を[切]にするだけでOKです。
ログインパスワードにアイクラウドパスワードを使用するよう設定すると、自動ログインは必ず不可になります。
Gatekeeperで制限をかける
最近は有名タイトルのソフトに偽装したウイルスが多く出回っているため、「どれが正しいソフトなのかわからない」という現状があるのも確かです。そうした事象への対策として、先述のとおり、OS Xにはゲートキーパーというセキュリティ機能が搭載されています。そうした悪意のある攻撃に対する防護壁として、Macをしっかり守ってくれるのです。ただし、ゲートキーパーが見張ってくれるのはインターネット上からダウンロードしたソフトウェアのみ。USBメモリ等で持ち込んだソフトウェアに関しては監視することができません。
さて、ゲートキーパーを有効にするためには、システム環境設定にある[セキュリティとプライバシー]パネルの[一般]から設定します。[ダウンロードしたアプリケーションの実行許可]では、①[Mac App Storeからのアプリケーションのみを許可]、②[Mac App Storeと確認済みの開発元からのアプリケーションを許可]、③[すべてのアプリケーションを許可]が選択できます。基本的には①か②に設定しておくことをおすすめします。こうしておけば、アップルから開発者認証された「本物の」ソフトウェアだけが動作するようになります。ちなみに、①を選択するとMacアップストアでダウンロードしたソフトウェア以外の実行許可が出なくなります。
もし、認証されていないソフトウェアを開きたい場合は、該当ソフトを[コントロール]キー+クリックして[開く]を選ぶとゲートキーパーを無視することができます。そのほか未認証のソフトだと警告が出たあとに、先ほどのシステム環境設定画面にアクセスし、このまま[開く]をクリックしても同様に実行することができます。
ゲートキーパーの設定で、[Mac App Storeからのアプリケーションのみを許可]を選択すると、Macアップストアからダウンロードしたもの以外の起動を許可しません。
ゲートキーパーのチェックで認証が確認できないソフトウェアは警告が表示され、起動されません。
認証されていないソフトウェアを開く場合は、該当ソフトを[コントロール]キー+クリックして[開く]を選びます。システム環境設定の[セキュリティとプライバシー]パネルの[一般]から、[開く]を選択しても同様です。
ホットコーナーを設定する
離席中の不正アクセス防止のために[スリープとスクリーンセーバの解除にパスワードを要求]をオンにはしたものの、自分がいない間もデータのダウンロードやエンコードは続けさせたいのでスリープは困る…。そんなときには「ホットコーナー」を活用してみましょう。
システム環境設定の中の[デスクトップとスクリーンセーバ]パネルの右下にある[ホットコーナー]を設定すると、画面の四隅、任意の箇所にカーソルを移動させることで特定の機能が動作するように割り当てられます。四隅のどこかにスクリーンセーバなどを設定すれば、席を離れるときに少しカーソルを動かすだけで安全に画面ロックをすることができます。たとえば、メニューやゴミ箱の位置と干渉しない、左下にカーソルを持っていけば、すぐにスクリーンセーバを起動させる設定などがおすすめです。液晶全盛となりディスプレイ保護という意味では使われなくなったスクリーンセーバですが、実はセキュリティの強い味方として今でも欠かせないパートナーなのです。
[デスクトップとスクリーンセーバ]パネルの右下にホットコーナーの設定はあります。ちなみに、画面ロックとして利用できるのは「ディスプレイのスリープ」か「スクリーンセーバを開始する」のどちらかです。
ホットコーナーは画面の四隅に設定できますが、おすすめはメニューやゴミ箱に干渉しない左下です。
ファームウェアパスワードを設定する
OS Xのログインパスワードには、万が一忘れてしまったときに強制的にリセットすることができるメンテナンスツール「リセットパスワード」が存在します。これは通常の起動システムには入っておらず、サポート用の領域から起動したときにだけ実行できますが、裏返すと、この利用方法を知っていれば誰でもリセットして管理者権限を奪うことが可能ということになります。そこで利用したいのが「ファームウェアパスワード」です。[コマンド]キー+[R]キーを押しながら電源を入れると、起動してくるリカバリディスク(システム)に付属する「ファームウェアパスワードユーティリティ」を使ってパスワードを設定し、これを有効にするとリセットパスワードを筆頭とした先述の機能たちを利用制限することができます。最近ではアイクラウドの機能の1つである「Macを探す」を使うと、リモートでファームウェアパスワードを設定することができるので、紛失時対策としても有効な手段です。
万が一、ファームウェアパスワードを忘れてしまった場合は、アップルストアもしくはアップル正規サービスプロバイダで修理サービスの手続きを行うしかありません。また、その際には購入証明書(レシートの原本または請求書)が必要になります。ちなみに、ファームウェアパスワードはMacBookエア (Late 2010以降)、MacBookプロ (Early 2011以降)、MacBookプロ・レティナディスプレイモデル (全モデル)、MacBook (Early 2015)、iMac (Mid 2011以降)、Macミニ (Mid 2011以降)、Macプロ (Late 2013)が対象となっており、これ以外は設定することができません。
ファームウェアパスワードを設定するにはリカバリーシステムから起動し「ファームウェアパスワードユーティリティ」を使います。
ファームウェアパスワードが設定されたMacは制限された機能を実行しようとすると必ずパスワードが求められます。
ファームウェアパスワードで無効にできるもの
●リカバリシステムからの起動
●ターゲットディスクモード
●指定された起動ディスク以外からの起動
(NetBootやスタートアップマネージャの使用禁止)
●NVRAM(PRAM)リセット
●シングルユーザモードでのシステムの起動
●セーフブートでの起動
●Verboseモードでの起動
アップデートを自動インストールにする
ソフトウェア面でのセキュリティでもっとも重要なのは「システムを常に最新の状態に保つこと」だといわれています。どんなに優れたセキュリティ対策ソフトを入れていても、そのベースにあるOSに脆弱がある状態ではMacの安全性を保つことはできません。アップルはCDSA(Common Data Security Architecture)など複数のオープンソース・セキュリティシステムを採用しており、ソフトウェアアップデートや単独のセキュリティアップデートを迅速に提供することでシステムの安全性を高めています。
しかし、これを私たちユーザがインストールし忘れてしまっては意味がありません。そこでおすすめしたいのがアップデートを「自動インストール」にすることです。システム環境設定の[App Store]パネルから[システムデータファイルとセキュリティアップデートをインストール]にチェックを入れておくことで、最新のセキュリティアップデートが適用されたシステム状態を保つことができます。
システム環境設定の[App Store]パネル内にある設定項目ですが、おすすめは[アップデートを自動的に確認]に属する項目はすべてオンにすることです。こうすることで自分が利用しているシステムやソフトが常にセキュリティ対策された最新に自動的にアップデートされた状態で利用できるようになります。
アップデートを自動で確認をオンにすると、ソフトウェアアップデートをアナウンスする通知が表示されるようになります。
FileVaultを有効にする
「ログインパスワード」を設定することは、通常の方法で自分のMacの不正使用やデータの盗難を防ぐ方法としては有効ですが、Macそのものを物理的に盗まれたり、別のMacへ「ターゲットディスクモード」を使って接続されてしまった場合には、データそのものを抜き出すことが可能になります。これを防ぐために用意されているのがファイルボルトです。
Macのシステムボリューム全体を暗号化してデータを保護するこの機能は、システム環境設定の中の[セキュリティ]パネルから有効にすることで、管理者パスワードなしではどんな方法を使ってもデータを抜き出すことができなくなります。持ち運びができるMacBookシリーズなどを使うビジネスユーザの間では、もちろん、顧客情報の漏洩防止などの観点から有効化を義務づける企業も増えるなど、その実用性の高さも折り紙つきです。
設定を変更するには、管理者パスワードを入力する必要があります。[FileVaultを入にする]をクリックします。
復旧キーとして、アイクラウドアカウントを使用するか、独自にキーを作成するかを選びます。
MacBookシリーズの場合、暗号化の際には電源につながれている必要があります。暗号化が完了すれば、ファイルボルトが有効になります。
【SPECIAL COLUMN】
改めて見直したいインターネットサービスのセキュリティ
インターネットが発達し、いつでもどこでも欲しい情報が手に入るようになった現代ですが、同時にデータが置かれている場所もローカル(自分のMacの中)ではなく、クラウド(インターネット上)へと主軸を移しつつあります。このときに重要になってくるのが、それぞれのサービスにログインするための「ID」と「パスワード」です。
専門家によると、「良いパスワード」というのは「連想されにくい」「覚えにくい」「十分な長さがある」という3つからできているものなのだそうです。自分や家族の名前、生年月日を含んでいたり、一般的な単語で作られたパスワードは容易に突破されてしまうと指摘されており、なるべくこういったものを避けるのがセオリーでしょう。また、パスワードを使い回すことも非常に危険で、1つのサービスで情報漏えいなどの被害が出た際に多くのサイトから連鎖的に被害が出てしまうのは、多くの人が複数のサービスで同じパスワードを使い回していることが原因です。
この問題はツイッターやフェイスブックなどのソーシャルアカウントでもっとも被害が大きく、これらのサービスで利用しているパスワードが解かれてしまうと、連係しているすべてのサービスで自分の情報が漏れてしまいます。近年よく目にする「◯◯アカウントでログイン」という機能ですが、便利な反面、セキュリティ視点で見ればパスワードの使い回しをしているのと本質的には大差がなく、非常に脆弱な状態にあるといえるでしょう。
とはいえすべてのサイトで違うIDやパスワードを設定し、覚えておくのは非常に困難です。そこで利用したいのが「キーチェーン」です。キーチェーンはインターネットサービスで利用するパスワードを記録し、ログイン時に私たちに代わって自動的に入力してくれるものです。最近では新規パスワードの生成も自動で行ってくれるようになったため、ランダムで強固なパスワードを設定して自動入力してもらうこともできます。キーチェーンはマスターパスワード(通常はMacのログインパスワード)で保護されるため、私たちが気にかけなければいけないのは1つのパスワードだけに絞られるのも優れた点です。
これに加えて昨今では「2段階(2ステップ)認証」を採用するサービスも増えてきました。これはサービスにログインする際に都度、あらかじめ登録しておいた電話端末に対しSMSでその場だけで使える認証コードを送信して、同じものを画面上に入力させる「二重ロック」のような仕組みです。これらのセキュリティ手段は便利なサービスを自由に使えるようになった反面、自分の「財産」を守るためにも欠かせないものになりつつあります。キーチェーンや2段階認証をうまく組み合わせて安全性を高めながら、なるべく少ないコストで運用ハードルを下げる工夫をするのがコツだといえるでしょう。
「◯◯アカウントでログイン」という機能は一見便利ですが、パスワードの使い回しとさほど大差はないのです。
キーチェーンを使えば、ランダムで強固なパスワードを作成できます。複雑な文字列を覚えなくてもいいので、使わない手はありません。