外付けボリュームを暗号化する
先ほど、ファイルボルトでMacのシステムボリューム全体を暗号化する方法を取り上げました。しかし、内蔵ストレージではなく、外付けストレージの内容の保護についてはいかがでしょう。そのままの無防備な状態では、当然ほかのMacにつながれてしまえば簡単に読み書きができてしまいます。外付けボリュームによる情報漏えいを防止するために、「ボリュームの暗号化」を行いましょう。
ボリュームを暗号化するには、ボリュームのアイコンを[コントロール]キー+クリック(もしくは副ボタンクリック)してコンテキストメニューを表示させ、[“ディスク名”を暗号化]を選びます。暗号化用のパスワードを入力する画面が表示されるので、よく考えてパスワードをつけましょう。ここでパスワードを忘れてしまうと、そのボリュームを再び開くのは不可能になってしまうので、特に注意が必要です。
パスワード設定後、自動的にボリュームの暗号化が始まります。暗号化中も普通どおりにデータを読み書きできますし、暗号化されても速度はほとんど変わらないので安心です。暗号化が終わると、ディスクをマウントするたびにパスワードが要求され、失敗するとマウントできません。なお、パスワードを変更したい場合はディスクをマウント後、「ディスクユーティリティ」を開き、[ファイル]メニュー→[パスワードを変更]で設定し直します。
暗号化したいボリュームのアイコンを選択して、コンキクストメニューから[“ディスク名”を暗号化]を選びます。マウントされているディスクしか暗号化することはできません。
ボリュームをマウントする際に必要なパスワードを設定します。間違えて覚えるとデータを取り出せなくなるので、気をつけて設定しましょう。
暗号化が始まる前に一度ボリュームがアンマウント(取り外し)され、再びマウントされます。バックグラウンドで暗号化されているため、暗号化中も普通のディスクとして利用できます。
どのMacに接続しても、マウント時にはパスワードが要求され、パスワードが正しくないとマウントされません。パスワードをキーチェーンに登録するとマウントしやすくなります。
自動ログアウトを設定する
先ほどのおさらいになりますが、離席時に誰かが自分のMacを操作してデータやメールを見られることに対する防止策としては、スクリーンセーバ解除時にパスワードを要求するのが定番だといえます。これに加えて、さらにもう一段セキュリティを向上させる方法として「自動ログアウト」があります。鉄壁のセキュリティを築くために設定してみてはいかがでしょうか?
これは一定時間操作がないときに、スリープしたりスクリーンセーバを表示する代わりにユーザがログアウトするという機能で、後述するユーザ名とパスワードを入力するログインと合わせると大変強力なセキュリティになります。ただし、保存ダイアログが表示されるとうまくログアウトできないので、こまめに「保存」([コマンド]キー+[S]キー)するクセをつけておきましょう。この機能をアクティブにするには、[セキュリティとプライバシー]パネルから設定しますが、自動ログアウト設定は設定画面がオプション扱いで隠れているので注意しましょう。
システム環境設定→[セキュリティとプライバシー]を開き、ウインドウ右下の[詳細]ボタンをクリックします。通常はロックがかかっているので、左下のカギアイコンをクリックして、管理者パスワードでロック解除しましょう。
表示されたシートダイアログで[使用しない時間が◯分続いたらログアウト]にチェックを付けます。使用しない時間は1分単位で指定できますが、短いほうがセキュリティとしては強力です。
ログイン方法を「名前とパスワード」に変更する
OS Xのログイン画面ではユーザをアイコンで選んでパスワードを入力しますが、この画面を見ると、どんなユーザがシステムに登録されているか、全部わかってしまいます。多くのユーザが登録されているシステムの場合、中にはセキュリティへの理解が低く、わかりやすいパスワードを設定している人がいることもあり、こうしたユーザからシステム全体が崩される恐れもあります。そこで、複数のユーザが登録されているシステムでは、パスワードだけでなく、ユーザ名も入力してログインする設定にしましょう。ログインのためのカギが2種類になるようなものなので、比較的単純なパスワードしか設定していない環境でも安心感が増します。ログイン時の設定は[ユーザとパスワード]パネルから行います(要管理者パスワード)。
[ユーザとパスワード]パネルを開き、左下のカギアイコンを解除します。左側の「ログインオプション」を選び、[自動ログイン]を[切]に、[ログイン時の表示]を[名前とパスワード]に指定します。
>ログイン画面はシンプルなアカウント名(ユーザ名)とパスワードの入力ボックスが表示されるだけになります。アカウント名は英数字(例:macfan)でも、漢字・カナを含むフルネーム(例:マックファン)でも構いません。
もちろんアカウント名とパスワードを両方打ち込むのは大変面倒ですが、より堅牢なセキュリティを求めるならば、設定すべきでしょう。
【SPECIAL COLUMN】Macのパスワードを理解する
Macを使ううえでもっとも重要なのは、システムへのログインに利用する「アカウントパスワード」です。そのほか、ソフトなどが使うパスワードはすべて「リソースパスワード」と呼ばれます。OS Xにはアイクラウドをはじめとするアップルのサービス全般を利用するための「アップルID」のパスワードと、リソースパスワード類を登録しWEBブラウザなどで入力する手間を省いてくれる「キーチェーン」システムのパスワードがありますが、最新のOS Xエルキャピタンでは、利便性を高める意味もあってか、この2種類が標準でアカウントパスワードと共通にされています。一度入力すればいい分便利ですが、万が一漏れた場合の被害も甚大です。できれば個別に分けて使うほうが安全です。
アカウントパスワード
OS Xの利用に必要な、もっとも重要度が高いパスワード。管理者権限を持ったユーザのアカウントパスワードは「管理者パスワード」と呼び、ソフトのインストールなどシステムを変更する際にも利用します。
リソースパスワード
WEBサイトや電子メール、ファイルサーバ、無線LANなど、パスワード認証が必要なサービスや機器類のほぼすべてがここに含まれます。個別にアプリケーションパスワード、インターネットパスワードなどとも呼ばれます。
キーチェーンパスワード
リソースパスワードを束ねて管理する「キーチェーン」システムで、これらのパスワードを暗号化して安全に管理するのがキーチェーンパスワードです。OS Xで標準で、キーチェーンパスワードとアカウントパスワードを共通にしていますが、別々にしたほうが安全性は高くなります。
Apple IDパスワード
アイクラウドやiTunesストア、Macアップストア、iBookストアなどで使われるアップルサービス共通のパスワードです。種類としてはリソースパスワードに含まれますが、OS Xエルキャピタンではアカウントパスワードとしても使えるようになっており、重要性が格段に増しています。十分気をつけて管理しましょう。
ファイルを暗号化してメール送信する
電子メールは、基本的に暗号化されず平文のままやりとりされるシステムです。これは言ってみれば封書ではなく片面が開いたままのハガキで手紙を送っているようなもの。悪意のあるユーザがその気になれば、何が書いてあるか読み取ることができてしまいます。最近はGmailやアイクラウドメールなど、大きなメールシステムはSSLなどの暗号化手段を講じていますが、プロバイダや企業のメールシステムでは、まだSSLを使っていない場合もあります。
こうしたシステムで重要な情報をやりとりするのは危険なので、できるだけユーザ自身がデータを暗号化して自衛したいところです。メールの暗号化では、「PGP」などメール本文全体を暗号化するシステムがありますが、メールを送受信する双方が同じシステムを使っていなければならず、手順が複雑だったり、専用ソフトが必要など、あまり使いやすいものではありません。
Mac同士であれば、OS X標準の「ディスクユーティリティ」を使って、ファイルをディスクイメージにして送るといいでしょう。手順も簡単ですし、暗号化の強度も高いです。また、マイクロソフト・ワードやページズであればファイルそのものに暗号化オプションがあるほか、ZIP形式の圧縮ファイルの作成時にパスワードをかけるという方法もあります。この場合、もちろんパスワードそのものをメールで送ってしまっては本末転倒なので気をつけましょう。
「ディスクユーティリティ」を開き、メニューバーの[ファイル]→[新規イメージ]→[フォルダからイメージを作成]から暗号化したいフォルダを選択します。
保存オプションで[暗号化]のダイアログを開きましょう。128ビットが推奨されていますが、最近の機種であれば、256ビットでも十分速く処理できるはずです。パスワードは、「パスワードジェネレータ」を利用するといいでしょう。
イメージ化されたファイルをクリックすると、パスワードが要求されます。こうして暗号化したファイルをメールで送ると、かなりセキュアです。
ワードなどマイクロソフト・オフィスの場合、[ツール]メニュー→[文書の保護]を選択するとパスワードを入力する画面になるので、ここでファイルを開く場合のパスワードを指定します。
ファイルの拡張子を表示する
インターネットからダウンロードしたファイルには、一見ただのファイルのように見えて、実はシステムに侵入する悪意のあるソフトウェアという可能性もあります。こうしたマルウェアは、ほかのファイルを偽装するために、アイコンだけでなくファイル名の末尾にも「.jpg」や「.mpeg」などの「ファイル拡張子」を追加していることがあります。
OS Xのファインダは標準で拡張子が表示されないようになっているため、実はソフトの拡張子である「.app」が付いているのに気づかず、ダブルクリックしてしまう危険性があります。こうした偽装を見破るため、ファインダで常に拡張子を表示するように設定を変更しておくといいでしょう。設定方法は、ファインダの環境設定を開き、[すべてのファイル名拡張子を表示]にチェックを入れるだけです。もちろん、その設定をしたうえで、見慣れない拡張子のファイルは安易に開かず、先に検索してみるなどの自衛策も必要になるのを忘れてはいけません。
ファインダ環境設定で[詳細]タブを開き、[すべてのファイル名拡張子を表示]にチェックを入れます。ファインダの設定なので、すべてのフォルダで、この設定が反映されます。
一見同じアイコン、同じファイル名に見えていたファイルでも、拡張子が表示されると別の種類のファイルであることがわかります。「.app」のほか、スクリプトファイルの場合も要注意です。
Safariで詐欺サイトを警告する
前の章で紹介したとおり、最近は悪意のある第三者が作った偽のサイト、いわゆるフィッシングサイトに引っかかってしまう例を多く耳にします。幸い、OS X標準ブラウザのサファリには詐欺サイトのリストを使って詐欺サイトを警告する機能が付いており、この機能を有効にしておけば、代表的な詐欺サイトのほとんどに引っかからずに済みます。設定は、サファリの[環境設定]→[セキュリティ]タブ→[詐欺サイト:詐欺Webサイトにアクセスしたときに警告]にチェックを入れるだけでOKです。さらに、同環境設定の[プライバシー]タブの[Webサイトによるトラッキング:Webサイトにトラッキングの停止を求める]にチェックを付けると、WEBサイトやそのWEBサイトの第三者コンテンツプロバイダ(広告プログラムを含む)に対してトラッキングの停止を求めるように設定できます。
サファリの設定画面で[セキュリティ]タブを開き、[詐欺サイト:詐欺Webサイトにアクセスしたときに警告]のチェックを入れます。
実際に詐欺サイトにアクセスすると、WEBサイトの表示前にこのような警告画面が表示されます。思わず[警告を無視]ボタンを押さずに、[戻る]ボタンをクリックして戻りましょう。
サファリの環境設定の[プライバシー]タブの[Webサイトによるトラッキング:Webサイトにトラッキングの停止を求める]にチェックを入れれば、WEBサイトなどに対し、トラッキングの停止を求めるように設定できます。
【SPECIAL COLUMN】Macが盗まれてしまったら?
MacBookエアやMacBookなど、軽量なノート型Macが大人気です。ノート型Macはいつでも持ち歩けて便利な反面、盗難や紛失の恐れが常につきまとっています。万が一Macがなくなってしまった場合、アイクラウドに登録していれば、iPhoneと同様に「Macを探す」(Find My Mac)が利用できます。iPhoneと違って3G/LTEの通信能力やGPSを搭載していないため、捜索できるのはWi-Fiのアクセスポイントに接続しているときに限り、また、アクセスポイントに接続している場合でも誤差は半径数十メートル程度と、大まかな位置しか把握できませんが、条件が揃えばある程度の場所までは絞り込めます。どちらかといえば、ネットワークに接続した際にMacをロックしたり、データを盗まれる前にリモートで削除するといった使い方が実用的な効果かもしれませんが、モバイルユーザであれば必ずこの機能をオンにしておいたほうがいいでしょう。
Find My Mac
アイクラウドのWEBサイトにアクセスして「iPhoneを探す」アイコンをクリックします。名前はiPhoneですが、同じアイクラウドアカウントに登録されているiPadやMacの場所も検索できます。
画面にメッセージを表示する
「Macを探す」の画面で[ロック]を選択すると該当するMacが再起動してロック画面が表示され、「Macを探す」で設定したPINコードを入力しないと起動できなくなります。このとき、画面上にメッセージを表示することも可能です。
データを遠隔で消去する
Macを取り戻すのが困難な場合、あるいは内部のデータが重要な場合は、[消去]を選択することで、次回ネット環境にアクセスしてコマンドを受け取るとMacの全データが消去されます。消去後は「Macを探す」で場所を確認することもできなくなります。