HOME配下をお手軽に暗号化できる「FileVault」

Mac OS Xの「FileVault」という機能は、ユーザーのホーム以下を暗号化することができます。設定は簡単で、 システム環境設定の「セキュリティ」を選び、「FileVault」タブにある「FileVault機能を入にする」 ボタンをクリックするだけ。あとはOSが裏でファイルの暗号化／複合化を自動的に処理してくれるので、ユーザーは暗号化を意識する必要がありません。

個人ユース的にはこれでおおむねOKだと思うのですが、いくつか欠点があります。

1. 「パーソナルWEB共有」で、http://localhost/~username/ディレクトリにアクセスできない。
2. ユーザーごとに暗号化する必要がある。
3. 暗号化したユーザー領域以外（/Libraryやユーザー共有フォルダなど）は暗号化されてない。

１は、 暗号化したユーザー配下はシステム的にみると一つの巨大なファイルに見えているのが原因のようですがWEB開発をしている場合~usernameが使えないのは結構痛いです。

また２，３に関してはこの部分から情報が漏れたりする可能性がありますので対策としては不完全ですし、 企業によっては起動ディスクの暗号化まで求められるので、そこでは条件を満たしてないことになります。

つい最近まで上記の欠点を解消する手段はなかったのですが、現在では「PGP WholeDisk Encryption」 という製品で解決できます。

PGP WholeDisk Encryptionで起動ディスクも丸ごと暗号化

「PGP WholeDisk Encryption」は米国PGP社が販売している暗号化ソリューションの1製品です。 日本法人もあるのですが、パートナー会社経由でしか買うことができないようで、単体で買うにはUSのオンラインストアからになります。

インストールは簡単

オンラインストアから購入し、ソフトをダウンロードすると、 Safariの場合自動的にディスクイメージをマウントして次のようなウィンドウが開きます。

PGP.pkgのアイコンをダブルクリックするとインストーラが起動します。これ以降は一般的なMacのインストール方法と同じです。

暗号化の前にしておくこと

早速暗号化しましょう。PGPを起動する前にいくつか注意＆しておくことがあります。

1. BootCampに対応していないので、BootCampパーティションを解除する。
2. • 最大の欠点かもしれません。僕はBootCampイメージをVMWareで使用していたので、 VMWareの機能でBootCampからVMイメージを作成したあと、BootCampパーティションを解除しました。 Parallelsを使っている方も同様の手順が必要です。 引き続きWindowsを使いたい方はVMWareかParallelsの購入を検討するしかなさそうです。
3. FileVaultを使っている場合は解除する。
4. • PGPと同じ機能を提供することになるので、FileVaultはオフにしても問題ないと思います。

暗号化も結構簡単

準備ができたのでPGP.appを起動して、早速起動ディスクの暗号化をしましょう。起動したら画面左のツリーより「PGPディスク」 を選んで、起動ディスクのアイコンを選択します。そして、「暗号化」ボタンを押すとディスクの暗号化ウィザードが始まります。 あとは画面の指示に従えば大丈夫だと思いますが、PGPは日本語のJISキーボードを認識しないので、パスワードを設定する際は英字、 数字といったASCII配列でもJIS配列でも同じ位置にある文字を使って行ったほうが後で泣かなくていいかと思います。

バックグラウンドで暗号化がおこなわれているので、あとは待つだけです。かなり時間がかかるので、夜中に暗号化を開始して、 寝て待つのがよさそうですよ。

OSの起動前に認証。

実際の使い方も簡単です。Macを起動したり再起動するとリンゴマークが表示されますが、その前に次のような画面が表示されます。

ここでパスワードを入力してenterキーをたたけば、復号化されてOSが立ち上がります。

企業の情報システム担当者から「MacはHD丸ごと暗号化できないから使用禁止」みたいなことを言われたら、 PGPの導入を検討してもいいかもしれませんね。

2009.8.28追記：本日MacOSX10.6 Snow Leopardが発売になりましたが、PGP WDEは非対応（データを失うかも）というアナウンスが出ていました。早まらない様気をつけましょう。