Appleプラットフォーム導入
- ようこそ
- Appleプラットフォーム導入の概要
- 新機能
-
-
- アクセシビリティペイロードの設定
- Active Directory証明書ペイロードの設定
- AirPlayペイロードの設定
- AirPlayセキュリティペイロードの設定
- AirPrintペイロードの設定
- App Lockペイロードの設定
- 関連ドメインペイロードの設定
- 自動証明書管理環境(ACME)ペイロードの設定
- 自律的シングルアプリモードペイロードの設定
- カレンダーペイロードの設定
- モバイルデータ通信ペイロードの設定
- モバイル通信プライベートネットワークペイロードの設定
- 証明書プリファレンスペイロードの設定
- 証明書失効ペイロードの設定
- CT(証明書の透明性)ペイロードの設定
- 証明書ペイロードの設定
- 会議室のディスプレイペイロードの設定
- 連絡先ペイロードの設定
- コンテンツキャッシュペイロードの設定
- ディレクトリサービスペイロードの設定
- DNSプロキシペイロードの設定
- DNS設定ペイロードの設定
- Dockペイロードの設定
- ドメインペイロードの設定
- 省エネルギーペイロードの設定
- Exchange ActiveSync(EAS)ペイロードの設定
- Exchange Web Services(EWS)ペイロードの設定
- 拡張シングルサインオンペイロードの設定
- 拡張シングルサインオンKerberosペイロードの設定
- 機能拡張ペイロードの設定
- FileVaultペイロードの設定
- Finderペイロードの設定
- ファイアウォールペイロードの設定
- フォントペイロードの設定
- グローバルHTTPプロキシペイロードの設定
- Googleアカウントペイロードの設定
- ホーム画面レイアウトペイロードの設定
- 識別子ペイロードの設定
- 識別プリファレンスペイロードの設定
- カーネル機能拡張ポリシーペイロードの設定
- LDAPペイロードの設定
- LOM(Lights Out Management)ペイロードの設定
- ロック画面のメッセージペイロードの設定
- ログインウインドウペイロードの設定
- 管理対象ログイン項目ペイロードの設定
- メールペイロードの設定
- ネットワーク使用ルールペイロードの設定
- 通知ペイロードの設定
- ペアレンタルコントロールペイロードの設定
- パスコードペイロードの設定
- プリントペイロードの設定
- 「プライバシー」環境設定ポリシー制御ペイロードの設定
- リレーペイロードの設定
- SCEPペイロードの設定
- セキュリティペイロードの設定
- 設定アシスタントペイロードの設定
- シングルサインオンペイロードの設定
- スマートカードペイロードの設定
- 照会カレンダーペイロードの設定
- システム機能拡張ペイロードの設定
- システム移行ペイロードの設定
- Time Machineペイロードの設定
- TV Remoteペイロードの設定
- Webクリップペイロードの設定
- Webコンテンツフィルタペイロードの設定
- Xsanペイロードの設定
-
- 宣言型アプリ構成
- 認証資格情報と識別情報アセット宣言
- バックグラウンドタスク管理宣言型
- カレンダー宣言型構成
- 証明書宣言型構成
- 連絡先宣言型構成
- Exchange宣言型構成
- Googleアカウント宣言型構成
- LDAP宣言型構成
- レガシー対話型プロファイル宣言型構成
- レガシープロファイル宣言型構成
- メール宣言型構成
- 計算および計算機アプリ宣言型構成
- パスコード宣言型構成
- パスキー認証宣言型構成
- Safari機能拡張の管理の宣言型構成
- 画面共有宣言型構成
- サービス構成ファイル宣言型構成
- ソフトウェアアップデート宣言型構成
- ソフトウェアアップデート設定の宣言型構成
- ストレージ管理宣言型構成
- 照会カレンダー宣言型構成
- 用語集
- 資料の改訂履歴
- 著作権
FileVaultの概要
Macコンピュータには、保存されたデータを保護する組み込みの暗号化機能であるFileVaultが用意されています。FileVaultにはAES-XTSデータ暗号化アルゴリズムが使用されており、内部および外部ストレージデバイスのボリューム全体を保護します。
Appleシリコンを搭載したMac上のFileVaultは、データ保護クラスCとボリュームキーを使用して実装されています。Appleシリコン搭載のMacコンピュータとApple T2セキュリティチップ搭載のMacコンピュータでは、Secure Enclaveに直接接続されている暗号化された内蔵ストレージデバイスは、そのハードウェアセキュリティ機能とAESエンジンのセキュリティ機能を利用します。ユーザがMacでFileVaultを有効にすると、ブートプロセス中に資格情報が要求されます。
FileVaultがオンになっている内蔵ストレージ
有効なログイン資格情報または暗号復旧キーが入力されないと、内蔵APFSボリュームが暗号化されたままになり、不正なアクセスから保護されます。これは物理ストレージデバイスを取り外して別のコンピュータに接続しても変わりません。macOS 10.15では、これにはシステムボリュームとデータボリュームの両方が含まれます。macOS 11以降、システムボリュームはSSV(署名済みシステムボリューム)機能によって保護されますが、データボリュームは暗号化によって保護されたままになります。AppleシリコンまたはT2チップを搭載したMacコンピュータの場合、内部ボリュームの暗号化は、キーの階層を構築および管理することで実装されます。暗号化は、特定のチップに内蔵されたハードウェア暗号化テクノロジー上にも構築されます。このキーの階層構造は、同時に4つの目標を達成するよう設計されています:
復号化にユーザのパスワードを要求します
Macから取り外されたストレージメディアに対する直接の総当たり(ブルートフォース)攻撃からシステムを保護します
必要な暗号素材を削除することで内容をワイプする迅速かつ安全な方法を提供します
ボリューム全体の再暗号化を必要とせずに、ユーザが自分のパスワード(ひいては自分のファイルを保護するために使用される暗号化キー)を変更できるようにします
Appleシリコンを搭載したMacとT2チップ搭載のMacでは、すべてのFileVaultキー処理がSecure Enclave内で実行されます。暗号化鍵がIntel CPUに直接公開されることはありません。すべてのAPFSボリュームは、デフォルトでボリューム暗号化鍵を使用して作成されます。ボリュームおよびメタデータの内容は、このボリューム暗号化鍵で暗号化され、ボリュームキーはクラスキーでラップされます。FileVaultがオンの間は、クラスキーはユーザのパスワードとハードウェアUIDの組み合わせによって保護されます。
FileVaultがオフになっている内蔵ストレージ
Appleシリコンを搭載したMacまたはT2チップ搭載のMacで最初の設定アシスタント処理中にFileVaultがオンになっていない場合でもボリュームは暗号化されますが、ボリューム暗号化鍵はSecure Enclave内のハードウェアUIDのみで保護されます。
FileVaultをあとからオンにする場合(これはデータがすでに暗号化されているためただちに実行される処理です)、アンチリプレイメカニズムによって、ボリュームを復号化するときに(ハードウェアUIDのみに基づいて)古い鍵の使用が防止されます。その後、前述の通り、ボリュームがユーザパスワードとハードウェアUIDの組み合わせによって保護されます。
FileVaultボリュームを削除する
ボリュームが削除されると、ボリューム暗号化鍵がSecure Enclave内で安全に削除されます。これにより、Secure Enclaveでさえこのキーを使用して今後アクセスできないようにします。また、すべてのボリューム暗号化鍵がメディアキーによってラップされます。メディアキーは、データの機密性を高めるものではありませんが、データを迅速かつ安全に削除できるよう設計されています。これは、メディアキーがないと復号化が不可能なためです。
Appleシリコンを搭載したMacとT2チップを搭載したMacでは、メディアキーは、Secure Enclaveが対応するテクノロジー(リモートMDMコマンドなど)によって消去されることが保証されています。この方法でメディアキーを消去すると、ボリュームが暗号化によってアクセス不能になります。
リムーバブルストレージデバイス
外部ストレージデバイスの暗号化では、Secure Enclaveのセキュリティ機能を利用せず、T2チップを搭載しないIntelプロセッサ搭載Macコンピュータと同じ方法で暗号化が実行されます。