Appleはなぜ「fdsetup」非推奨なのか？ Mac管理の正しい方法とは：「Mac」の暗号化機能とデータ保護【第6回】

Macのストレージ暗号化機能FileVaultは、企業のセキュリティを強固にしてくれる。以前はFileVaultの管理にコマンドラインツールを使う必要があったが、Appleはその方法を推奨していない。より適切な方法とは。

[Robert Sheldon，TechTarget]

　HDDやSSDなどのストレージ単位で暗号化する「ストレージ暗号化」によって、企業はセキュリティ対策を強固にできる。Appleのクライアントデバイス「Mac」には、ストレージ暗号化機能の「FileVault」がある。企業のIT管理者は従来、FileVaultを管理するためにコマンドラインツール「fdesetup」を使わなければならなかった。だがAppleは、fdesetupの使用をもう推奨していない。

Mac「FileVault」の管理にコマンドラインは非推奨？

併せて読みたいお薦め記事

連載：「Mac」の暗号化機能とデータ保護

• 第1回：いまさら聞けない「暗号化」とは何か？　なぜ必要なのか
• 第2回：Apple独自チップ「T1」「M1」「M2」は安全？　Mac暗号化機能の中身
• 第3回：Macがいくら安全でも「FileVault」の無効化が危ないのはなぜ？
• 第4回：実はこんなにある「Mac」の暗号化機能　使えるのは“FileVault”だけじゃない
• 第5回：Mac管理に使える「Intune」や「Jamf Pro」　MDMツールで何が便利に？

Apple製デバイスの脅威と対策

• 「MacはApple製で安全だからマルウェア対策製品は不要」が間違いなのはなぜ？
• iPhoneに“謎のアプリ”が？　Apple製品「マルウェア感染」の兆候はこれだ

　IT管理者はfdesetupを使うことでFileVaultを管理できるが、Appleはその使用を推奨していない。同社はFileVaultを管理する方法として「モバイルデバイス管理」（MDM）ツールを使うように促している。その理由の一つとして、サイバー攻撃者が端末を乗っ取った際にコマンドラインツールを悪用するリスクが考えられる。

　Mac内のファイルやフォルダを個別に暗号化する場合、IT管理者はコマンドラインツール「OpenSSL」を使い、暗号化アルゴリズム「AES」（Advanced Encryption Standard）によって暗号化できる。

　実際の手順としては、まずはOpenSSLのコマンドを実行するシェルスクリプトを作成しておく。シェルスクリプトとは、OSのユーザーインタフェースである「シェル」での操作をまとめた指示書だ。その後、MDMツールを使用して、作成したシェルスクリプトを対象のPCで実行する。MicrosoftのMDMツール「Microsoft Intune」を利用すれば、シェルスクリプトを実行する条件を制御するポリシーを作成できる。

　ストレージ暗号化は、機密データを保護するためのさまざまな方法の一つに過ぎないが、Macを確実に保護するためには不可欠だ。企業のIT管理者は、個々のファイルやフォルダを暗号化するかどうかにかかわらず、FileVaultを有効にしてデータを保護する必要がある。FileVaultの暗号鍵はユーザーのログイン情報に関連付けられているため、MDMツールによってパスワードの要件を強固に定義しておく必要もある。

TechTarget発　世界のインサイト＆ベストプラクティス

米国TechTargetの豊富な記事の中から、さまざまな業種や職種に関する動向やビジネスノウハウなどを厳選してお届けします。