2013年7月15日月曜日

Mac OS Xの復元用ディスクは、起動ディスクの暗号化(FileVault2)をする前に作る必要がある(Mac OS X 10.7~10.8)

最近、初めてノート型パソコン(MacBook Air)を手に入れました。外出時に使いたいので、セキュリティのことを考え色々設定してみました。その時に表題のことに気づいたので詳しく紹介します。


さてさて、Macのシステムに何かトラブルが起きたとき、あらかじめUSBメモリ等で「復元用ディスク」を作成しておくと、とても役にたちます。

USBメモリ等を「復元用ディスク」にするには、以下のAppleのページからソフトをダウンロードする必要があります。
なお、このソフトの名称は上記のページでは「OS X 復元ディスクアシスタント」となっていますが、実際にダウンロードしてみると「復旧ディスクアシスタント」という名称になっています。まあ気にするほどのことでもないですが。

さっそく私も、「復旧ディスクアシスタント」を使って、手持ちのUSBメモリを「復元用ディスク」にしました。ところがどう頑張っても、このUSBメモリで起動することができないのです。

結論から言うと、Macの内蔵ハードディスクやSSDをFileVault2で暗号化している状態のときに、「復旧ディスクアシスタント」で「復元用ディスク」を作成しても、使い物にならないということでした。

ではどうするかというと、単純な方法ですが、まずは内蔵の起動ディスクの暗号化を解除しました。暗号化解除の処理が完全に終了した後で、再び「復旧ディスクアシスタント」を使ってUSBメモリを「復元用ディスク」にしました。

これで、このUSBメモリは「復元用ディスク」としてちゃんと使えるようになりました。

後は必要であれば、再び、内蔵ハードディスクやSSDをFileVault2で暗号化してもかまいません。実際に暗号化した後でも、このUSBメモリは「復元用ディスク」としてちゃんと使えました。

※※※※※※

Macでファームウエアパスワードを使用している人は、パスワードの設定・変更・解除の時に「ファームウエアパスワードユーティリティ」を使用しますが、これは「復元用ディスク」で起動しないと使えません。普段は、内蔵ハードディスクやSSDに含まれる「復元用ディスク」を使えばいいですが、内蔵ハードディスクやSSDが壊れてしまった時には、このUSBメモリの「復元用ディスク」がきっと役に立つことでしょう。

※※※※※※

おまけ1、Macを「復元用ディスク」で起動する方法

★内蔵ハードディスクやSSDをFileVault2で暗号化している場合
  • 内蔵ハードディスクやSSDに含まれる「復元用ディスク」で起動したい時は、起動時に「command」と「R」キーを押したままにします。
     
  • USBメモリの「復元用ディスク」で起動したい時は、起動時に「option」キーを押したままにしておくと、このUSBメモリを選択して起動することができます。なお、この時は内蔵ハードディスクやSSDに含まれる「復元用ディスク」は表示されないので、選択することはできません。

★内蔵ハードディスクやSSDを暗号化していない場合
  • 起動時に「option」キーを押したままにしておくと、起動可能なすべてのディスクが表示されるので、お好きな「復元用ディスク」を選んで、起動します。
※※※※※※


おまけ2、なぜ暗号化された状態では、起動可能な「復元用ディスク」が作成されないのか

以下の内容は、すべて私の憶測です。ご注意ください。

「復旧ディスクアシスタント」は、単純に、起動ディスクに含まれる「復元用ディスク」の内容をUSBメモリ等にコピーしているだけのようです。

では、FileVault2が「復元用ディスク」を暗号化しているから、それゆえにコピーしたディスクは使えないのではと思う人がいるでしょう。でもそれは違います。なぜならMacの起動時に「command」と「R」キーを押しておくと、FileVault2で暗号化されていても内蔵ハードディスクの「復元用ディスク」はパスワードを要求することなく正常に起動するからです。ですから「復元用ディスク」はFileVault2では、暗号化されていません。

どうもFileVault2は、内蔵ハードディスク内の「通常のシステムとユーザデータが記録されているパーティション」だけを暗号化しているようです。※なお「通常のシステムとユーザデータが記録されているパーティション」は、この先、「通常のシステムパーティション」と略します。
そして「復元用ディスク(パーティション)」は暗号化はされていないものの、FileVault2によって何らかの改変が施されているようです。その改変の内容は推測ではありますが、おそらく、暗号化された「通常のシステムパーティション」をMacの起動時にマウントするための特別なプログラムなどを追加しているものと思われます。Appleのサポート文書(http://support.apple.com/kb/HT4790?viewlocale=ja_JP)を読むと、FileVault2を使用するには「復元用ディスク」が必須であると書いてあります。

というわけでFileVault2で暗号化すると、起動時にまず「復元用ディスク」が読み込まれ、「通常のシステムパーティション」のパスワードを要求する画面を表示して、その後パスワードを使って「通常のシステムパーティション」からの起動を開始させると考えられます。

FileVault2の使用時は、起動時に「option」キーを押したままにしておくと、「Macintosh HD*」が起動ディスクの選択肢として表示されますが、この「Macintosh HD」の実体は改変された「復元用ディスク」であると考えられます。*Macintosh HDという名前はデフォルトの名前を変更していない場合の話です。なぜなら、暗号化されたパーティションは直接起動できるはずがないからです。
これを裏付ける証拠としては、FileVault2の使用時に「復旧ディスクアシスタント」でUSBメモリを「復元用ディスク」にすると、そのUSBメモリの名称は「Macintosh HD」になっていましたが、一方でFileVault2を解除した時に「復旧ディスクアシスタント」でUSBメモリを「復元用ディスク」にすると、そのUSBメモリの名称は「Recovery-10.8.4」になっていました。

一方、起動時に「command」と「R」キーを押しておくと、内蔵ハードディスク内の「復元用ディスク」は、FileVault2によって改変された部分をスキップして本来の「復元用ディスク」として機能するのだと思われます。

ややこしくなりましたが、このように改変された「復元用ディスク」を「復旧ディスクアシスタント」でUSBメモリにコピーし、そのUSBメモリから起動しようとすると、改変されたままなので結局は内蔵ハードディスクの暗号化された「通常のシステムパーティション」を起動させてしまうのでしょう。改変された部分をスキップさせようと思っても、方法がありません。起動時に「command」と「R」キーを押しても、USBのディスクは認識できないし、「option」キーを押せばUSBのディスクは認識されるものの改変された機能をスキップすることはできません。

以上です。





0 件のコメント:

コメントを投稿

注: コメントを投稿できるのは、このブログのメンバーだけです。