暗号化ディスクイメージの作成と利用(MacOS編)
ここではMacOS Xにおける暗号化ディスクイメージの作成・利用方法について説明しています。
(注)以下の例では、MacOS 10.10(Yosemite)環境のスクリーンショットで説明をしていますが、10.9(Mavericks)や10.8(Mountain Lion)等でも基本的には同じ操作となります。
Mac OSでディスクイメージを暗号化する際に、利用する暗号化キーには二通りがあります。
- パスフレーズ(簡単、安全性:低)
- 個人証明書(少し面倒、安全性:高)
相手が相手ですから、ここは迷わず「個人証明書」による暗号化ディスクイメージをお勧めします。
[Contents]
パスワードによる暗号化ディスクイメージ
・ パスワードを利用した暗号化ディスクイメージの作成
・ パスワードを利用した暗号化ディスクイメージの取り出し(アンマウント)
・ パスワードを利用した暗号化ディスクイメージの利用(マウント)
個人証明書による暗号化ディスクイメージ
・ 個人証明書の作成
・ 個人証明書を利用した暗号化ディスクイメージの作成・利用
・ 個人証明書を利用した暗号化ディスクイメージ利用上の注意
パスワードによる暗号化ディスクイメージ
パスワードを利用した暗号化ディスクイメージの作成
1. ディスクユーティリティ(disk Utility.app)を開きます。
2. 暗号化ディスクイメージを作成します。
ディスクユーティリティにフォーカスされた状態で、画面上のツールバーの「イメージ」から「新規」→「空のディスクイメージ」を選択します。
作成する暗号化ドライブイメージのパラメータを入力します。ここでは例として以下の通り設定します。
- 保存場所はユーザの「書類」以下に “testvol01” という名前で
- マウント時のボリューム名は “testvol01”
- 暗号化ドライブイメージのサイズは 16GB(カスタムから選択します)
- フォーマットは標準の “Mac OS 拡張(ジャーナリング)”
- 暗号化は “256ビットAES暗号化(安全性重視、低速)“
- パーティションは標準の “単一パーティション・GUIDパーティションマップ”
- イメージフォーマットは容量可変の “スパースバンドル・ディスクイメージ“
暗号化パスワードを設定します。このパスワードは絶対に忘れないようにしてください!暗号化ディスクイメージにアクセスできなくなります。また、このパスワードに安易なものを設定すると、簡単に破られて、中身のデータが流出することになります。パスワードをキーチェーンに保存するかどうかは、ご自身でご判断ください。
正しく暗号化ディスクイメージが作成がされ、マウントされたことを確認してください。
なお、暗号化ドライブイメージ(容量可変: スパースバンドル(SPARESEBUNDLE)イメージ)の実体はフォルダとファイル群です。暗号化ドライブイメージのアイコンを右クリックし、「パッケージの内容を表示」とするとフォルダとファイル群が見えます。ただし、暗号化されているため、これら個々の内容が流出しても、パスワードがわからなければ、中身(コンテンツ)は閲覧できません。
パスワードを利用した暗号化ディスクイメージの取り出し(アンマウント)
暗号化ドライブイメージの利用が終了したら、必ずアンマウント(取り外し)をしてください。アンマウント(取り外し)をせずに、暗号化ドライブイメージを移動させたりすると、最悪の場合、中身のデータが破損することがあります。
ドライブアイコンをゴミ箱にドラッグするか、副ボタンクリック(二本指タップ、右クリック、Ctrl+タップ)し、「取り出し」を選択してください。
パスワードを利用した暗号化ディスクイメージの利用(マウント)
前述の通り、暗号化ドライブイメージ(容量可変:スパースバンドル(SPARSEBUNDLE)イメージ)はフォルダとファイル群で構成されていますので、これを外付けドライブやUSBメモリのように、取り外して自由に移動(コピー)することができます。
再度、利用したくなったら、暗号化ドライブイメージのアイコンをタップしてマウントします。
暗号化ドライブを作成する際に利用したパスワードをキーチェーンに保存していない場合や、他のMacにイメージを移動した場合等は、暗号化ドライブにアクセスするためのパスワードを求められます。
パスワードが正しければ、暗号化ドライブイメージがマウントされ、利用できる状態となります。
個人証明書による暗号化ディスクイメージ
個人証明書の作成
個人証明書による暗号化の場合、まずは暗号化に用いる個人証明書を作成する必要があります。
1. キーチェーンアクセス(keychain Access.app)を開きます。
画面上のツールバー右端の「検索」アイコンをクリックして、”keychain”と入力して検索するか、
または、「Finder」から「アプリケーション」フォルダ→「ユーティリティ」フォルダ内の”キーチェーンアクセス”アイコンをクリックします。
キーチェーンアクセスが開きました。
2.自己署名証明書の作成
次に、自己署名証明書を作成します。キーチェーンアクセスを開いた状態で、ツールバーから「キーチェーンアクセス」→「証明書アシスタント」→「証明書を作成」を開きます。
証明書アシスタントが開始されます。
「固有名のタイプ」は「自己署名ルート」、「証明書のタイプ」はとりあえず「S/MIME(メール)」のままでよいでしょう。証明書の「名前」を適当に決めてください。ここでは簡単のため、”CloudBackup”としてあります。「デフォルトを無効化」にはチェックをいれないでください。
「作成」ボタンをクリックすると、自己署名証明書利用に関する注意が表示されます。今回は暗号化が目的ですので、そのまま「続ける」をクリックします。
利用しているMac端末のログインパスワードの入力を求められることがありますので、入力します。
作成後、「証明書」項目をクリックし、正しく自己署名証明書ができていることを確認してください。
3.個人証明書のバックアップ
この後の手順で、作成した自己署名個人証明書を利用して暗号化ディスクイメージを作成しますが、この個人証明書を紛失すると、ディスクイメージの中身を参照できなくなります!そうならないためにも、個人証明書は必ず安全な場所にバックアップしておきましょう。
作成した個人証明書を選択し、副ボタンクリック(二本指タップ、右クリック、Ctrl+タップ)し、「”CloudBackup”を書き出す」を選択します。
「フォーマット」は「証明書(cer)」を選択してください。名前と保存先は適当に決めてください。ここでは、”CloudBackup”とし”書類(Document)”に書き出すこととします。
秘密鍵も同様にバックアップしておきましょう。鍵アイコンがついているものになります。同じく副ボタンクリック(二本指タップ、右クリック、Ctrl+クリック)し、「書き出し」を選択します。
秘密鍵の名前と保存先を適当に決めてください。「フォーマット」は「個人情報交換(.p12)」とします。
秘密鍵の場合は書き出した鍵の不正利用を防ぐために、パスワードを設定する必要があります。この秘密鍵を保護するパスワードを適切に設定してください。他のMac端末などにインポートする際に必要となります。
このMac端末のログインパスワードを要求されますので、入力してください。
証明書と秘密鍵が書き出されました。これらのファイルは安全な場所に保管しておいてください。(証明書 “CloudBackup.cer”については、この後、利用します)
個人証明書を利用した暗号化ディスクイメージの作成・利用
いよいよ、暗号化ディスクイメージの作成です。以降の作業は、主にターミナル(terminal.app)を利用して行います。
4.ターミナル(Terminal.app)を開きます。
「Finder」から「アプリケーション」→「ユーティリティ」を開き、「ターミナル」アイコンをクリックします。
「ターミナル」が開きました。
5.暗号化ディスクイメージの作成
コマンドにて、暗号化ディスクイメージを作成します。作成するディスクイメージの仕様については、仮に以下の通りとします。
- 作成するディスクイメージのサイズは16GB(-size 16g)
- 利用量に応じてイメージサイズが増加する “SPARSEBUNDLE” イメージ(-type SPARSEBUNDLE)
- 分割サイズは8MB(-imagekey sparse-band-size=16384)
- フォーマットはMac OS標準のHFS+(Mac OS拡張、ジャーナリング)(-fs HFS+)
- 暗号化は256bit AES(-encryption AES-256)
- マウント時のボリューム名は TestVol01(-volname TestVol01)
- 作成されるディスクイメージ(フォルダ)は ~/Documents/TestVol01
- 暗号化キーとして個人証明書を利用(-certificate {証明書ファイル})
- 個人証明書ファイルは ~/Documents/CloudBackup.cer (「書類」以下)
以下のコマンドをターミナルに入力してください。複数行に分かれて記載されていますが、全てつなげて一行で入力してください。当然ですが、先頭の ‘%’ は入力しません。
% hdiutil create -size 16g -type SPARSEBUNDLE -fs HFS+ -volname TestVol01 -imagekey sparse-band-size=16384 -encryption AES-256 -certificate ~/Documents/CloudBackup.cer ~/Documents/TestVol01
問題がなければ、以下のようなメッセージが出力され、
created: /Users/{ユーザ名}/Documents/TestVol01.sparsebundle
「書類(~/Documents)」以下に、”TestVol01.sparsebundle” というフォルダが作成されます。(SPARSEBUNDLEドライブイメージの実体は、フォルダと細分化されたファイル群です)
作成した暗号化ドライブイメージのフォルダは、dmgファイル等と同じようにマウントすることができます。
6.暗号化ドライブイメージを利用してみる
Finderから、作成した暗号化ドライブイメージをクリックしてマウントします。
暗号化に利用された個人証明書にアクセスするため、キーチェーンへのアクセスが求められます。「常に許可」としておけば、次回からは確認を求められなくなります。
個人証明書が正しく登録されていれば、暗号化されたドライブイメージがマウントされます。後は通常の外付けドライブと同じように利用できます。
なお、個人証明書が導入されていない別のMac端末で開いたり、再インストール等で個人証明書秘密鍵が消えてしまったりしていると、以下のようなエラーとなり、マウントすることができません。
もしも、不正アクセスなどで暗号化ディスクイメージを盗まれてしまったとしても、このように個人証明書がなければ中身を参照することができません。逆にいえば、個人証明書を紛失してしまったら、その中身にアクセスすることはできなくなってしまいます。作成した個人証明書は、適切に管理をお願いします。
7.利用が終わったら暗号化ドライブイメージは必ずアンマウント
利用が終わったら、暗号化ドライブイメージは必ずアンマウント(取り外し)してください。
個人証明書を利用した暗号化ディスクイメージ利用上の注意
- 暗号化ドライブイメージのサイズは、-size オプションで自由に変更できます。
- 暗号化ドライブイメージ(フォルダ)は、自由に別の場所にコピーや移動ができます。
- SPARSEBUNDLEイメージを利用せず、1ファイル形式の暗号化ディスクイメージ(.dmg)を作成することもできます。その場合、-type SPARSEBUNDLE -imageky sparse-band-size {size} オプションを外し、targetにファイル名を指定してコマンドを実行します。ただし、きちんと証明書による暗号化が行われているかはこちらでは未検証です。
- 2015年6月時点において、Google Driveにアップロード可能な最大ファイルサイズは5TBとなっています。これを踏まえ、暗号化ドライブイメージのサイズは最大でも1TB以内とすることをお勧めいたします。なお、SFC-CNS環境から500GBのドライブイメージ(SPARSEBUNDLE)をGoogle Driveに転送した場合は、環境依存ではあるものの、アップロード約17時間、ダウンロード約6時間でした(skicka使用時)。
- キーチェーンに登録されている個人証明書秘密鍵を削除した後、同個人証明書で暗号化したドライブイメージをマウントしようとした場合、認証エラーとなります。暗号化ドライブを作成した際は、必ず確認されることをお勧めします。
- 別のMac端末でも暗号化ドライブイメージを参照したい場合は、バックアップした個人証明書および同秘密鍵をそのMac端末のキーチェーンに登録してください。証明書・秘密鍵ファイルをそれぞれクリックするだけです。秘密鍵については、バックアップ時に設定したパスワードが必要となります。
(最終更新日: 2015年 7月 3日)