2020-11-21

Apple T2と起動セキュリティユーティリティ

「行政手続きのハンコ、99%廃止へ」「霞が関でパスワード付きzipファイルを廃止へ」アレレレ、大人気なんちゃって保守政党が、まともなこと言ってるぞ。気でも狂ったのか。無意味、無駄、非効率、非合理的なことであっても、伝統だ、文化だ、そういう 決まりですから、といって考えもなく万人に押し付けるのが美しい国の正しいありかたじゃなかったんかね。らしくない。

まあ世の中、どうしてそうなってるのか分からないことは往々にしてあるものだ。 Apple T2 セキュリティチップを搭載したMacのセキュリティ設定もそのひとつである。

T2チップを搭載したMacは、デフォルト設定では外部ストレージからシステムを起動することができない。外付けのドライブに異なるバージョンのmacOSを複数インストールしておいて切り替えて使いたい、なんて人はそのままでは困ってしまう。

T2搭載Macのガチガチな出荷時セキュリティ設定は「起動セキュリティユーティリティ」を使って緩めることができる。

「セキュリティなし」「外部メディアまたはリムーバブルメディアからの起動を許可」を選択すれば、T2チップを搭載していないMacと同じ使い勝手になる(鉄壁のセキュリティが必要な人はいじらないほうがいい)。

んだが、T2搭載機上の起動セキュリティユーティリティ、なんだか挙動が不可思議なのだ。

起動セキュリティユーティリティは、Macの起動時に command + R キーを押し続けることで呼び出せるmacOS復元環境に含まれている。

macOS復元を起動し、ユーティリティメニュー「起動セキュリティユーティリティ」を選択すると設定画面を開ける。このとき、なぜか内蔵SSDにインストールされているmacOSの管理者パスワードを聞かれる。

パスワード自体は空(カラ、設定されていない状態)でもよいが、管理者アカウントは存在していなければならない。購入直後でセットアップが完了していない(アカウントが作成されていない)状態では、

復旧によってシステム設定が変更されようとしています。

管理者がみつかりませんでした。

と怒られて、セキュリティ設定画面を表示できない。

ム〜ン、ファームウェアレベルの(OSが起動する前段階の挙動に関する)設定なのだから、OSがセットアップされていない状態でも変更できるのが当たり前ではないのか?

この場面でmacOSに付随するローカルアカウントのログインパスワードを要求する意味が分からない。起動セキュリティユーティリティ自体が通常のmacOS環境で起動しているなら分からなくもないが…… そうじゃないわけだし。

実際、私は Mac mini (2018) を買ってきてすぐに(内蔵ドライブのmacOSを起動せずに、いきなり)外付けハードディスクドライブからのシステム起動に切り替えようようとして躓いてしまった。

T2搭載Macでは、必ず一度は内蔵SSDのmacOSから起動して管理者アカウントを設定しないと、外部デバイスからの起動を許可することができないのだ。内蔵ストレージのmacOSを無視したくても無視できない。

たとえ内蔵ドライブにWindowsだけインストールして、MacをWindows専用機として使いたくても、外付けHDDからmacOSを起動するようにして内蔵SSDにはデータだけを置きたい場合であっても、絶対に一度は内蔵SSDから起動して管理者のアカウントをセットアップしなくてはならない。直後に内蔵ドライブをきれいさっぱり消去すると分かっていても、このムダな手順は避けられない。

セキュリティ設定を変更するためだけに、内蔵SSD内にmacOSを保持しておかなくてはならないなんて、ストレージの無駄づかい以外の何者でもない。

セキュリティレベルを変更するのを忘れたままデフォルト設定で使い続けていて数年後に内蔵ストレージの寿命が来たらどうすんの? 外付けストレージからの起動に切り替えれば済むだけなのに修理代を払うの? 修理受付期間が終わっていたら文鎮化しか道はないってこと?

おまけに、起動セキュリティユーティリティにはファームウェアパスワードを変更する機能も含まれている。つまり、ファームウェアパスワードを設定するためにも内蔵SSD上のmacOSの管理パスワードを必要とする。

パスワードの設定に別のパスワードが必要という、セキュリティ増幅率を飛躍的に高めることができるパスワードのダーリントン接続なのかな。無意味に思えるが。

外付けハードディスクから起動し、内蔵ストレージは単なるデータドライブ(OSなし)として使っているMac miniがあったとしよう。そこにファームウェアパスワードが設定されているとき、そのファームウェアパスワードを変更しようとするとどうなるか想像してみてほしい。

ちなみにT2を搭載しないMacでは内蔵ストレージにmacOSがセットアップされていようがいまいが、ファームウェアパスワードの設定変更は可能である。

この問題は以前、別記事で書いた「Macのパスワードを入力」 https://blog.ukixa.com/2019/11/enter-mac-password.html 事案に似ている。

OSの管理者アカウントパスワードを、本来と異なるコンテキストで「使い回し」するのがアップル流のセキュリティシステムの設計方針なのだろうか。

セキュリティに詳しくない私のような人間からみると、この仕組み、どこかが、何かおかしいように思えるのだが…… セキュリティの専門家の意見を聞いてみたいところだ。誰か聞かせてくれんかね。

ともあれ、内蔵のフラッシュストレージにmacOSが存在することを前提にした魔法のような設計のセキュリティシステムをユーザーに押し付けるのはやめてほしいぞ。> アップルちゃん。

MacはiPhoneじゃないんだから。好きにさせてくれ。

関連記事: 「許可するには管理者の名前とパスワードを入力してください」 「Macのパスワードを入力

0 件のコメント:

コメントを投稿