FileVault暗号化で作業するには

This documentation is for an older version of CCC. You can find the latest version here.
Last updated on 2023年5月18日

CCCはFileVault保護されたボリュームとの利用条件を完全に満たしています (HFS+、およびAPFS。 しかし、AppleがBig Sur、およびそれ以降でHFS+暗号化されたボリュームの作成をサポートしなくなっている点には注意してください)。

標準バックアップ: macOSのインストールを含まないボリュームで暗号化を有効にするには

古い起動可能なバックアップを作成していない場合、そしてmacOSをバックアップボリュームにインストールするつもりがまったくない場合、バックアップを暗号化するためのシンプルなオプションが2つあります:

  • 新規バックアップ:バックアップボリュームをディスクユーティリティでAPFS暗号化として消去する。
  • 既存のバックアップ:FinderでAPFSフォーマットされたボリュームを右クリックして、ボリュームを暗号化するオプションを選択する。 (注意: このバックアップが以前システムの完全なバックアップの一部だった場合、Finderは“内部エラー”を起こして完了できないか、または“このディスクにはmacOSユーザがあります”と表示されます。 このメッセージが表示されたら、ディスクユーティリティでボリュームをAPFS暗号化として消去する必要があります。

Finderオプション

古い起動可能なバックアップ: macOSのインストールを含む (または今後含むであろう ) ボリュームで暗号化を有効にするには

暗号化された、古い起動可能なバックアップを作成することが目的であれば、以下の手順を使用してください:

  1. CCCのドキュメントに従って コピー先ボリュームを正しくフォーマットします。 APFSをフォーマットとして選択します。 ボリュームを暗号化としてフォーマットしないでください。
  2. CCCを使って、暗号化されていないコピー先ボリュームに起動ディスクをバックアップしてください。 [Big Sur (および、それ以降のOS) を使用している場合は、 “古い起動可能なバックアップのアシスタント”]を使用してください。
  3. Optionキー (Intel Macの場合)、または電源ボタン (Apple シリコンを搭載したMacの場合) を押したままMacを再起動して、バックアップディスクを起動ディスクとして選択してください。
  4. システム環境設定の セキュリティとプライバシー パネルからFileVaultの暗号化を有効にしてください。
  5. 暗号変換の処理が始まるとすぐに、Macを再起動できます — Macは自動的に製品(システム)起動ディスクから再起動します。
  6. 暗号化されたバックアップボリュームにCCCを通常のバックアップのために設定してください。

製品(システム)起動ディスクから再起動する前に、変換プロセスが完了するのを待つ必要はありません

お使いのバックアップディスクを使用する前に、変換処理が完了するのを待つ必要はありません。 単純に、FileVault暗号化を有効にして、すぐに主要な起動ディスクから再起動すると、変換処理がバックグラウンドで実行されます。 暗号化はバックアップディスクが接続されている限り継続します。 macOSは変換の進行状況を表示する便利な方法を提供しませんが、ターミナルアプリケーションに fdesetup status -device "/Volumes/CCC Backup" -extend と入力すると、変換の進行状況を確認できます。 製品(システム)の起動ボリュームから起動中、管理者アカウントにログインするまで変換が再開されないことがある、という報告が数人のユーザから寄せられていますので、変換が途中で止まっているようでしたら、ログインしてみてください。

暗号変換中はお使いのMacをAC電源に接続したままにしてください

暗号化の変換中にAC電源を抜くと暗号化の変換が永続的に一時停止したままになる、という報告が少数のmacOS Catalinaユーザから寄せられています。 弊社のテストラボではこの問題の再現に成功していません。 通常、AC電源を抜くと暗号化の変換は一時停止しますが、AC 電源が復元された時には操作が再開されます。 しかし、弊社に寄せられた報告の数から見て、macOS Catalinaに特有の何かしらの潜在的な問題があることを示しています。 この問題を避けるために、暗号化の変換中はAC電源を接続したままにしておくことをお勧めします。 暗号化の変換が一時停止していることを確認した場合は、一晩システムをAC電源に接続したままにしてみてください。

個人データを暗号化されていないフォームでコピー先に絶対に残したくない場合はどうすればいいですか?

FileVaultをコピー先で有効にするということは、ボリュームが暗号化されないで開始され、それから数時間のうちにデータは適切に暗号化されるということを意味します。 暗号化の変換プロセスが問題なく完了すると、ほぼ事実上、非暗号化されたデータの痕跡ははそのディスクに残りません。 しかし、警告があります。 お使いのバックアップボリュームがSSDで、かつ、暗号化を有効にする前にそのSSDからファイルを 削除 した場合、そのSSDは、まだ暗号化されていない、基になるブロックを自動的にローテーションから移動する可能性があり (ウェアレベリングの目的で) 、それによりそれらのデータが専門家によって修復可能になる可能性があります。 同様に、変換プロセスが何らかの理由で完了できなかった場合、そのディスクのデータを復元することも不可能ではありません。 これらのシナリオのいずれかでも容認できない場合、初期のバックアップタスクから すべての機密データを除外する ことを推奨します。 ホームフォルダ全体を除外することはしないでください。 ホームディレクトリから最低1つのフォルダを必ず含めて、バックアップでそのアカウントにログインできる必要があります。

バックアップボリュームから起動して、FileVaultを有効にした後、プロダクション起動ディスクから再起動して、バックアップタスクから除外項目を削除し、それからもう一度バックアップタスクを実行して残りのデータをコピーしてください。 暗号化の変換途中にあるボリュームにコピーされたすべてのデータがすぐに暗号化されます。

Big Sur (および、それ以降のOS) を使用している方への注意:初期のバックアップタスクを設定するために“古い起動可能なバックアップのアシスタント”を使用しないでください。 “フルボリュームのクローン”からコンテンツを除外できなくなります。 初期の標準バックアップを完了後、続けてコピー先にmacOSをインストールしてください。 インストールを完了後、FileVaultを有効にしてから、製品(システム)起動ディスクから再起動し、除外項目なしに、もう1度CCCのバックアップタスクを実行してください。

関連ドキュメント

“復旧キーがあなたの会社、学校、または組織で設定されています”

組織によって管理されているFileVault復旧キーを持つMacからデータを移行した場合、そのキーがあることで、FileVaultを有効にできません。 “ターミナル”アプリケーションからそのキーを削除できます:

sudo rm -f /Library/Keychains/FileVaultMaster.cer /Library/Keychains/FileVaultMaster.keychain
sudo fdesetup removerecovery -institutional
sudo fdesetup changerecovery -personal

その後、上記の手順に従って、システム環境設定からFileVaultを有効にしてください。

あるいは、 /Library/Keychains/FileVaultMaster.cer と、 /Library/Keychains/FileVaultMaster.keychain の2つのファイルをCCCのバックアップタスクから除外することで、バックアップディスクにそれらをコピーすることを避けることもできます。