Appleは2017年12月のiMac Proを皮切りに、2018年以降に発売されたMac mini、MacBook Air、MacBook Proの各モデルにも、自社開発のT2チップをMacに搭載してきました。前身のT1チップと同様に、T2チップは、Macハードウェアのセキュリティ上重要な部分を、ハッキングや不正行為の標的となりやすいMac CPUや従来のコンピューティングコンポーネントから、「セキュアエンクレーブ」と呼ばれる、ハッキング、マルウェア、さらにはハードウェアベースのセキュリティリスクさえもアクセスできない独立した環境へと移行するように設計されています。たとえmacOSがセキュリティ上の欠陥や攻撃者によって完全に「乗っ取られた」としても、T2チップが処理する重要な機能やデータは全く影響を受けません。
昨今、テクノロジーユーザーの多くはセキュリティの強化よりも軽減を望んでいると言っても過言ではありません。そのため、T2 のメリットは、少々オタクっぽい部分もあるとはいえ、明らかです。しかし、だからといって、T2 搭載 Mac がすべての Mac ユーザーにとって、たとえ最大限のセキュリティを求めるユーザーであっても、今まさに最適な選択肢であるとは限りません。
Apple はなぜセキュリティチップを必要とするのか?
Appleのハードウェア部門がここ数年好調を維持していることは周知の事実です。現在、iPhoneやiPadからApple WatchやAirPodsまで、あらゆるデバイスに搭載されている5つのプロセッサライン(A、H、S、T、Wチップ)を製造しています。そのため、Apple独自の機能を実現するために、Macに独自のチップを搭載するのは当然と言えるでしょう。
同社は2016年後半にT1プロセッサを導入し、Touch Bar搭載MacBook Pro(初代)のTouch IDセンサーの指紋認証処理を担当させました。また、内蔵マイクやカメラといった機密性の高いコンポーネントのセキュリティ保護にも役立っています。さらに、T1はシステム管理コントローラ(SMC)も担い、熱と電力の管理、バッテリー充電、Macのスリープとスリープ解除を担っています。そして、T1はmacOSがAppleのハードウェア上で実際に動作しているかどうかを判断します。
T2 はそこからさらに 4 つの主要な機能を備えています。
- 内蔵ソリッドステートドライブへのすべてのアクセスを掌握し、リアルタイムの暗号化と復号化を可能にするため、データが平文で保存されることはありません。
- 「Hey Siri」でSiriを起動できる処理能力を提供します。
- 内蔵FaceTime HDカメラの画像強化機能を提供します
- オプションでMacの起動プロセスをロックダウンすることができるので、誰かがMacを盗んだとしても、外付けドライブを使って起動してデータを盗むことはできません。
T1とT2がこれらすべての機能を実現できるのは、基本的に独立したメモリとストレージを備えた独立したコンピューターだからです。これらはAppleのbridgeOSを実行するARMチップです。T2はiPhone 7に搭載されたA10プロセッサをベースにしており、bridgeOSはAppleのwatchOSから派生しています。ある意味では、T1とT2は独立したコプロセッサとして機能し、Macの共通タスクを処理し、CPUが他のタスクに集中できるようにすることでパフォーマンスを向上させます。しかし、別の意味では、macOSが侵害されても安全な、完全に独立したシステムを提供することで、セキュリティを大幅に強化します。
Apple は T2 チップの概要を公開し、その技術的な詳細の一部を詳しく説明していますが、主なポイントは次のとおりです。
- セキュアブート: T2は、起動プロセスのすべてのコンポーネント(ファームウェア、カーネル、カーネル拡張、ブートローダーなど)が、起動前にAppleによって信頼されていることを暗号的に検証することを保証します。これは、Macが侵害された低レベルソフトウェアで起動され、ユーザーのデータが漏洩するのを防ぐためです。セキュアブートは、リカバリモード、診断モード、インターネットリカバリモードもカバーします。デフォルトでは、セキュアブートはAppleによって署名されたソフトウェア、またはMicrosoftのブートローダーを認証するためにMicrosoft証明書によって署名されたソフトウェアのみを信頼します。つまり、内蔵SSDにWindows 10をBoot Campでインストールした場合はセキュアブートのすべてのメリットが得られますが、Linuxなどそれ以外のOSは現在利用できません。T2
チップを搭載したMacでは、リカバリモードで起動セキュリティユーティリティも利用できます。ユーザー(有効な管理者パスワードを持つユーザー)は、ファームウェアパスワードを設定したり、セキュアブート機能の一部をダウングレードしたりできます。ただし、「セキュリティなし」設定では、信頼されていないオペレーティングシステムが内蔵SSDを使用して起動できるとは限りません。なぜなら、T2をストレージコントローラとしてサポートする必要があるからです(Linuxは違います)。他のオペレーティング システムの使用は外付けドライブからのみ可能と思われますが、指紋認証など、T2 の利点はほとんど得られません。
セキュアスタートアップユーティリティはT2搭載Macで利用可能 - 暗号化ストレージ: T2 は、Mac 内蔵のソリッドステートドライブ上のデータのオンザフライ暗号化と復号化を可能にします。この暗号化は FileVault と同じ技術を使用しており、起動には有効なパスワードが必要です。T2 は独立したシステムであるため、パスワード入力の失敗時に遅延を強制できます。ログインウインドウまたはターゲットディスクモードでは、パスワード入力の試行回数が 30 回までに制限されており、14 回失敗すると 1 分間の遅延が各試行に設定されます。リカバリモードと FileVault リカバリ(iCloud リカバリを含む)では、より多くの試行回数が可能ですが、パスワード入力の試行間隔は最大 1 時間まで延長される可能性があります。この程度の遅延により、総当たりパスワード攻撃は非現実的になります。ただし、T2 のオンザフライ暗号化は、内蔵 SSD 以外では期待できません。従来のハードドライブを搭載した Mac(一部の新しい iMac にはまだ搭載されています!)では、おそらくこのメリットは得られないでしょう。外付けドライブにもこの保護は適用されません。
- Touch ID: MacBook Pro と MacBook Air では、Touch ID は iOS デバイスとほぼ同じように動作します。指紋を照合するには 5 回試行でき、ランダムに選択した指紋が Touch ID に保存されている指紋と一致する確率は約 50,000 分の 1 です。(つまり、5 つの指紋を設定した場合、約 10,000 分の 1 の確率で Mac のロックが解除されます。これは、Mac がかなりの数の不正アクセスにさらされていることを意味します。) Mac は、2 日間使用されていない場合、または約 1 週間パスワードが使用されていない場合、起動時にパスワードを要求します。(実際の基準は、6.5 日間パスワードで Mac のロックが解除されておらず、 4 時間以内に指紋でロックが解除されていないことです。)
- 静かに! T2搭載のMacBook ProとMacBook Airの全モデルは、蓋を閉じると内蔵マイクがハードウェア的に切断されます。つまり、たとえマルウェアがマイクを乗っ取り、密かに盗聴したり録音したりできたとしても、蓋を閉じるとマイクはMacから物理的に切断されます。ただし、ヘッドセット、外付けマイク、その他のオーディオ機器については同じことが言えません。FaceTime HDカメラにはハードウェア的に切断されないため、蓋を閉じると実質的にブロックされます。
T2の欠点
ほとんどのMacユーザーにとって、T2のメリットは明らかです。特に、Macをどこへでも持ち歩くノートパソコンユーザーにとってはなおさらです。たとえ新しいMacBook Airが盗難に遭っても、T2があれば、メール、パスワード、クレジットカード番号、ソーシャルメディアアカウント、極秘プロジェクト、写真といった機密データが悪意ある者の手に渡るのを防げます。
ただし、T2 にはトレードオフがないわけではありません。
- 修理しにくくなる: T2チップでは、フラッシュストレージ、Touch IDセンサー、メインロジックボードなどの特定のコンポーネントを交換するために、技術者が独自の診断ツールを実行する必要があります。つまり、これらのコンポーネントの修理または交換は、Apple StoreまたはApple認定サービスプロバイダでしか行えません。ほとんどのMacユーザーはこれらのコンポーネントを交換する必要はありませんが、これはMacの修理しにくくなるもう一つの要因です。
- NetBoot、さようなら: T2チップ搭載Macはネットワークボリュームから起動できません。これは、現在廃止されているNetBootを依然として利用している組織や学校にとって深刻な問題となる可能性があります。NetBootが必要な場合は、Appleが最近刷新したiMacシリーズにはT2チップが搭載されていないことに注意してください(「Apple、より高速なマルチコアCPUでiMacのパフォーマンスを向上」、2019年3月19日記事参照)。
- データ復旧はほぼ不可能: T2チップはSSDにオンザフライ暗号化と復号化を提供するため、内蔵ドライブからデータを取得するにはT2チップしか利用できません。T2チップが破損したり動作不能になったりすると、たとえ一流のデータフォレンジック専門家であってもデータにアクセスできなくなります。そのため、しっかりとしたバックアップ戦略を策定しておきましょう。この分野に必要な情報はすべて、『Take Control of Backing Up Your Mac, Third Edition』で確認できます。
- Linuxと古いWindowsの起動に関する問題:多くのソフトウェア開発者、特にWeb開発者は、Macを所有していてもLinuxやその他のOSで作業することを好みます。T2搭載Macは、T2のセキュアブート機能を無効にした後、外付けドライブからLinuxまたはWindows 10より前のバージョンのWindowsを起動することしかできません。これらのOSを実行する必要がある場合は、仮想マシンで実行することに慣れてください。これらのシステムを「ベアメタル」で実行する必要がある場合、T2搭載Macは適していません。
では、これらのオーディオの問題は何なのでしょうか?
iMac Proの発売以来、そしてT2搭載の新型Macにも引き続き、ユーザーから時折発生するオーディオの不具合(クリック音、ポップ音、突発的なノイズなど)が報告されています。これは、不規則な間隔で発生すると思われる小さなクリック音、ポップ音、または突発的なノイズです。オーディオの再生と録音の両方で発生し、Apple Musicを聴いているとき、YouTubeで動画を視聴しているとき、ゲームをプレイしているとき、あるいは(おっと!)パーティーでDJセットを演奏しているとき、あるいは交響楽団の生演奏を録音しているときなど、どのアプリでも発生する可能性があります。
この問題は、USB接続のオーディオ機器(一般向けヘッドセット、ポッドキャスターレベルのマイク、プロ仕様のオーディオ機器など)で最も多く発生しているようですが、内蔵スピーカーやマイク、Thunderbolt接続のオーディオ機器でも同様の不具合が発生します。どのくらいの頻度で発生するのでしょうか?一概には言えません。1時間に数回発生するユーザーもいれば、1日に1回程度しか発生しないユーザーもいます。
多くのMacユーザーは気にしないでしょう。「ベイビーシャーク」を31回目にストリーミングしているときに少しポップノイズが聞こえたくらいでは、大した問題ではないですよね? いや、もしかしたらそうかもしれませんね。
しかし、そうでない人にとっては、これらの不具合は文字通り致命的です。Mac を使ってライブ オーディオを処理している場合 (DJ や、Mac で Ableton Live や Apple の MainStage などのプログラムを使用してソフトウェア インストゥルメントを実行しているミュージシャンなど)、ランダムなポップ ノイズ、クリック ノイズ、突発的な音を聴衆に浴びせるのは非常に良くありません。音楽を録音している場合 (ベッドルームで GarageBand を使用していても、プロのスタジオで 1 時間あたり数百ドルを費やしていても)、これらの不具合は重要な瞬間に必然的に発生し、多くの場合は録音が台無しになります。伝説のパフォーマーに「ねえ、素晴らしかったけど、Mac に不具合があったんだ。もう一度やり直して、今度はうまく録音できるかもしれないよ」と言うことを想像してみてください。これは、キャリアにあっという間に終止符を打つ方法です。ミュージシャンやオーディオのプロフェッショナルにとって、この問題は T2 Mac を信頼できないものにします。皮肉なことに、これらの人々の多くは、Windows でのオーディオ セットアップの信頼性の低さを避けるために Mac を使用しています。
プロのレコーディングスタジオにとって、T2チップはまだ大きな問題ではありません。(冗談ではなく、多くのMacベースのレコーディングスタジオは、いまだに10年前のMac Proタワーを使用しています。)しかし、音楽、ポッドキャスト、ミキシング、DJなど、アマチュア、愛好家、そしてプロのオーディオ作業の膨大な量は、プロのスタジオではなく、ノートブックやMacベースの小規模なプロジェクトスタジオで行われています。多くのミュージシャンがステージにMacを持ち込み、リアルタイムで演奏しています。T2はAppleのMacラインナップのますます多くの部分に普及しており、新しいMacを選ぶのが難しくなっています。
どうすればいいでしょうか?T2オーディオの問題は1年以上前から知られていましたが、AppleはmacOS Mojave 10.14.4でT2搭載Macで使用されるUSBオーディオデバイスの「信頼性が向上する」という漠然とした主張以外、一切の言及をしていません。一部のオーディオ開発会社(ドイツのRMEなど)はUSBオーディオの改善を報告していますが、T2搭載MacBook Proで私が行った限定的なテストでは、10.14.4でUSBまたはThunderboltオーディオデバイスを使用しても、目立った改善は見られませんでした。
timedT2ユーザーの中には、Macの時計をタイムサーバーと同期させる組み込みプロセスや、位置情報サービスのためにMacの位置を特定する組み込みプロセスを停止することで、不具合の発生頻度を軽減できたというlocationd声もあります。これらの回避策でうまくいった方もいる一方で、依然として問題を抱えている方もいます。残念ながら、これらのバックグラウンドプロセスを停止するのは容易ではなく、macOSのシステム整合性保護を無効にする必要があります。つまり、推奨されません。
T2 Mac はあなたにぴったりでしょうか?
ほとんどの Mac ユーザーにとって、T2 チップは明らかな利点を提供します。MacBook Pro と MacBook Air の優れた指紋検出機能を強化するだけでなく、完全に暗号化されたストレージを提供し、政府がコンピューターを押収した場合に実行する可能性のある種類の攻撃を含むさまざまな高度な攻撃に対して Mac を強化します。
しかし、T2チップはMacの世界がいかに脆弱であるかをも浮き彫りにしています。Apple Storeや正規修理店に簡単にアクセスできないユーザーは、T2チップ搭載Macの修理に深刻な問題に直面する可能性があります。適切なバックアップ戦略を持たないユーザーは、T2チップが故障した場合、データ復旧の専門家に頼んだとしても、おそらくデータを全く復旧できないでしょう。また、macOSやWindows 10以外のOSをネイティブで動作させたい開発者は、基本的に運が悪いと言えるでしょう。そのため、MacにT2チップが搭載されている場合は、必要に応じてどこで修理を依頼するかを事前に確認し、定期的に複数の場所にバックアップし、ゲストOSには仮想化を使用するようにしてください。
とはいえ、ポッドキャストの録音、パーティーでのDJ、プロのエンジニアやミュージシャンなど、Macをオーディオに頼っている方は、オーディオの問題が確実に解決されるまで、T2搭載Macは避けることをお勧めします。それまでに新しいMacが必要な場合は、T2チップを搭載していない数少ないモデル、あるいはT2以前の古いMacを検討してみてください。Appleは整備済製品やクリアランスモデルをお得な価格で提供している場合があります。