Netflix、Mac管理に便利なFileVault修復ツール「Escrow Buddy」をオープンソース化：生産性の低下や大規模なデータ損失防止に期待

NetflixがFileVaultを修復するためのツール「Escrow Buddy」をオープンソース化した。これはFileVaultをモバイルデバイス管理システムにのみエスクローするニーズに応えるための認証プラグインだ。

[＠IT]

MDMによる生産性の低下や大規模なデータ損失の問題

　Netflixは、2023年6月23日（米国時間）、FileVaultを修復するためのツール「Escrow Buddy」のオープンソース化を発表した。これはFileVaultをモバイルデバイス管理システム（MDM）にのみエスクローするニーズに応えるための認証プラグインだ。

　今までは、モバイルデバイス管理システム（MDM）のエスクローペイロードを管理下のMacに展開したからといって、必ずしも全てのMacについて有効なリカバリーキーを管理できるとは限らなかった。リカバリーキーは、以下のような理由でMDMから欠落する可能性がある。

• MDMに登録する前に、FileVaultが有効になっている
• MDMのスコープ問題やMDMの設定ミスにより、MDMエスクローペイロードがMac上に存在しない
• Macが、鍵が保存されている別のMDMから移行している
• MDMデータベースの破損やデータ損失により、エスクローされた鍵の一部または全部が失われる

　どんな理由にせよ、Macからロックアウトされてしまえば初期化してやり直さなければならない。結果として、データがバックアップされていれば生産性が落ち、バックアップされていなければ大規模なデータ損失が発生する。

従来の解決策

　コンピュータごとにFileVaultを無効にして、再度有効にすることで新しい鍵を生成することができる。しかし、コンピュータが短時間で暗号化されていない状態になり、複数の手順を踏む必要があった。また、内蔵のfdesetupコマンドラインツールを使って新しい鍵を生成することもできるが、全てのユーザーがターミナルコマンドの入力に慣れているとは限らない。また、どちらの方法も、数百台、数千台規模のMacで設定できるような手法ではない。

　別のアプローチとしては、パスワードのプロンプトを表示するために、テキスト入力フィールドをユーザーの画面に表示できるツールを使用し、提供されたパスワードを渡すことができる。しかしこの場合、影響を受けるユーザーに対して、追加のパスワードプロンプトに対応するために必要なコンテキストを提供する必要がある。さらに問題なのは、このパスワードプロンプトのアプローチは、"同意疲れ"を助長するため、セキュリティ文化に悪影響を及ぼしやすい。ユーザーは、他のタイプのパスワードプロンプトを承認しやすくなり、マルウェアやランサムウェアに狙われやすくなる可能性がある。ユーザーによる追加操作を必要とせず、全て自動化できるのが理想形だった。

クリプトとその認可プラグイン

　macOSの認可プラグインは、Appleの認可サービスAPIに接続し、ユーザーのログイン関連の決定に参加できるようにする。また、ユーザー名やパスワードなど「ログイン画面」でのみ、利用可能な情報が必要な手順の自動化を促進する。

　Macの管理者コミュニティーで広く使われている認証プラグインは比較的少ないが、よく使われる例としてCryptエージェントというものがある。典型的な構成では、Cryptエージェントはログイン時にFileVaultを強制し、その結果得られたリカバリーキーを対応するCryptサーバに預ける。このエージェントは、使用後のリカバリーキーのローテーション、リカバリーキーのローカル保存と検証、その他の機能も備えている。

　Cryptエージェントは単独で導入でき、次回ログイン時に鍵を再生成するように設定できるが、MDMに鍵を預けることはCryptの主な使用例ではない。また、全ての組織がCryptサーバとそれに付随するデータベースをホストしたり、Cryptのコードベースのサーバ機能に関連する部分を監査したりする時間や専門知識、関心を持っているわけでもない。

新しいツールのEscrow Buddyとは

　Netflixのクライアントシステムエンジニアリングチームは、FileVaultキーをMDMにのみエスクローし使用する組織のニーズに応えるために、最小限の認証プラグインを作成した。この新しいツールが「Escrow Buddy」である。

　Escrow Buddyの認証プラグインは、macOSのログイン認証データベースに追加されると、ログインユーザーの認証情報をfdesetupツールの入力として使用する。そして、ログイン中に新しいキーを自動的かつシームレスに生成するメカニズムを備えている。Escrow Buddyは、使い慣れた信頼できるmacOSのログイン体験と統合することで、追加のプロンプトや画面上のメッセージを表示する必要性をなくすことができるという。

　Escrow Buddyは以下の3つのステップを踏めば利用できる。

• 1．MDMがFDERecoveryKeyEscrowペイロードを管理下のMacに導入していることを確認する。これにより、新しく生成されたFileVaultキーは、生成方法に関わらず、自動的にMDMにエスクローされるようになる
• 2．Escrow Buddyを展開する。全ての管理対象Macに展開するか、新しい鍵をエスクローする必要があるサブセットだけに展開するかどうかを選択できる
• 3．有効なエスクローキーがないMacで、MDMがrootコンテキストでこのコマンドを実行するように設定する

　次回起動時またはログイン時に、指定したMacが新しい鍵を生成し、Macが次にSecurityInfoコマンドに応答したとき、MDMに自動的にエスクローされる。タイミングはMDMベンダーによって異なるが、インベントリ更新時に行われることが多い。