お知らせするのが少し遅くなってしまったが、その理由の一つは私がメインに使っている Mac のすべてが今は macOS 12 Monterey を走らせているからだ。二週間ほど前、 Apple は他のアップデートとは別に、macOS 11.6.7 Big Sur を静かにリリースした。macOS 11.5 以来初めての珍しいことだが、今回のリリースノートには具体的な役に立つ情報が記されている。この macOS 11.6.7 Big Sur アップデートで、電子メールの添付ファイルを開こうとしてもそのファイルを開くために必要なアプリが既に動作中の場合には開かなかった macOS 11.6.6 での問題が修正されたという。この問題が起こると、必要なアクセス権がないというエラーメッセージがユーザーに示されていた。
TidBITS Talk ユーザーの chs は、M1 MacBook Air を macOS 11.6.7 へアップデートした後に印刷でトラブルに遭うようになった。どうやら原因はそれまでインストールされていた Rosetta がアップデートに伴って削除されてしまったことらしく、Rosetta をインストールし直すことで Brother プリンタドライバが有効化された。(ネイティブな Brother ソフトウェアにアップデートしても問題は解決したはずだ。) また、Will M も報告を寄せて、11.6.7 にアップデートした後で、彼が 4 月に 11.6.5 をインストールして以来初めて Time Machine が Time Capsule へのバックアップを完了したとのことだ。
簡単に言えば、まだ Big Sur を使っている人は、Software Update を使って macOS 11.6.7 にアップデートすれば電子メールの添付ファイルの問題が解決し、ひょっとすると Time Machine が止まってしまった問題も解決するだろう。ただし、Rosetta をインストールし直す必要が生じるかもしれないと知っておこう。または単純に Monterey へのジャンプを果たしてもよい。
ここ数週間ほど、私は今は亡き友人 Oliver の年配の父 JP とその妻 Gretel の手助けをするのに時間を割いてきた。彼らは、別な州にある介護付きアパートへの引っ越しの準備をしていた ("Oliver Habicht、53 歳ですい臓がんにより逝去" 26 September 2020 参照)。彼らは、栄養疫学と栄養人類学において国際的に著名な科学者であり、お二人とも加齢による不可避の身体的損傷は見受けられるものの、時には投薬や疲れのために反応が鈍くなることもあるが、心神的には全く正常でおられる。
私は、Oliver と必要な時には代役をする約束をしており、そして彼は JP と Gretel の技術サポート役を長年勤めてきたので、彼らがコンピュータの質問があると言ってきた時には喜んで手助けしようと思った。JP は 1987 年に私がまだ Cornell の3年生だった時の初めてコンサルタントをした顧客であり隣のブロックに住んでいたので、それがどんなものか、多かれ少なかれ、感じは分かっていた。当時私は、彼の家に行き、彼の Mac Plus 上の空のフォルダに名前を付けることで彼自身に残したメモを解読したり、各種のソフトウェアやハードウェア問題と向き合うのを手助けした。
彼らが引っ越しする予定の日まで数回訪問するのが精一杯であり、家中が引っ越し荷物で満杯であったので、焦点を当てるのは3つの分野とした:旧式のハードウェアを整理する、彼らのバックアップ戦略を合理化する、そしてより良いパスワード管理システムを考え出す。それぞれの場面で、私は Apple がこれらの問題に対処するために相応の努力を払ってきたという事実に気付かされたが、最近のハードウェア、オペレーティングシステム、そして技術を使っていない年配の Mac ユーザーには必ずしも役に立たないやり方になっていると思えた。
私が最初に訪ねた時、JP と Gretel は箱一杯の雑多な付属品を持っていた - キーボード、マウス、USB ハブ、電源 - 私の名前の入った付箋のラベル付きで。(実際、付箋は至る所にあった。と言うのも、それ等は優秀なリマインダーだし、それに JP は昔からうっかり博士そのものであった。) 彼らはまた、古い MacBook Air, Mac mini, iMac, Dell PC タワー、そして PC サブノートブックを持っていたが、全てが彼らの重荷になっていた。どれも使われてはいなかったが、彼らはそれ等をリサイクルするのではなく保存してきた。その理由の一つは、古いコンピュータを新しいもの手にした後直ぐに戦列から外すのは難しいからである。いつ何時、何らかの理由で古いものが必要になるかも知れないではないか。それに、そのマシンが他の人にとっても価値があるかどうかに拘わらず、廃棄する前に内部ドライブを消去するのは重要である。
ドライブを消去しマシンを手放すのは私の役目であった。これらのマシンの年を考えると、その作業は思った以上に難しいこととなった。2010 MacBook Air は簡単であった:macOS Recovery で起動し、SSD を再フォーマットし、そして macOS を再インストールした。それを引き受けたいという友人まで現れた。しかし、私は iMac のハードドライブを消去する事は出来たが、それは 10.11 El Capitan をインストールするためには私の Apple ID が必要だと強要し、そしてそのインスタレーションは何度となく失敗に終わった。Mac mini はブートしたように見えたが、ディスプレイをドライブする所まで持って行けていないので、スクリーン上に何があるか、或いはドライブは消去されたのか見ることが出来ない。(何人かの人が助けの手を差し伸べてくれていて Target Disk Mode を勧めてくれているので、このプロジェクトに戻った時には試したいと思っている。) 私は未だ PC には手が届いていない - それ等はドリルで穴を開けリサイクルに回されることになるかも知れない。
要は、コンピュータを廃棄のために準備することに関して、私の様な経験、知識、そしてハードウェア (そしてコンピュータやスクリーンを動かし回るのに必要な筋力と柔軟性も) を持つ誰かが必要となるのであれば、それはとても多くの高齢者の手に負えるものではないであろう。廃棄するために Mac を綺麗にする作業はコンサルタントや IT アドミン以外の人がしょっちゅうやる様な類いのものではないので、それはとりわけ真実だと言える。
幸いにして、これは Apple が正しい方向に動いている場面の一つと言える。まず、同社はユーザーに古いハードウェアを下取りに出すかリサイクルするよう勧めている。次に、macOS 12 Monterey に始まって、Apple は Mac を譲渡用に準備するのをより易しくしている、かなり隠れた形でではあるが。
Monterey を走らせている Mac を新生活のために準備する手順を述べてみる (これは M1 Mac か Intel-based Mac で T2 セキュリティチップを持ったものを必要とする)。System Preferences アプリを開いて、しかし何時もやるようにそのウィンドウの内側で作業するのではなく、System Preferences > Erase All Content and Settings を選択し Erase Assistant を始める。Continue をクリックした後、それは全てのアプリを消去しそして全てのデータを消去する作業を進める。或いは、少なくとも、私はその様に想定する。何故ならば、私はそれに私の 27-inch iMac ブートドライブを消去させなかったので。
おっとっと、多くの高齢者はこれらの要件を満たす Mac は持っていないかも知れない。他の Mac に対しては、ブート時に Command-R を長押しして macOS Recovery を開始させ、そこから Disk Utility を使ってブートボリュームを消去し、それからクリーンバージョンの macOS を再インストールする。
より良いバックアップ
IT 専門家であった Oliver からの助言のあった長年の Mac ユーザーとして、JP と Gretel のお二人共 Time Machine ドライブをローカルのバージョン化されたバックアップとして、そして IDrive へのオフサイトバックアップを持っていた。彼らはオフサイトバックアップの重要性を理解していたが、IDrive に関しては不満があり、新しい Internet バックアップを欲しがっていた。彼らはまた、バックアップについての二つの良くある混乱の元でも苦闘していた:
彼らは、収容力のある Time Machine ドライブ上に他のファイルも保存出来るのか知りたがっていた。技術的には、可能であるが ("APFS の Time Machine ドライブで余った容量を使う方法" 20 May 2022 参照)、同じ物理ドライブ上にバックアップと元データを一緒に保存するのは良い考えではない。とりわけ、複数のバックアップシステムを維持していくやり方をきちんと理解していない人達にとってはそうである。
IDrive の他に、彼らは Dropbox と Google Drive の追加ストレージに対して支払いをしており、そのストレージに対してバックアップ出来るのか知りたがっていた。繰り返しになるが、それは技術的には可能だが、両者が提供しているのはオンライン同期とストレージであって、バックアップではない。バージョン化とファイル削除に対する保護の付いたバックアップのためには、バックアップアプリが必要である。
Backblaze は良いシステムである、とりわけ最初に設定したら後は忘れてしまえると言う意味では。それは高齢者には必須であり、彼らのバックアップを管理するためにより長い時間を費やす必要が無くなる。JP と Gretel が初めのうちに感じた主たる問題は、Backblaze の設定ペーンは Mac 上にありそして追加の管理やファイル復元のためには Web ベースのインターフェースを使わなければいけないという不連続性にあった。彼らは又、最初のバックアップでは湯沸かしポットは見つめていると中々沸かないと言う問題の犠牲となった。彼らの最初のバックアップは完了する迄数日かかった。
Apple はこれ迄 iOS と iPadOS に対するバックアップニーズに対しては iCloud Backup で対応してきたが、同社が Mac を有料の iCloud+ ストレージにバックアップする iCloud Time Machine を未だリリースしていない事に私は今でも驚いている ("将来の Apple オペレーティングシステムに対する5つの改善策" 19 May 2022 参照)。その様な内臓のシステムがあれば、より多くの Mac ユーザーが - 年齢に関係なく - 外付けドライブを買う必要が無くなるので彼らのデータを保護するようになるであろうし、そして、ローカルに Time Machine を既に使っている人に対してはオフサイトバックアップを提供出来る事になる。
共有パスワード
懸念の最後の分野はパスワードである。私には理由は分からないが、JP とGretel はこれ迄パスワードマネジャーに移行したことがない。それは一部には JP の特異なまでのメモ取り習慣と Gretel の卓越した記憶力のせいかもしれない (Backblaze に申し込む時、彼女は American Express のカード番号、有効期限、そして CVC コード迄全て支障なくソラで言えた)、何れにしろ、Gretel は一度限りのパスワードや事実を覚えられないかも知れないことは自覚しており、紙切れに手書きしたメモに頼っている。同様に、もっとデジタル化はしているが、JP は Word 書類を維持しており、そこに色々なサイトに対するパスワードを表現するコード化されたメモを残している。その内容は彼自身か彼を良く知る人しかそのパスワードを解き明かせないものとなっている。彼は最近その書類を家族と共有する様になったが、もっと良い解が存在することは承知していた。
究極の解は勿論パスキーであり、それはパスワードよりもより簡単でより安全であるが、高齢者は更にもう一つの新しい認証システムに慣れるのに苦労するのではないかと私は心配になる ("パスキーがパスワードよりシンプルかつセキュアなものになる理由" 27 June 2022 参照)。もし JP と Gretel が彼らの世代のなにがしかの代表であれば、パスキーの生体認証の側面は高齢者に対しては有効な解ではないかもしれない - Touch ID は彼らのどちらでもうまく行かないし、それに私は指紋スキャンの精度は年齢と共に下がっていくという説を見たことがある。その理由は、皮膚はより平らになり弾力性を失うからである。Face ID にはその様な問題は生じないであろうが、Apple 機器の多くが Touch ID に依存し続けている。
あなたが何か: パスキーは必ずしも Face ID や Touch ID を使った生体認証を必要とはしないけれども、それは確かに一つの選択肢だ。Apple は常に Face ID や Touch ID に代わる最終手段としてデバイスのパスコードを使えるようにしているので、予備の手段を持たない生体認証専用のデバイスと比べて“あなたが知っている何か”との間の境界線は曖昧になる。
Apple は個々のパスキーをあなたのキーチェーンの中の単なる新たな項目として保存する。あなたが iCloud Keychain を有効にしている場合には、パスキーがあなたのすべてのデバイスに同期される。(iCloud Keychain は Apple ID で二要素認証 (2FA) が有効になっていることを必要とする。ユーザーアカウントで 2FA が内部使用されている状態をパスキーが置き換えることになるのか否かについて Apple はまだ何も明言していない。)
パスキーはパスワードと第二要素の両方ともを置き換えるので、もしも自分の Apple ID アカウントから締め出されたり、あるいは登録されたデバイスすべてを失ったりすればどうなるのかと心配になるのも自然なことだろう。Apple は、Apple ID アカウントへのアクセスや iCloud 同期されたデータを復旧するためのいくつかの手続きを用意している。Apple ID アカウントを復旧するには、Apple のアカウント復旧手順を使うか、またはアカウント用の Recovery Key を使う。iCloud データについては、友人や家族の手による復旧システムiCloud Data Recovery Service を有効にしてある場合には、それを使ってアクセスを再有効化できる。アカウントへのアクセスが復旧したら、その後で Apple が用意した追加の手順を踏めば、iCloud Keychain の項目を取り戻すことができる。その手順の中には、登録された電話番号に SMS を通じてコードが送られることや、iCloud 同期されたデバイスの一つにデバイスのパスコードを入力しなければならないことが含まれている。
あなたが自分の iPhone でパスキーによる認証を使って誰か他の人の PC 上にあるパスキー対応アカウントにログインしようと思えば、次の手順を踏めばよい。ログインの最中に、ブラウザの中でパスキーを入力したりその他の認証方法を使ったりする代わりに、デバイスを追加する方法を選ぶことができる。そのウェブサイトのサーバが QR コードを生成し、そこには一回限りのパスワード2個の組が含まれている。これはそのログインのためだけに生成され、次のステップで追加認証のために使われる。(ブラウザが開いているデバイスは、オペレーティングシステムとデバイスがパスキーに対応しているものであれば何でもよい。認証を担うデバイスの方は Apple ないし他の会社によって限定を受けることがある。例えて言えば Mac 上の Safari の中で iPhone を使って Apple Pay の確認ができるけれども Touch ID 搭載の Mac を使って iPhone からの Apple Pay を確認することはできないのと同じことだ。)
この例での PC も、サーバと直接接続して認証できるために必要な情報を含む Bluetooth メッセージを送信し始める。iPhone で QR コードをスキャンすれば、iPhone は終端間で暗号化されたプロトコルを用いて、その QR コードに示された鍵で PC のウェブブラウザとの間にトンネルを作成する。(ちなみにこの暗号化された接続は Bluetooth プロトコルではないけれども、データは Bluetooth 上でトンネルされる。Bluetooth 自体は必要な暗号化強度を備えていない。)
出典: Apple
この Bluetooth 接続が 帯域外の 要素、つまり認証を提供しているデバイス (今の場合には iPhone) に向けてその PC が提供していない詳細情報を提供することによって、追加のセキュリティと検証が提供される。ウェブページはフィッシング攻撃によって欺かれることがあり得るので、この Bluetooth 接続がデバイスからデバイスへの裏ルートを通じて重要な情報を伝える:
サーバのアドレス: QR コードが iPhone に対してパスキー接続のために実際にどのサーバ (あるいはサーバのリスト) に接続可能かを伝えることはない。これにより、ブラウザが悪意ある情報を提供することが防げる。
鍵の認証: QR コードの中にある鍵を使って Bluetooth 経由の終端間暗号化された双方向セッションが成功裏に成立したという事実により、その QR コードが確かにブラウザが発行したものであること、iPhone がスキャンしたものと同一の QR コードであることを、iPhone と PC の双方が確認できる。(Apple はまだこの段階に関する完全な詳細を発表していない。オペレーティングシステムがブラウザのリクエストに応じて QR コードを生成するのは明らかだが、ブラウザが Bluetooth 接続を傍受することはできない。だから、フロントエンドの攻撃で悪意ある QR コードを表示しても攻撃は成立しない。PC と iPhone が間にブラウザを挟まずコミュニケーションするからだ。)
近接性: 短距離の Bluetooth 接続を使うことで、その PC と iPhone が互いに近くにあることが実証される。
パスキーの実装が展開しつつある段階では、使い勝手の面での問題があるかもしれない。でも、広範囲にわたる問題があるとは思えない。例えば、WebAuthn サーバのコンポーネントのどれかにアップデートが必要となったり、あるいは Apple が自社のフレームワークにより多くのエッジケースへの対策を盛り込んでさまざまの事例に対処しなければならなかったりということはあるだろう。
