OS X LionのFileVault 2は『ハードディスク全体』を暗号化しない
Mac OS X Lionからバージョンが上がったFileVault(FileVault 2)は、「ディスク全体で XTS-AES 128 暗号化を行なってユーザのデータの安全性を保ちます」とあるのですが、ここで言う「ディスク全体」はハードディスク装置の所謂『ディスク』を指すのではなく、OS X Lionがインストールされている『ボリューム全体』を指しているようです。
実際、Boot CampでWindows 7をインストールし、FileVaultで暗号化した後にMacBook Proからハードディスク装置を取り外し、別のMacにUSB接続してみましたが、Macintosh HDボリュームをマウントしようとするとロック解除を求められるものの、BOOTCAMPボリュームは普通に中身を閲覧・操作できました。
FileVaultをオンにしても、OSが起動する前にパスワードを求められたりはしなかったので、まあそうなんじゃないかなーと薄々思ってはいたんですが、これはちょっと残念でした。
以下、試した手順と結果です。
(1)まっさらのHDDにMac OS X Lionをインストールする。
(2)Boot CampでWindows 7をインストールする。
この時点で、HDDには"Macintosh HD"と"BOOTCAMP"というボリュームが存在する。
(3)Mac OS X LionのFileVaultでHDD全体を暗号化する。
(4)HDDを取り外して、別のMac(OS X Lion)にUSB接続する。
(5)"Macintosh HD"のロック解除用パスワードを入力してください。というダイアログウィンドウが表示される。
ここで正しいパスワード(OS X Lionのインストール時に設定した管理者権限のユーザーのログインパスワード)を入力するとMacintosh HDとしてマウントされる。
間違ったパスワードを入力するとダイアログウィンドウがぷるぷる震えて再入力を促される。
n回間違ったら○○になる、みたいなことはない。
キャンセルボタンをクリックするとマウントされない。
(6)"BOOTCAMP"は特にロック解除などを求められることはなく、USB接続が認識されたら即マウントされる。
(7)取り外したHDDを別のPC(Windows 7)にUSB接続する。
(8)"BOOTCAMP"が(試したPCでは)Eドライブとして認識され、いつもの自動再生のオプション選択ウィンドウが表示される。
(9)自動再生オプションから「フォルダーを開いてファイルを表示」を選択するとExplorerで中身をいじることができる。
ということで、Boot CampでWindows 7をインストールしている場合は、BOOTCAMPボリュームをTrueCrypt(オープンソース)やPGP Whole Disk Encryption(Symantec/有料)等を使って個別に暗号化するか、(この2つのソフトで可能かどうかは試していませんが)ディスク全体を暗号化するしかないようです。