T2セキュリティチップは具体的に何をしている?

近年のMacコンピュータは完全Apple製のチップである”T2 Security Chip(以下T2チップ)”が内蔵されている。

では具体的にこのT2チップは何をするものなのか?Appleが公開していたホワイトペーパー(現在はホワイトペーパーへのリンクは喪失)を参考にこのT2チップが担う役割をまとめる。

なお、T2チップのベースはiPhoneなどに採用されているSoC「Aシリーズチップ」のA10 Fusion(iPhone 7で初めて採用)である。

T2チップ搭載のMacは?

2020年8月現時点でのT2チップ搭載Mac製品は以下である。

  • iMac Pro
  • iMac 2020以降
  • MacBook Air (2018年発売モデル以降)
  • MacBook Pro 13インチ/15インチ(2018年発売モデル以降)
  • MacBook Pro 16インチ 2019
  • Mac mini(2018年発売モデル以降)
  • Mac Pro 2019
参考 Apple T2 セキュリティチップを搭載したコンピュータApple

興味深いのはMacBook ProやAir、Mac miniではT2チップがいち早く搭載されたのに対してiMacに関しては2020年モデルになってようやくT2チップを搭載した点だ。

T2チップが登場してしばらく経つが、2020年になってやっと全てのMacがT2チップを搭載したことになる。

なお、自分のMacがT2チップを搭載しているかどうかは、Optionキーを押しながらメニューバーのAppleロゴをクリックしてシステム情報を表示することで確認出来る。

Mac mini 2018のシステム情報画面。
コントローラの項目にApple T2セキュリティチップという表示がある。

このシステム情報の”コントローラ”という項目をクリックするとT2チップ搭載Macであれば、T2チップのファームウェア情報などが表示される。

T2チップ非搭載のMacBook Pro 13インチ2015
コントローラの項目には”コントローラ装置がありません”という表示がされる。

ちなみにT2チップ非搭載のMacの場合はコントローラという項目は存在するが、クリックしても”コントローラ装置がありません”と表示される。

T2チップは具体的に何をしている?

では本題のT2チップが具体的に何をしているのかをまとめよう。

ちなみにAppleの公開しているホワイトペーパーには以下のような図が掲載されており、T2チップの役割をわかりやすく説明している。

この図を見ると、ちょうどCPUとストレージとのやり取りの間に仲介するような形でT2チップを搭載していることがわかる。

Secure Enclave

上の図を見ても分かる通り、まずT2チップには”Secure Enclave”と称される領域が存在し、チップ内のこの領域にはたとえAppleでさえもアクセスは出来ないということになっている。

このSecure Enclaveという領域はiPhoneやiPadでは既に数年前から搭載されており、Touch IDやFace IDの認証データはこのSecure Enclave内に保存されるということは、知っている人も多いのではないだろうか。

T2チップではiPhoneに長年搭載されていたSecure Enclaveが実装され、遂にMacにおいてもTouch IDを搭載したMacBook ProやAirの指紋データをSecure Enclaveを用いて保護することが可能になった。

これらのデータが外部に送信されたりすることは理論上ありえず、前述の通りAppleでさえもこの領域にはアクセス出来ないようになっている。

MacBook ProやAirは元々持ち運ぶ物でもあるため、Secure Enclaveにより認証データが安全に保護されるというのはセキュリティという意味で非常に重要なポイントだろう。

オンザフライの暗号化

T2チップはmacOSのディスク暗号化機能である”FireVault”と密接に連携しており、常にオンザフライ(リアルタイム)で暗号化を行なっており、更にこの処理によってMacのパフォーマンスが落ちることもない。

今まではCPUなどで処理していた暗号化をT2チップが担うことで、パフォーマンスが低下することを防いでいるわけだ。

このT2チップの暗号化機能をAppleは”APFS Encrypted Engine”と呼称している。

セキュアブート

T2チップは新たに”セキュアブート(日本語では”安全な起動”と呼称)”と称される役割を担っており、これによってMacを起動する度にT2チップは「このコンピュータは正規のmacOSを搭載しているのか?正規のUEFIが読み込まれているか?」といった情報をチェックしている。

これによって不正なソフトウェアやUEFIが起動時に読み込まれることを防いでいる。

なお、これだけを見るとBootcampのWindowsは不正なソフトウェアと見なされて起動しなくなるのではないか?と心配になるかもしれないが、macOSのUEFIにはWindowsの証明書情報が埋め込まれているため、セキュアブートの機能でWindowsの起動が阻害されることはない。

マイクの自動切断

T2チップはMacBook ProやAirなどのマイク搭載Macの音声入力を常に監視しており、MacBook ProやAirなどの蓋が閉じられた時(Macを使用していない時)は、ハードウェアレベルでマイクを自動で切断し、不正なソフトウェアなどがMacのマイクを使用して”盗聴行為”をすることを防いでいる。

Hey Siriの聞き取り

前述のようにT2チップはマイク搭載Macの音声入力を常時監視しており、iPhoneなどでお馴染みの「Hey Siri」などの機能をMacで利用することが可能になっている。

画像信号プロセッサ

T2チップは独自の画像信号プロセッサを搭載しており、MacBook ProやAir、iMacの内蔵カメラでFaceTimeなどを利用する際に、”顔検出””トーンマッピング””自動露出補正”などの処理を担うことで、今まで以上に安定した自然なカメラ映像を実現している。

SSDコントローラ

T2チップはSSDコントローラも担っており、Appleの技術ページやホワイトペーパーを見ても詳しい記述はないものの、今まで他社製のSSDコントローラに依存していた処理をT2チップが担うことで、SSDのパフォーマンスが改善されている可能性がある。

オーディオコントローラ

こちらもSSDコントローラと同じく、詳しい記述はないがT2チップがMacのオーディオ処理全般を担うことで、パフォーマンスの向上に貢献しているようだ。

また、2020年8月5日にリリースされた新型iMacにおいてはスピーカーの低音域のレスポンスが向上したのもT2チップによる恩恵だとAppleは公式ページで謳っている。

ただ、一方でT2チップがオーディオコントローラを担うことでT2チップ搭載Macにおいてオーディオが遅延する問題が報告されており、何度かmacOSのアップデートはあったものの、T2チップ搭載Macでのオーディオ遅延は完全な解決に至っておらず、T2チップによる弊害もあるようだ。

HEVCエンコーダ

これは2018年9月30日に開催されたApple SpecialイベントでMac mini 2018が発表された際に明らかにされたが、T2チップはHEVC(H265)のハードウェアエンコーダを搭載しているようで、AppleによればT2チップにより従来モデルと比べてHEVCエンコードのパフォーマンスは30倍になったという。

僕は動画編集をしないが、T2チップを搭載したMacで動画編集をする人にとっては最新のコーデックであるHEVC(H265)のハードウェアエンコーダを搭載しているのは嬉しいポイントだろう。

T2チップのセキュリティが突破される

ここまでT2チップのメリットを書いてきたが、一つ重要な問題が存在する。

冒頭でも書いた通りT2チップはApple Aシリーズの「A10 Fusion」をベースとしているのだが、A5~A11チップに存在する脆弱性「Checkm8」の影響を受け、T2チップのセキュリティはツールを用いるだけで簡単に突破できることが判明したのだ。

参考 アップル独自のセキュリティチップ「T2」に潜む、修正できない脆弱性の深刻度WIRED

ただ、この脆弱性を突いてセキュリティを突破するには物理的にMacに接続する必要があるためユーザー側で不審なデバイスを接続しないことで対処することは可能だ。

T2チップは前述の通りAppleさえも細工ができないほどの強固なセキュリティが施されているため、アップデートでこの脆弱性に対処することはできない。

そのため、前述のWIREDの記事では元NSA職員の話として「T2チップに価値はなくなった」と引用している。

まとめ

色々とT2チップが具体的に何をしているのかをまとめてみたが、こうして見ると意外にT2チップが担う処理というのは多い。

T2チップのセキュリティが突破されたことで「セキュリティ」としての価値は確かになくなったかもしれないが、それでもSSD・オーディオコントローラやHEVCハードウェアエンコーダなども搭載しており、幅広い用途でメリットを生むチップと言える。

セキュリティ問題に関してもAppleは脆弱性については既に認識しているはずなので将来的にチップごとアップデートされる可能性が高く、この脆弱性自体も前述の通りMacに物理的にデバイスを接続しない限り影響はないため、それほど大騒ぎすることではないとも言える(機密情報を扱う場合は注意した方がいいが)。