トピック

箱を開けた状態で“Windows史上最強の安全性”が実現されている「Secured-Core PC」をじっくり解説

～大企業はもちろんIT専任者がいない中小企業でも手軽に安心して使える設計

笠原一輝

2021年4月27日 06:55

Secured-Core PCには、UEFIの起動段階からセキュアにOSをブートする機能が用意されており、複数の段階で侵入を防ぐ仕組みが採用されている

　MicrosoftがPCメーカーと共同で取り組んでいる、高いセキュリティ性を備えたPCを提供する枠組みとして「Secured-Core PC」というものがあるのをご存じだろうか? おそらく多くの方はご存じでないだろう。しかし、Secured-Core PCは、「史上最も安全なWindows PC」を標榜し、UEFI(BIOS)を狙うような最新の攻撃からも防御できる機能を備えており、業務で使うPCを選ぶさいに、ぜひとも選択肢の1つに加えるべき製品となっている。

　また、Secured-Core PCでは、高レベルなセキュリティを実現するのに必要な設定を標準で有効にしたOSイメージを搭載しており、買ってきて箱から出した瞬間から「史上最も安全なWindows PC」になっているため、選任のIT担当者がいない中小企業でも、運用の負担がかからないというメリットがある。

　本稿では、このSecured-Core PCが、具体的にどのようにして高レベルなセキュリティを実現しているのかを解説する。また、記事末尾には、Secured-Core PC取り扱い企業の一覧も掲載しているので、導入を検討したいというユーザーは、参考のうえ、問い合わせを行なってほしい。

この解説記事の目次

ユーザーやシステム管理者の頭を悩ませる「UEFI攻撃」とは
UEFI攻撃から身を守るための最新技術
難しいセキュリティ設定や対応ハードウェアの選定などを考える必要がない「Secured-Core PC」
Secured-Core PCはグローバルメーカーだけでなく、国内メーカーからもラインナップ

ユーザーやシステム管理者の頭を悩ませる「UEFI攻撃」とは

OS起動後の対策だけでなく、OS起動前のセキュリティ対策も重要になりつつある

　Windows OSというのは良くも悪くも、さまざまなプログラムをインストールし、高度にカスタマイズできるプラットフォームであるというのが本質だろう。カスタマイズ性は、ほかのOSや、スマートフォン向けよりも高く、企業が従業員のために高度にカスタマイズして生産性を上げられるよう設計されている。そういった点から、ビジネスに使われるPCの多くがWindowsベースとなっている。

　その反面、そうしたカスタマイズ性(プログラマビリティ)の高さは、攻撃者にとっては「狙いやすい」というのもまた現実だ。Microsoftは日々Windowsのセキュリティ性を上げる取り組みを行なっている。とくに2015年にリリースされたWindows 10では、OSに標準で高いセキュリティを実現するための仕組みが多数導入されており、高いプログラム性を維持したまま高いセキュリティを提供するという、相反した命題を高度な次元で実現している。

　その代表的なものとして「セキュアブート」と呼ばれる仕組みが導入されている。Windows 10が導入されているPCでは、ユーザーが電源を入れたあと、最初にUEFIというファームウェアが起動し、それがOSのブートローダーを実行、その後OSが起動して最終的にユーザーにログインの画面を出すことで起動する。

　そのさい、UEFIからブートローダーへ、そしてブートローダーからOSのカーネルへと、「安全」という名のバトンが渡されていき、そのバトンをリレーしていくことで侵入者の侵入を防ぐようになっている。こうした仕組みを採用することにより、以前のWindows OSとは比べものにならないぐらい安全になっているというのがWindows 10の特徴だといえる。

セキュアブートの考え方

　それでも狙うほうにはちょっとした抜け穴を突く巧妙な攻撃が増えている。たとえば「Lojax」(ロジャックス)という名前で知られている攻撃がある。簡単に言うと、PCのUEFIを書き換えて、OSが起動する途中にマルウェアをストレージに送り込むという巧妙な攻撃だ。

　Windows 10でのUEFIから安全なバトンを次々と渡していくという仕組みを説明したが、そのバトンが安全であることは、UEFIが安全であることが前提になっている。しかし、UEFIが悪意のある攻撃者によって改竄されていたら、本来は安全であるはずのバトンに「毒」が盛られた状態で次の走者に渡されることになり、その先の走者(OSなど)はみんな毒にやられて倒れてしまうことになる。そして一度UEFIを書き換えられると、OSを再インストールしたり、HDD/SSDを取り替えたりしても無意味となる。

Lojax攻撃の概要

UEFIが感染すると、安全であるはずのバトンが毒入りになってしまい次々に感染してしまう

　なぜ、そういった攻撃ができるのかというと、PCのUEFIもプログラマブルだからだ。PCのUEFIはEEPROMという書き換え可能なROM(書き換え可能なのにRead Only Memoryというのも矛盾だが、通常の手順では書き換えることができないものの、特殊な手段を使うと書き換えられるROMだと考えていただきたい)に格納されており、PCメーカーが提供するアップデートツールを利用してアップデートすることができる。

　PCメーカーが作ったアップデートツールがWindowsからUEFIを書き換えることが可能ということは、攻撃者のツールでも可能なことは言うまでもない(もちろんPCメーカー側はそれをできるだけ防ぐような仕組みは採用している)。

　重要なUEFIがなぜ書き換え可能なのかというと、UEFIのファームウェアはPCの基本的な機能を定義しており、たとえばCPUの電力管理やストレージなどへのアクセスを管理している。そうした機能にバグが見つかったり、機能を追加したりするときにアップデートが不可避だからで、Windows上で専用アプリケーションからUEFIをアップデートできるようになっている。

　通常、UEFIが健全に動作しているかどうかは、OSからはわからないので、どんなに強力なアンチマルウェアツールを入れていても、UEFIへの攻撃は検知できないのが現状だ。

UEFI攻撃から身を守るための最新技術

　そこで、最新のCPUには、こうしたUEFIへの攻撃に対処する仕組みが用意された。DRTM(Dynamic Root of Trust for Measurements)と呼ばれるもので、簡単に言うと、CPUがUEFIの起動を監視し、きちんと安全な「バトン」を渡そうとしているのかを確認する。それにより、UEFIが危険な(改竄された)状態でOSにバトンを渡すことを防げるわけだ。

Windows 10には従来のWindowsにはなかったような高度なセキュリティ機能がいくつも追加されている

DRTMの仕組み

　DRTMは、Intelの CPUであれば「Intel Hardware Shield」として実装されており、vProプラットフォームに対応したCoreプロセッサで利用可能だ。AMDやQualcommのCPUでも同様の機能が用意されている。

　ちなみに、細かいことだが、モダンスタンバイからの復帰時もDRTMを使って、起動時と同じプラットフォームの整合性を担保した状態で復帰するようになっている。

　また、SMM(System Management Mode)保護も重要な機能だ。SMMとはx86 CPUが電源管理や温度管理を行なうときなどに利用している特別なモード。SMMは最高の特権レベルで実行されるため、OSからはその動作が見えず、悪意を持つ攻撃者などに利用されると、知らない間にシステムが乗っ取られる可能性がある。Windows 10ではSMMを保護する仕組みが用意されており、System Guard Secure Launchの一部としてそれを有効にすることが可能になっている。

　また、Windows 10では、ブートローダーからOSが起動したあとのセキュリティを強化する仕組みが用意されている。Enterprise版Windows 10では、VBS(Virtualization-Based Security)が利用できる。

　VBSは、仮想化技術を使い、OSのコア部分とアプリケーションが動作する部分のメモリ空間を分離。OSが動く部分はハイパーバイザー(OSの基本部分として仮想マシンに動作環境を提供する)として動作し、アプリケーションが動く部分は仮想マシンとしてハイパーバイザー上で動作する。これにより、仮にアプリケーションがマルウェアなどに感染しても、OSのコア部分に被害がおよぶことを避けられる。

　このVBSのサブセットはすべてのWindows 10のエディションにおいて「コア分離」として提供されており、Windows Defenderの「メモリ整合性」オプションを有効にすることで利用できる。標準ではオフになっているので、セキュリティを上げたいユーザーはオンにしておくといいだろう。ただし、利用するには64bit CPU、VT-xへの対応などの要件がある。

Windows 10の全エディションでサポートされている「コア分離」の機能。Windowsセキュリティのオプションとして用意されている。このコア分離はVBSのサブセットになっている

　同じようにWindows 10には、ハイパーバイザーで保護されているコード整合性(HVCI : Hypervisor Code Integrity)も用意されている。OSが起動する段階で各種ドライバをロードしていくが、侵入者にとってはドライバになりすますことができれば、さまざまな情報を盗み取ることができる。たとえば、キーボードのドライバーになりすまして、ユーザーが入力したキー入力をすべて奪うといったことが可能だ。そこで、HVCIではドライバの証明書をチェックし、証明書に問題があれば拒否することで安全性を確保する。

　コンシューマユーザーにもおなじみの生体認証のWindows Helloも重要なセキュリティと言える。Windows Helloを利用すれば、顔認証や指紋認証という生体認証センサーを利用してWindowsにログインできる。これにより、外出先のカフェなどでパスワードを盗み見られるといったソーシャルハッキングなどの被害に遭うことを防げる。

難しいセキュリティ設定や対応ハードウェアの選定などを考える必要がない「Secured-Core PC」

グループポリシーエディターを利用してセキュアブートやハイパーバイザーで保護されているコード整合性などを設定しているところ

　Windows Helloの顔認証や指紋認証は、Windowsで簡単に設定できる。だが、それ以外の設定は標準ではオフとなっている。それは、Windows OSが過去のバージョンとの下位互換性を重視しており、そうした機能を有効にすると古いアプリケーションの動作に問題が出る場合があるからだ。

　オンにするにあたっては、「グループポリシーエディター」というProやEnterprise版に搭載されている管理者用のツールを利用する必要がある。また、そうした作業を行なうには、内容を事前に調べておく必要がある。

　それだけでなく、利用する設定によっては、そもそもハードウェア側にも要件がある。たとえばDRTMを有効にするためには、CPUが対応している必要がある。Coreプロセッサであれば、Intel Hardware Shieldが必須で、vProプラットフォームに対応したCoreプロセッサが必要になる。そのほかにも、TPM 2.0が必要で、一部の機能はVT-xに加えてVT-dにも対応していなければならない。

　専門の管理者のいる企業であれば、そうした要件を満たしたハードウェアの選定や、セキュリティ機能を有効にしたWindows OSのイメージの作成などはコストをかけてできるだろう。しかし、そうした専任のIT担当者がいない中小企業ではどうだろうか?

　まず、要件を満たしたハードウェアを調べて調達し、Webサイトでその設定などに関して勉強したあと、1台1台グループポリシーエディターで設定して……というのは他の業務をやりながらIT管理をやっているような担当者や、筆者のような「管理者独り兼ユーザー独り」といった自営業者には、逆に生産性を下げる要因になりかねず、せっかく生産性を上げるためにPCを使っているのに本末転倒になってしまう。「そんなの誰かがやってよ!」というのが正直なところではないだろうか。

　そういった悩みを解決するのが、Secured-Core PCだ。Secured-Core PCは、前述のWindows 10を「最強セキュリティにする設定」があらかじめ施された状態で出荷されている。当然、前提としてハードウェアもSecured-Core PCの機能を満たす仕様になっている。詳細は公開されていないが、Secured-Core PCでは、ハードウェアおよびセキュリティ関連の設定要件が一番厳しい基準となっている。

　難しいことを考えなくても、Secured-Core PCに対応したPCを購入することで、箱を開けてすぐ、これらがすべて有効になった状態で利用できるのだ。

　そして、Secured-Core PCにおいて、もっとも重要なのが、ソフトウェアの脆弱性を突いたランサムウェアなどの最新の脅威から身を守れるということだ。ひとたび被害に遭うと、金額的にも企業の信用的にも甚大な被害を被ってしまう。極端な言い方をすると、アンチマルウェアソフト(これはUEFIを防御できない)にお金をかけるよりも、Secured-Core PCを購入したほうが投資効果が高いと言っていい。

　ちなみに、過去にもSecured-Core PCと似た枠組みはあったが、Secured-Core PCのガイドラインではDRTM対応を必須とすることで、昨今の脅威となっているUEFIへの侵入を阻止できる点が異なる。

Secured-Core PCはグローバルメーカーだけでなく、国内メーカーからもラインナップ

PCメーカーが販売しているSecured-Core PCの例。ここに掲載されている以外にも多数のラインナップがある

　すでに多くのPCメーカーが、Secured-Core PCに対応した製品をラインナップしており、その数は増える一方だ。日本マイクロソフトのサイトではその一部の製品が公開されている。

　そのラインナップは、Dell、HP、Lenovoといったグローバルのトップメーカーだけでなく、Dynabook、FCCL(富士通クライアントコンピューティング)、パナソニックといった国内メーカーも含まれている。

　2019年10月のSecured-Core PC発表時点では対応は9モデルだったが、2020年7月には50モデルのデバイスへと増え、そして2021年には100を超えるモデルのデバイスが出荷される予定になっている。選択肢が増えることで、ユーザーのニーズに合わせた豊富なデバイスのなかから選択可能になり、ますますSecured-Core PCを選びやすくなっていくだろう。

Secured-Core PCは年々ラインナップが増えている

　これから新しいビジネスPCを導入して、テレワークやリモートワークに活用していきたいという企業のシステム担当者や個人事業主も、「Secured-Core PC」をぜひとも検討したいところだ。

Secured-Core PCの購入問い合わせ窓口はこちら。

・「ホンモノリモートワーク」のご紹介 | シネックスジャパン株式会社 (synnex.co.jp)

・iDATEN(韋駄天)｜ホンモノリモートワーク

・ホンモノリモートワーク | 横河レンタ・リース株式会社 (yrl.com)

・ホンモノリモートワーク｜SB C&SのIT-EXchange(it-ex.com)

・せっかく導入するなら「ホンモノリモートワーク」にしませんか？ | 株式会社リコー (promo.ricoh)

・せっかく導入するなら「ホンモノリモートワーク」にしませんか？ | 大塚商会(otsuka-shokai.co.jp)

・オリックス・レンテック | ホンモノリモートワークの導入はオリックス・レンテックにおまかせ | ORIX Rentec Corporation