情シスのための2021年版vPro最新事情。他のセキュリティプラットフォームとは何が違うの?

　システム管理者なら、「Intel vProプラットフォーム」(以下、vPro)の名前はご存じだろう。IntelがビジネスPC向けプロセッサに展開するハードウェアベースのセキュリティ、管理機能などのソリューションブランドだ。しかし、その詳細な仕様や機能性まで把握していると自信を持って言えるだろうか?

　vProの機能は世代ごとに進化しており、新世代であるほど高機能になっている。本稿では、現行の最新CPUである第11世代Core vProプロセッサにもとづくvProが提供している代表的な機能とともに、Windows 10で実現されている最新のセキュリティ機能を紹介していく。また、非常にセキュアになったWindows 10のソフトウェアプラットフォームを凌駕するセキュリティ機能をvProが提供していることについても紹介する。

Intel VTにより実現されるVBS/HVCI、Intel Hardware Shieldにより実現されるセキュアランチ

図1 VBS/HVCIの仕組み

　現行のWindows 10では、それまでのOSよりセキュリティの強化が施されている。Windows 10、そしてまもなく登場する次世代バージョンとなるWindows 11では、仮想化技術をベースにした「VBS」(Virtualization-Based Security、仮想化ベースのセキュリティ)という機能が標準で搭載されている(ただし、Windows 10ではオプション扱い。Windows 11では標準で有効にされる予定)。

　VBSとは、簡単に言えば、OSのさらに下のレイヤーにハイパーバイザー(Windowsでは標準でHyper-Vというハイパーバイザーが搭載されている)というレイヤーを挟み、OSカーネルなどOSの重要なコンポーネントと、アプリケーションを実行するためのコンポーネントを、別々のメモリ空間で実行するもの。これにより、仮に悪意のあるマルウェアがアプリケーションを実行するメモリ空間に侵入しても、OSの重要コンポーネントを実行するメモリ空間に達することがかなり難しくなるので、より安全性が増す。

　同時にWindows 10では、「HVCI」(Hypervisor-Enforced Code Integrity、ハイパーバイザーによるコードの整合性の強制)という仕組みも用意されており、ドライバやOSが悪意のあるソフトウェアなどに書き換えられていないかを検証でき、かなり高度にマルウェアの侵入を防ぐことが可能になる。

　これらのVBSやHVCIを利用するには、Intel CPUに標準搭載されている「VT」などの仮想化技術が必要になる。通常ハイパーバイザー上ではVM(Virtual Machine、仮想マシン)というPCをソフトウェア的にエミュレーションした環境が実行される。VBSによりHyper-V上で実行されるWindows 10も同様で、そのままだと物理ハードウェアをソフトウェア的にCPUだけで再現するため、CPUのオーバーヘッドが大きくなり、システム全体の処理能力が低下する。

　そこで、VTではVMがハイパーバイザーを経由してCPUにアクセスするときに、直接ハードウェアにアクセス可能にし、CPUのオーバーヘッドを減少させる。このため、仮想化アクセラレーションと呼ばれることもある。

　vProでは、CPUの仮想化技術である「VT-x」と、I/O(PCI Expressなど)の仮想化技術である「VT-d」に対応する。さらにTPM 2.0に準拠したIntel PTT(Platform Trust Technology)というセキュリティチップがCPUに内蔵されており、こうしたハードウェアを必要とするVBSやVHCIを確実に有効にでき、その処理の負荷を軽減できる。

図2 System Guard Secure Launchの仕組み

　Windows 10でもう1つ注目したいセキュリティ技術がある。それが「System Guard Secure Launch」(通称セキュアランチ)で、OSが起動する段階でファームウェアのコードがマルウェアなどに汚染されていないか正常性をチェックする機能だ。

　Windows 10でサポートされているセキュアランチでは、UEFI(BIOS)からOSのカーネル起動までをバトンリレーのように安全かどうかを確認しながら起動するが、最初のUEFIがマルウェアにやられているとセキュリティが確保できなくなってしまう。

　System Guard Secure Launchでは、vProの機能として提供されている「Intel Hardware Shield」の機能、具体的には「Intel Boot Guard」や「Intel Trusted Execution Technology」などを利用して、UEFIが正常かどうかをCPUのハードウェアを利用してチェックする。これにより、OSが起動する前からの安全性を確保する仕組みだ。

　これらのWindows 10ではオプションになっているVBS/HVCI、さらにはSystem Guard Secure Launchなどの機能を最初から有効にしたのが、Microsoftが推進する「Secured-Core PC」プログラムだ。

　Secured-Core PCに対応したPCでは、一般的なWindows 10デバイスではオプションになっている(つまり標準では有効にされていない)これらのハードウェアを利用したセキュリティ機能が出荷時に有効になっており、箱を開けた状態からそうした強固なハードウェアベースのセキュリティが確保されていることが特徴となる。

vProではSecured-Core PCを越えるハードウェアベースのセキュリティを提供

　ここで注目したいのが、vProのハードウェアセキュリティ機能であるIntel Hardware Shieldは、Secured-Core PCで実現されているVBS、VHCI、System Guard Secure LaunchといったWindows 10のセキュリティ機能をサポートしているだけでなく、Secured-Core PCを越えるセキュリティ性を実現していることだ。

図3 MicrosoftのSecured-Core PCとIntel vProの関係

　例えば、「Intel Threat Detection Technology」(TDT)はその代表的な機能と言える。TDTには大きく2つの機能がある。1つは脅威検出のアクセラレーション機能、もう1つはプラットフォームが脅威にさらされているかどうかをチェックするテレメトリー機能だ。

　脅威検出のアクセラレーション機能とは、「AMS」(Accelerated Memory Scanning)と呼ばれるメモリのスキャニングを、Coreプロセッサに内蔵されている内蔵GPU(Xe Graphics)にオフロードするもの。アンチウイルスソフトは、一定間隔でメモリやストレージ上にあるファイルをスキャンし、マルウェアの侵入を許していないかをチェックするが、その時のCPU負荷はかなり高くなり、PCにとっては重いタスクの代表と言える。TDTではその処理の一部をGPUにオフロードすることで、CPUの負荷を低減する。

　ただし、ソフトウェア側の対応は必要で、一般的なアンチウイルスソフトで対応しているのはWindows 10標準の「Windowsセキュリティ」、そしてMicrosoftが企業向けに提供している「Microsoft Defender for Endpoint」となる。なお、2021年の7月時点では、Windowsが動作するCPUでは、AMSはIntelプロセッサだけが実現している機能だ。

　ちなみに、AMSは、vPro専用ではなく、vPro非対応のIntelプロセッサでも利用できる。実際、第10世代以降のvPro非対応Coreプロセッサ搭載PCであっても、Windowsセキュリティでウイルスのスキャンを行なうと、GPUの負荷が上がり、GPUも利用していることを確認できる。Intelはこの点をあまり強調していないが、Intel CPUの隠れたメリットと言えるだろう。

Windows 10のWindowsセキュリティを第11世代Coreプロセッサ上で実行しているところ、GPUに負荷がかかっていることが分かる

　「Intel Control-flow Enforcement Technology」(CET)は、コントロールフローハイジャック攻撃と呼ばれる、脆弱性を持つソフトウェアを狙い、CPU制御の乗っ取りを狙った攻撃を防ぐための機能。こうしたコントロールフローハイジャック攻撃はマルウェアではよく利用される手法だ。

　CETは拡張命令セット(INCSSP/RDSSP/SAVEPREVSSP/RSTORSSP)になっており、この命令セットを利用することで「Indirect Branch Tracking」、「Shadow Stack」という2つの機能が実現される。前者はジャンプ指向/呼び出し指向プログラミング(JOP/COP)攻撃手法から防御、後者は攻撃者がRET(リターン)命令を利用して、プログラマの意図とは異なる悪意のコードフローを繋ぎ合わせるROPと呼ばれる攻撃手法からの防御となる。

Intel CETでは「Indirect Branch Tracking」、「Shadow Stack」という2つの機能を実現

　MicrosoftはこのCETの機能を、既にWindows 10に取り込んでいる。「Hardware-enforced Stack Protection」という名称がそれで、Windows 10 バージョン20H1(Build 19041)以降に組み込まれている。Google Chrome 90以降、Microsoft Edge バージョン90以降が対応するなど、アプリケーションベンダーレベルでもサポートが進んでいる。

　このほかにも、メモリの暗号化を行なうことでコールドブート攻撃(メモリモジュールを物理的に抜き出すことで、そこに記録されているデータを抜き出す攻撃)を防ぐ「Intel Total Memory Encryption」(TME)なども注目に値する。メモリがオンボード搭載されているモバイルノートPCなどではあまり重要ではないが、SO-DIMM形式でメモリが取り外せるノートPCやデスクトップPCなどでは、こうした物理的な攻撃手法にも対応できるようにしておきたい。

　これらCETやTMEは、Secured-Core PCが非対応なだけでなく、第10世代Core vProにはなく、第11世代で追加された機能だ。

最新のソフトウェアセキュリティを生かすには、最新のハードウェアが必要

　Microsoftが、「Windows 10がセキュリティの観点から見て最強のWindows」と言っているのは大げさではなく、セキュアランチ、VBS/VHCIなどの仮想化ソフトウェアベースのセキュリティ、System Guard Secure Launchなど、Secured-Core PCでカバーされている機能は、従来のWindowsに比べて圧倒的に強力なセキュリティ性を備えているというのは間違いない。システム担当者ならその点は把握しておきたい。

　加えて、それらの機能を下支えしているのがCPUを中心としたハードウェアであるところにも注目したい。Secured-Core PCが提供するセキュリティには、ハードウェアによるアクセラレーションがあって初めてまともな性能で動くものもある。つまり旧世代や、非vProでは、満足に動かせない場合がある。

　また、vProではSecured-Core PCを超えるセキュリティ機能を提供しているが、これはセキュリティ脅威に対しては、ハードウェアレベルでの対応が必須であり、ソフトウェアに先駆けて様々なセキュリティ機能を実装していこうとするインテルの姿勢の表われでもある。

　ただ、そういった個別のセキュリティ機能を全て追いかけるのは、システム担当者であっても難しいことかもしれない。特に中小企業であればなおさらだろう。そういった人たちに対する分かりやすいキーワードが「vPro」であり、まずは「vPro=最強かつ先進のセキュリティ」だと覚えておいてもいいだろう。

　テレワークの普及に伴い、仕事におけるPCやITの活用方法、セキュリティ対策などが大きく変化しています。その中で、様々な疑問、悩み、ストレスが生まれていると思います。

　PC Watchでは、みなさんのそうした仕事におけるセキュリティやITの困りごと、ボヤキ、質問を⼤募集します! 投稿いただいた方の中から、アマゾンギフト券2,000円分を毎月抽選で5名様(4～10月の毎月末に抽選。当選者の発表は景品の発送をもってかえさせていただきます)、採用者には同5,000円分(同内容の投稿が多数の場合は採用者の中から抽選で1名様。募集期間は10月31日まで)をプレゼント。

　「テレワークで⾃宅から会社のPCの電源を⼊れるにはどうしたらいいか?」、「社員が利⽤するアプリを制限するにはどうしたらいいか?」など、企業でPCを管理/運⽤するうえで困っていることや、知りたいことなどを募集します。

　現場で頼りにされている「パソコンおじさん」や「とにかくやる」ことになってしまった新入社員のとまどい、大企業・中小企業のIT担当者、さらにはIT投資担当や経営者のボヤキまで、なんでもどうぞ。

　いただいたご質問に対して、後日、ウェビナーや記事の形式にて、インテルの担当者の回答を元に提案をご紹介していきます。