トピック
ランサムウェア被害を防ぎたい情シスの方へ。クライアント端末に関しての答えがここにあります
- 提供:
- インテル株式会社
2023年6月14日 06:30
会社の中のPCやサーバーを日々管理している情シスにとっては、業務を停止し莫大な損害をもたらすランサムウェアへの対策が必須であることは百も承知だろう。対策としては、スパムフィルターなど入口での対応や、バックアップによるデータ保護など、それぞれのポイントで行なう必要があり、どのように対策するかは悩ましい。
クライアント端末視点で考えたとき、答えの1つとなるのが「インテルvProプラットフォーム」だ。「インテルvProプラットフォームという名前は聞いたことがあるが、その具体的内容までは把握していない」という情シス担当者の方もいるかもしれない。本稿はそういった方への解説が目的となる。
インテルvProプラットフォームとは、インテルCPUを搭載した企業向けPCにおいて、パフォーマンスや、セキュリティ、メンテナンス機能、安定性などで高い水準を満たしたことを示したブランドとなる。本当にそんな万能なものがあるのかといぶかしむ方もいるかもしれないが、本稿を最後まで読んでいただければきっと納得していただけるはずだ。
こうしたインテルvProプラットフォームのハードウェアシールドの機能を以下に紹介する。なお、ハードウェアシールドに含まれる機能はCPUの世代ごとに追加されており、また一部の機能はインテルvProプラットフォーム対応CPU以外にも備わっているが、ここではそれらをまとめて紹介する。
OSより下のレイヤーを守るBIOSガードとブートガード
PCプログラムは、通常、OSの上で動く。アプリケーションはもちろん、セキュリティソフトもそうだ。しかし、PCの電源が入ったときには、BIOS(UEFI)やブートローダーが順に動作し、それからOSが読み込まれて起動する。もし、BIOSやブートローダーにマルウェアが仕込まれてしまうと、OSが起動する前、つまりセキュリティソフトが起動する前にマルウェアが動作してしまうわけだ。
BIOSなどはOSより下のレイヤーで動くため、BIOSにマルウェアが仕込まれてしまうと、アプリケーションのパスワードなどのOS上のデータは筒抜けになる。一方で、セキュリティソフトからはマルウェアの挙動が見えないことになる。
そこで、BIOSやブートローダーをCPUの機能で守ろう、というのがハードウェアシールドの役割と機能となる。
ハードウェアシールドの内、BIOSのファームウェアの不正な書き込みを防止するのが「BIOSガード」機能だ。BIOSはOSより下のレイヤーで動くとはいえ、BIOSの書き換えはOS上のプログラムから行なわれる。そこでBIOSガードでは、CPUの特権命令からCPUのモデル固有レジスター(MSR)を設定し、モード設定しないとファームウェアを書き込めないようにしている。
「ブートガード」機能は、PC起動時に、BIOSが改ざんされていないかを検証する機能だ。検証の結果、問題があればPCを起動させない。たとえて言うと、WindowsのセキュアブートがWindows起動時にOSが改ざんされていないかを検証するのと同じことを、PC起動時にBIOSに対して行なうものだといえる。
システムの認証情報や鍵を安全に保管するPTT
前項ではブートガードについて、BIOSが改ざんされていないことを検証すると書いた。では、その検証のための情報はどこに保管すればいいのだろうか? 検証のための情報を簡単に見られたり書き換えられたりしてしまうようでは意味がない。
こうしたシステムの機密情報を格納する仕組みが「PTT(Platform Trust Technology)」だ。PTTは、TPM 2.0(Trusted Platform Module)に含まれ、Windows 11のシステム要件にも入っているため、名前を知っている人もいるだろう。
PTTはこうした認証情報や鍵など、システムにとって必要となる情報をファームウェアに安全に格納する仕組みだ。ブートガードだけでなく、たとえばドライブを暗号化するBitLockerの暗号鍵などもPTTに保管される。
セキュリティソフトを支援するTDT
直接的にマルウェアを検出するのは、セキュリティソフトの役目だ。ただし、最近ではマルウェアによる攻撃も高度化し、複雑になっている。セキュリティソフトだけで対処していると、CPUの処理の負荷が大きくなったり、検出できなかったりすることにもつながる。
そこで、セキュリティソフトのマルウェア検出をCPUが支援する機能が「インテルTDT(Threat Detection Technology)」だ。すでに、Windowsに標準搭載されている「Microsoft Defender」などのセキュリティソフトがTDTに対応している。
TDTは総称で、実際には複数の機能からなる。そのうち「AMS(Accelerated Memory Scanning)」は、セキュリティソフトによるマルウェアのメモリスキャンを、CPUの内蔵GPUにオフロードさせることで、CPUの負荷を軽減する機能だ。
企業のPCがTDTに非対応の場合、メモリスキャンが自動実行されると、フォアグラウンドで動かしているオフィスアプリケーションなどが重くなるため、社員の生産性が落ちることにつながる。ひどい場合は、重くなるのを嫌って自動スキャンを切ってしまう従業員もいるかもしれない。インテルvProプラットフォーム対応PCなら、そういった問題が解消される。
TDTにはそのほか、プラットフォームテレメトリーの機能も含まれる。現代のCPUには、CPUがどのような動作をしているかをモニタリングするテレメトリーの機能があり、その情報を元にプログラムを効率よく動作させるようになっている。
このテレメトリーからマルウェアによる攻撃の挙動をマシンラーニングさせたモデルをCPUに持たせておくことで、攻撃と思われる挙動を検出する。つまり、セキュリティソフトの振る舞い検知に似たことを、CPU内のハードウェアで行なうことで、ソフトウェアの負荷を軽減させるわけだ。
暗号化や仮想マシンによる安全性を助ける機能
AES-NI(AES New Instructions)は、暗号化アルゴリズムのAESを高速化するためにCPUに加えられた7つの追加命令群だ。BitLockerのようなドライブ暗号化から、SSLのような通信暗号化まで、さまざまなところで使われている。
TME(Total Memory Encryption)は、主にサーバーでシステムメモリの内容をすべて暗号化する技術だ。メモリの読み書きの時点で内容を暗号化しつつ、ソフトウェアからは通常と同様にアクセスできるようになっており、メモリから物理的にデータを抜き出すような攻撃から防御できる。
TXT(Trusted Execution Technology)も、ブートガードやセキュアブートなどと同様に、OS起動までの部分で改ざんを防ぐ仕組みだ。主に、仮想マシンを実行するハイパーバイザーで用いられている。
仮想マシンを実行するための仕組みであるVT-xやVT-dも、ハードウェアシールドの一翼を担っている。特にデータセンターのサーバーでは仮想化してOSを実行すること多く、VT-dによってそれぞれの環境を分離することで安全性を保つ。また、そこでデバイスを仮想化するVT-dによって、問題があるデバイスや他の仮想マシンからシステムを守る。
自宅のPCもリモート管理できるインテルvProプラットフォームの機能
ここまでPCのセキュリティを守る機能を紹介してきた。ただし、それらの機能が効力を発揮するのも、OSやソフトウェア、セキュリティのパターンファイルなどを最新の状態に保ってこそである。最新の脆弱性を狙った攻撃と、その脆弱性の修正は、いたちごっこのように続いている。
特に情シスの方々が頭を悩ませているのは、新型コロナ禍以降に急激に増えたテレワークやリモートワークのPCだろう。会社の中にあるPCであれば、常に高速で安定したLANでつながっていることにより、Windows ServerからWindows Updateをコントロールしたり、夜中にアップデートを適用したりといったこともできた。しかし、社員の自宅に置かれて必要なときだけ会社につなぐPCでは、そのようなことは難しい。
ユーザーサポートも大変だ。PCの調子が悪くなったときなど、社内であればその場に行ってどのような状況かを確認することもできるが、テレワークでは難しい。リモートで画面共有するにしても、OSや通信機能が不調だと厳しいし、PCが起動しないといった場合にはお手上げだ。
こうしたPCのリモート管理に最適なのが、インテルvProプラットフォーム対応PCで利用できる「インテルAMT(Active Management Technology)」だ。
インテルCPUでは、チップセットのPCH(Platform Controller Hub)に、一種の組み込みCPUが入っていて、CPU本体やその上のOSとは独立して動作する。この動作環境をCSME(Converged Security and Management Engine、旧称はME)と言う。ここまでに紹介したハードウェアシールドの技術にもCSMEによるものがある。
CSMEでは、ネットワークを含む各種デバイスもCPUとは独立して利用できる。そこで、管理者がインターネット経由でCSMEにアクセスして本体をコントロールすれば、たとえPC本体の電源が落ちていてもリモートで管理やトラブル対応ができる。これがAMTだ。
AMTを使ってPCを管理するサーバー側の管理ソフトウェアとしては、インテルの「EMA(Endpoint Management Assistant)」がある。EMAからは、リモートを含む社内PCを一覧し、一斉に起動させたり、管理作業を実行したり、本体OSの画面にリモート接続したりできる。サーバーから接続するにも、PC側にインストールしたエージェントから接続を開始するため、自宅のルーターの設定を変更したりする必要はない。
これによって、PCが自宅などに置きっぱなしになっていても、情シスがWindows Updateなどのアップデートをリモート実行し、ゼロデイ攻撃などへの対策ができる。サードパーティのPC資産管理ソフトの中にも、EMAと連携してAMTによる管理機能に対応しているものがある。
インテルvProプラットフォームロゴは高性能の証しでもある
ここまで見てきたように、インテルがインテルvProプラットフォーム対応の認定を与えたPCには、ランサムウェアなどのマルウェアに対抗するための機能が組み込まれている。企業でインテルvProプラットフォーム対応のPCを選ぶことで、そうした危険から社内のPCを守るための手助けとなり、情シスの負荷を軽減することになる。
加えて、インテルvProプラットフォーム準拠のPCはCPU以外も高いスペックに設定されている。つまり、さまざまな脅威に対しての防御力だけでなく、日々の業務を快適に遂行できる性能を持っており、従業員、ひいては企業全体の生産性を向上できるのである。
