Microsoftは「Secured-core PC」を提唱している。ファームウェア層やデバイスコアとの分離、または依存性を最小限にとどめることで、ファームウェアへの標的型攻撃からPCを保護する構成だ。
米政府の脆弱性情報データベースであるNational Vulnerability Databaseによれば、2017年代から年間400件前後の報告が集まっており、無視できない状況が続いている。その結果としてIDやOS、ハードウェア、ファームウェアの保護機能を統合し、OSの下に新たなセキュリティ層を追加したのがSecured-core PCだ。
Windowsのセキュリティ対策を振り返ると、Windows 8時代には「セキュアブート」を実装している。UEFIが備える仕様の1つとして、ファームウェア実行時の認証プロセスが定義されており、TPM(Trusted Platform Module)を用いた認証によってブートプロセスを保護していた。だが、セキュアブートはファームウェアが「善人」であることを前提としている。ファームウェアの脆弱性を突いたマルウェアが侵入した場合、お手上げになってしまう。
-
Secured-core PCのイメージ(公式ブログから抜粋)
そこでWindows 10 バージョン1809で実装したのが、「Windows Defenderシステムガードセキュアブート」である。詳細な説明は公式ドキュメントを参照いただきたいが、簡単にまとめると、プロセッサーやチップセットといったハードウェアを用いた計測方法「DRTM(Dynamics Root of Trust Measurement)」でシステムの信頼性を確保(Root of Trust)し、OSやハイパーバイザーを起動できるというものだ。
DRTM自体はプロセッサー側の対応が必要なため、Intel、AMD、Qualcommの対応プロセッサーを搭載したデバイスでなければならないが、Microsoftは専用ページを設けて、Secured-Core PCおよびハードウェアを紹介している。国内のPCベンダーも、パナソニックや日本HPが、Secured-Core PCに言及したページを作成していた。
-
Microsoftの「Secured-core PC」専用ページ
このようなセキュリティ対策はWindows 10に限った話ではなく、前述のプロセッサーベンダーはもちろん、Linuxは早期からカーネルレベルで対応している。WindowsのDRTM対応は少々後手に回った感があるものの、社会的状況を見ても、このタイミングのブランディングは最適だろう。今後、PCを買い替えるときは、Secured-core PC対応かどうかも判断材料の1つに加えたほうがよい。
阿久津良和(Cactus)
