Microsoftは1月11日(米国時間)、ビジネス・教育向けの新しいノートPC「Surface Pro 7+」を発表した。Surface Pro 7+は同社のSurface for Businessのラインアップとして提供され、ビジネスおよび教育の現場におけるニーズに対応した汎用性や持続性、セキュリティを備えているという。
製品発表に伴い、Microsoftデバイスブログでは、「New Surface PCs enable virtualization-based security (VBS) by default to empower customers to do more, securely」において、「Surface Pro 7+」において提供されるセキュリティ機能を紹介している。
-
New Surface PCs enable virtualization-based security (VBS) by default to empower customers to do more, securely - Microsoft Security
Microsoftは、デバイスのセキュリティを高めるための技術として、仮想化ベースのセキュリティ(VBS)や、ハイパーバイザーで保護されたコード整合性(HVCI)などをコンシューマー向けに提供している。VBSは、ハードウェア仮想化機能を使用してメモリ上に通常のプロセスからはアクセスできない安全な領域を作成し、システムやOSの重要なリソースを保護する機能である。HVCIは、VBSを使用してコード整合性ポリシーの適用を大幅に強化する機能になる。これらの機能は、メモリに保存された機密情報にアクセスしようとする攻撃に対する有効な対抗手段となり、ほとんどの特権昇格攻撃を阻止できるとされている。
実は、2020年に発売されたSurface Book 3やSurface Laptop Go、Surface Pro Xといったデバイスでは、VBSおよびHVCIがデフォルトで有効に設定されており、強化されたセキュリティを提供している。Surface Pro 7+も同様に、VBSとHVCIがデフォルトで有効に設定された状態で出荷されるという。
Surfaceではそのほかにも、UEFI(Unified Extensible Firmware Interface)によるファームウェアレベルでのエンドポイント保護なども有効にされている。セキュアブートはデフォルトで有効化されており、ファームウェアやWindows 10が正規のバージョンで起動されることを保証する。さらに、デバイスにセキュリティプロセッサ(TPM 2.0)が搭載されている場合、データを暗号化するBitLockerや、パスワードなしのサインインを可能にするWindows Helloといった高度なセキュリティ機能を利用できる。
なお、仮想化をサポートしている他のWindows PCにおいてもこれらのセキュリティ機能は使用可能だという。VBSおよびHVCIはデバイスのセキュリティ設定において「メモリ整合性機能」をONにすることで有効化できる。
ちなみにUEFI技術については「Project Mu」によってオープンソース化されており、MicrosoftのGitHubリポジトリからソースコード一式を入手することができる。
