最終回 ハードウェアによるPC保護
竹井 淳
インテル株式会社
技術政策本部シニアリサーチャー
TCG日本支部共同代表
小池 浩之
インテル株式会社
技術本部 アプリケーションエンジニア
2011/1/6
持ち運べるデバイスには、さまざまなリスクがある。そのリスク回避の歴史と、回避のための技術動向を3回にわたり解説する(編集部)
徹底した保護を実現するハードウェアベースのテクノロジ
前回はモバイルPC上のデータをPC単体で保護するためのテクノロジとして、HDD自体による暗号化標準「OPAL」と、CPUによる暗号化ソフトウェア支援技術である「AES-NI」を紹介した。
今回は、モバイルPCを紛失や盗難から保護するハードウェアベースの技術について紹介する。
ハードウェアに基づくセキュリティ対策は、CPUやその上で動作するオペレーティング・システム(OS)、さらにその上で動作するアプリケーション・ソフトウェアとは完全に独立して動作する。ソフトウェアベースのセキュリティ対策には、アプリケーションをオフにしたり、OSやBIOSレベルで侵害を受けると、対策が無効化される恐れがある。
これに対しハードウェアベースのテクノロジは、ひとたび有効にしてしまえば、OSを再インストールしようと、USBメモリなどの外部メディアからブートさせようと、効力を失うことはない。たとえハードディスクドライブ(HDD)を交換したとしても、紛失・盗難状態に入ってしまったシステムではOSのブートすら不可能にするといった設定が可能である。
独立したコントローラや対応ソフトウェアと連動
ここでは、ハードウェアベースのセキュリティ技術の例として、「インテル・アンチセフト・テクノロジ」(インテル AT)について紹介する。
この技術は、マザーボード上のチップセットに組み込まれた「マネジメント・エンジン」(ME)と呼ばれるマイクロ・コントローラとシステムBIOSに加え、対応ソフトウェア製品との連携によって実現される。これらの要素が組み合わさって動作することで、ハードウェアレベルで紛失・盗難対策を実現する。
MEはOSとはまったく独立して動作しており、そのME上で「Disable Timer」(DTimer)と呼ばれるタイマーが常にカウントダウンを行っている。ここで、DTimerの初期値を48時間に設定したとしよう。正規のユーザーが何も操作しなければ、48時間後にはDTimerは時間切れ状態になり、PCは自らを「盗難された」と見なして「盗難モード」に入る。盗難モードに入ったPCは、あらかじめ設定されたポリシーに従い、適切なアクションを行う。
設定可能なアクションは、PCプラットフォームに関するものと、マザーボード上の特別なデータ領域に関するものの2つに大別される。
プラットフォームに関する動作としては、盗難モードに入った瞬間にPCを強制終了するか、次回のリブート時にPCを強制終了させ二度とブートさせないようにするかを選択できる。
 |
| 図1 「盗難モード」に入ったときに実行可能なポリシー |
また、インテル ATではマザーボード上に「ブロブ」と呼ばれる特別なデータ領域を提供している。対応ソフトウェアの開発者は、この領域に任意のデータを書き込むことが可能だ。このデータ領域について設定可能なアクションとして、盗難モードに入った際にこの領域に書かれたデータを削除するか、あるいは隠す(あらゆるアクセスを不可能にする)かを設定できる。
例えば、この領域にプリブート認証画面で用いられる一般ユーザーのログイン認証に関する情報を保管しておけば、盗難モードに入ったシステムでは、一般ユーザーのユーザーIDとパスワードではログインできなくなる、といった使い方が可能である。仮に、PCと一緒に、ログインIDとパスワードを記入したメモなどまで持ち去られたような場合でも、PCが盗難状態に入ってしまった段階で、この認証情報によるログインはできなくなってしまう。こうして、情報漏えいを防ぐ仕組みだ。
あるいはディスク暗号化の暗号鍵を保管しておくことで、盗難時にはハードディスク上の情報へ一切アクセスできなくするといった実装も可能となる。ディスク装置ではなく、マザーボード上の特殊な領域に暗号鍵を保存することで、盗み出したPCからハードディスクだけを抜き出して読み込もうとした場合に、ディスク内のデータを意味のないものにすることが可能となり、非常に高い機密性を実現することができる。
「盗難状態」を識別する仕組み
ただし、DTimerに設定された時間が経過するたびに盗難状態になっていては、ユーザーに無用の負荷が掛かり、通常の運用が困難になる。それを防ぐための仕組みも用意されている。
インテル AT対応ソフトウェアでは、クライアント上で動作するエージェントが管理サーバと定期通信(インテル ATではランデブー:Rendezvousと呼ぶ)を行い、PC自身が正常状態(盗難・紛失ではない状態)であることを確認することが求められる。
クライアント・エージェントは、設定された間隔(RTimer:Rendezvous Timer)ごとに管理サーバにアクセスし、サーバ上のデータベースに保管された自分(PC)自身の状態(通常状態/盗難状態)や盗難時のポリシー/アクション設定を確認し、MEに伝えるとともに、DTimerのリセット(初期化)を行う。この動作をDTimerの設定時間より短い間隔で実行することで、ユーザーはインテル ATの存在を意識することなく、通常運用を続けることが可能になる。
 |
| 図2 通常運用を妨げない仕組み |
DTimerは、MEというOSとは独立したハードウェア上で動作している。もし仮に悪意のある人間がソフトウェア・エージェントのインストールされたハードディスクを初期化してOSを上書きしたり、あるいはハードディスクそのものを交換してしまった場合、DTimerのリセットは行われず、システムはいずれ、自ら盗難状態に移行することになる。
1/2 |
 |
| Index | |
| ハードウェアによるPC保護 | |
 |
Page1 徹底した保護を実現するハードウェアベースのテクノロジ 独立したコントローラや対応ソフトウェアと連動 「盗難状態」を識別する仕組み |
| Page2 「盗んだら最後、二度と起動しないPC」も設定可能 迅速な復旧作業も可能に |
|
 |
“ノートPC使わない”以外の盗難防止策 連載インデックス |
- Windows起動前後にデバイスを守る工夫、ルートキットを防ぐ (2017/7/24)
Windows 10が備える多彩なセキュリティ対策機能を丸ごと理解するには、5つのスタックに分けて順に押さえていくことが早道だ。連載第1回は、Windows起動前の「デバイスの保護」とHyper-Vを用いたセキュリティ構成について紹介する。 - WannaCryがホンダやマクドにも。中学3年生が作ったランサムウェアの正体も話題に (2017/7/11)
2017年6月のセキュリティクラスタでは、「WannaCry」の残り火にやられたホンダや亜種に感染したマクドナルドに注目が集まった他、ランサムウェアを作成して配布した中学3年生、ランサムウェアに降伏してしまった韓国のホスティング企業など、5月に引き続きランサムウェアの話題が席巻していました。 - Recruit-CSIRTがマルウェアの「培養」用に内製した動的解析環境、その目的と工夫とは (2017/7/10)
代表的なマルウェア解析方法を紹介し、自社のみに影響があるマルウェアを「培養」するために構築した動的解析環境について解説する - 侵入されることを前提に考える――内部対策はログ管理から (2017/7/5)
人員リソースや予算の限られた中堅・中小企業にとって、大企業で導入されがちな、過剰に高機能で管理負荷の高いセキュリティ対策を施すのは現実的ではない。本連載では、中堅・中小企業が目指すべきセキュリティ対策の“現実解“を、特に標的型攻撃(APT:Advanced Persistent Threat)対策の観点から考える。
 |
|
|
|
|
