〇 法人向けパソコンは消費者向けモデルに比べてセキュリティーが強化されているが、その中身はメーカーやモデルによって大きく異なる。
日経クロステックは今回、法人向けパソコンを手掛けるメーカー8社にアンケートを実施した。そこから分かったポイントを紹介しよう。
まず法人向けパソコンは、大きく3つの種類に分類できる。(1)消費者向けモデルと同じハードウエア構成の製品、(2)CPUメーカーが提供する法人向けCPUに基づいてセキュリティーを強化している製品、(3)パソコンメーカーが独自に開発・採用したハードウエアやソフトウエアによって独自のセキュリティー機能を搭載する製品――である。消費者向けモデルよりもセキュリティーが強化されているのは、(2)と(3)の製品である。
(2)の法人向けのCPUとは、米Intel(インテル)の「Intel vPro」や米Advanced Micro Devices(アドバンスド・マイクロ・デバイセズ、AMD)の「AMD PRO」である。
Intel vProやAMD PROが備えるハードウエアベースのセキュリティー機能を活用することで、OS(基本ソフト)やその下で稼働するBIOS(Basic Input/Output System)やUEFI(Unified Extensible Firmware Interface)と呼ばれるファームウエアに対する改ざんを検知するといったことが可能になる。これらの詳細は本特集の第3回で解説する。
(3)のパソコンメーカー独自のセキュリティー機能としては、メーカー独自のセキュリティーチップによって実現するファームウエアの自動回復機能や裏蓋開閉検知機能、ウェブカメラや赤外線カメラなどによってのぞき見を検知する機能などがある。
それでは実際に、パソコンメーカー各社の取り組みを見ていこう。セキュリティーが強化された法人向けパソコンを販売するメーカーは大きく2つにグループ分けできる。
独自のセキュリティーチップで様々な機能を実現。
第1のグループは法人向けパソコンに独自セキュリティーチップを搭載するメーカーだ。セキュリティーチップの名称は、日本HPが「HP Endpoint Security Controller」、レノボ・ジャパンが「Think Engine」、富士通が「Endpoint Management Chip」である。
| セキュリティー機能 | Dynabook | 日本HP | 富士通 | レノボ・ジャパン |
|---|---|---|---|---|
| NIST SP 800-193準拠モデルを提供している | ○ | ○ | ○ | ○ |
| Intel vPro/AMD PROの搭載モデルがある | ○ | ○ | ○ | ○ |
| Microsoft Plutonセキュリティーチップの搭載モデルがある | ○ | |||
| 独自セキュリティーチップを搭載している | ○ | ○ | ○ | ○ |
| ファームウエアの変更や改ざんを検知できる | ○ | ○ | ○ | ○ |
| ファームウエアが改ざんされた場合に自動復旧できる | ○ | ○ | ○ | ○ |
| 復旧に使用するファームウエアのデータを専用領域やクラウドに保存している | ○ | ○ | ○ | ○ |
| 裏蓋開閉を検知できる | ○ | ○ | ||
| ファームウエアの設定をパスワードで保護できる | ○ | ◎ | ◎ | ○ |
| ファームウエアの設定をパスワード以外の方法(公開鍵暗号、FIDOキーなど)で保護できる | ○ | ○ | ○ | ※2 |
| ファームウエアの変更履歴を記録している | ○ | ○ | ○ | |
| 生体認証に使用するデータを専用セキュリティーチップなどに保存している | ○ | ○ | ○ | ○ |
| メインメモリーの常時暗号化が利用できるIntel TMEやAMD Secure Memory Encryptionを搭載 | ○ | ○ | ○ | ○ |
| 液晶モニターののぞき見を防止するプライバシーフィルターを搭載 | ☆ | ○ | ○ | ○ |
| カメラや赤外線センサーを使用してのぞき見している人を検知する機能 | ☆ | ○ | ○ | |
| ストレージに記録されているデータのリモートワイプ機能 | ※1 | ※1 | ○ | ○ |
| リモートワイプ機能がファームウエアに搭載 | ☆ | ※1 | ○ | ○ |
セキュリティーチップはファームウエアの改ざんなどを検知するだけでなく、改ざんがあった場合に自動回復する。例えば日本HPの「HP Sure Start」は、電源を入れるとセキュリティーチップであるHP Endpoint Security Controllerが最初に起動し、ファームウエアやOSなどのコードの整合性をチェックする。もし改ざんを検知した場合は、セキュリティーチップの専用ストレージに保存してある正しいコードで上書きするため、パソコンを安全な状態で起動できる。レノボ・ジャパンや富士通、Dynabookも同様の仕組みを実装している。
裏蓋開閉検知機能について、法人向けモデルに「Tamper Detection」を搭載するレノボ・ジャパン企画本部製品企画部の元嶋亮太マネージャーは「蓋を開けた後に起動しようとすると(エンドユーザーは通常知り得ない)スーパーバイザーパスワードを入れないと起動できなくなる」と話す。
同様の機能は日本HPも「HP TamperLock」として実装する。「蓋を開けたら(Windowsのディスク暗号化機能である)BitLockerの暗号鍵を消去し、パソコンを起動できないようにすることもできる」。(日本HPエンタープライズ営業統括営業企画部の大津山隆プログラムマネージャー)
ファームウエアで「パスワードレス」を実現。
ファームウエアのセキュリティーを管理しやすくする仕組みも搭載している。例えば日本HPの「HP Sure Admin」は、ファームウエアの保護にパスワードではなくデジタル証明書を使った公開鍵暗号を使用できる。いわばファームウエアの保護を「パスワードレス」にする仕組みである。ファームウエアパスワードの漏洩や、エンドユーザーによる意図しない設定変更の防止に役立つ。
ネットワーク経由でファームウエア設定を遠隔操作する場合も、パスワードではなく公開鍵暗号を使用できるため、安全性が向上する。またパソコンのファームウエアに対話的にログオンする場合(ローカルアクセスする場合)は、画面に表示される2次元バーコードを専用スマートフォンアプリケーションから読み取るという認証手法が利用できる。
レノボ・ジャパンの「ThinkShield Password-less Power-on」は、電源起動時にファームウエアに対して入力するパワーオンパスワードを、FIDO準拠のUSBキーに代替できる。これもファームウエア保護をパスワードレスにする仕組みだ。
セキュリティーチップからOSを復元。
日本HPは独自セキュリティーチップを使ってOSを復元する「HP Sure Recover」という機能も搭載する。サイバー攻撃によってパソコンのストレージの内容が消去された場合でも、セキュリティーチップとファームウエアさえ起動できれば、ネットワークに接続して社内サーバーもしくは日本HPのWebサイトに登録されているOSイメージをダウンロードして、OSを自動的に復旧する。
復旧とは逆にストレージ内のデータをファームウエアから完全に消去できるようにしているメーカーも多い。例えばレノボ・ジャパンの「ThinkShield Secure Wipe 2.0」は、ファームウエアのGUIツールからデータの消去ができるほか、データを消去したことを示すログ情報をセキュリティーチップ内のストレージに蓄積できる。
また消去の完了後に、ログ情報は2次元バーコードとしてパソコンの画面に表示される。消去作業の担当者は作業完了をシステム管理者に報告する際、この2次元バーコードをスマートフォンで撮影して、情報を送信するという流れだ。
Dynabookはファームウエアのリバースエンジニアリングを防止するため、セキュリティーチップが管理するストレージ領域にファームウエアを暗号化して保存している。
第2のグループは、Intel vProを採用したモデルを中心に提供するメーカーだ。デル・テクノロジーズとパナソニック コネクト、NECなどが該当する。
| セキュリティー機能 | NEC | デル・テクノロジーズ | パナソニック コネクト | マウスコンピューター |
|---|---|---|---|---|
| NIST SP 800-193準拠モデルを提供している | 非公開 | ○ | ◎ | |
| Intel vPro/AMD PROの搭載モデルがある | ○ | ○ | ◎ | |
| Microsoft Plutonセキュリティーチップの搭載モデルがある | ||||
| 独自セキュリティーチップを搭載している | ||||
| ファームウエアの変更や改ざんを検知できる | ○ | ○ | ◎ | |
| ファームウエアが改ざんされた場合に自動復旧できる | ○ | |||
| 復旧に使用するファームウエアのデータを専用領域やクラウドに保存している | ○ | |||
| 裏蓋開閉を検知できる | ○ | |||
| ファームウエアの設定をパスワードで保護できる | ○ | ○ | ◎ | ◎ |
| ファームウエアの設定をパスワード以外の方法(公開鍵暗号、FIDOキーなど)で保護できる | ○ | |||
| ファームウエアの変更履歴を記録している | ○ | ◎ | ||
| 生体認証に使用するデータを専用セキュリティーチップなどに保存している | 非公開 | ○ | ○ | |
| メインメモリーの常時暗号化が利用できるIntel TMEやAMD Secure Memory Encryptionを搭載 | ○ | ◎ | ||
| 液晶モニターののぞき見を防止するプライバシーフィルターを搭載 | ※1 | ○ | ※1 | |
| カメラや赤外線センサーを使用してのぞき見している人を検知する機能 | ※1 | ○ | ○ | |
| ストレージに記録されているデータのリモートワイプ機能 | ○ | ◎ | ||
| リモートワイプ機能がファームウエアに搭載 | ※2 | ◎ |
第1のグループとの大きな違いはファームウエアの自動回復機能の有無だ。デル・テクノロジーズは改ざんされたファームウエアについては自動で回復するのではなく、ユーザーの介入を必ず求めるようにしている。これは「自動的に復旧することがセキュリティー上好ましくない場合があるため」(デル・テクノロジーズ広報)と考えているためだ。
セキュリティーチップ以外のハードウエアによって実現されるセキュリティー機能も見ていこう。
リモートワイプやのぞき見防止も。
1つはリモートワイプだ。ファームウエアが搭載するストレージを消去する機能を、パソコンが内蔵するモバイル通信機能を使うことによって、遠隔から利用可能にする仕組みだ。パナソニック コネクトが内蔵する「TRUST DELETE Biz」はSMS(Short Message Service)を通じて消去プログラムを起動できるため、パソコンの電源がオフの状態でもストレージのデータを消去できる。
もう1つはのぞき見防止機能だ。例えばNECは「NeoFace Monitor」という機能を提供する。OSへのログオンの顔認証に使うためのカメラや赤外線センサーを使って、パソコン画面へののぞき込みを検知し、自動的にロックをかけたり、アラートを表示したりする。同様の機能はレノボ・ジャパンやDynabook、デル・テクノロジーズ、富士通、パナソニック コネクトなども搭載する。
