ハードウェア・ベースのセキュリティーとは?
シリコンレベルで物理的に組込まれたセキュリティー機能は、ハードウェア・ベースと定義されています。これは、ハードウェア上にセキュリティー対策がインストールされている従来のソフトウェア・ベースの保護とは異なります。ソフトウェア・ベースの保護では、オペレーティング・システム (OS) 下層は、増加する攻撃に対して脆弱です。
ハードウェア・ベースのセキュリティー保護は、ソフトウェアのセキュリティー・オプションに置き換えるのではなく、それらを補完するものとして意図されています。これにより、複雑化や分散化が進んでいる今日の職場環境において、サイバー脅威を広範囲に検出および防止できる、多次元で包括的なセキュリティー・アプローチが実現します。
ソフトウェア・ベースのセキュリティーのみでは不十分な理由
ビジネスは、従来、セキュリティー・ソフトウェアに依存して、資産を保護してきました。しかし、今日の攻撃は、オペレーティング・システム下のアプリケーションやデバイスに対するものへと変化し、移行しています。これは、ソフトウェア・ベースのセキュリティーでは、ソフトウェア、ファームウェア、ハードウェアの脆弱性を見つけて悪用できるほど高度な技術を持つ攻撃者には、対処できないことを意味します。
例えば、脆弱性の新しい領域として、オペレーティング・システムの起動を準備するために、起動時に実行するデバイス・ファームウェア内のコードがあります。オペレーティング・システムの下にあるこのコードは、シーケンスに組込まれているセキュリティーや整合性チェックをデフォルトでは必要としないため、ハッカーはここにマルウェアを送り込もうとします。その結果、OS は、悪質なマルウェアのペイロードが含まれている場合でも、このコードを信頼します。
シリコンレベルで組込まれたハードウェア・ベースのセキュリティー機能は、データの安全性を高め、デバイスの整合性を維持し、意図された通りのシステムの起動と動作を確実にする、信頼できる基盤を構築するのに役立ちます。
デバイスの改ざん
デバイスの改ざんは、OS 下へのマルウェアの侵入であり、ハードウェア・ベースのセキュリティー機能で対処できます。改ざんは、製造から納品までのプロセスのどこにでも発生します。改ざんに対抗するには、製造ラインでプロセッサーを介してハードウェア・セキュリティー機能を組込み、箱から出してすぐ使用できる OS セキュリティー機能を提供する最新のデバイスへの投資が不可欠です。
また、IT 部門は、メーカーが認定デバイス・コンポーネントの信頼性を保証し、ファームウェアが封入されるより前の輸送や納品の段階で、ファームウェア・コードの徹底した測定を実行しているかを調べることで、新たに受け取ったデバイスが改ざんされているかどうかを確認できます。
ハードウェア・ベースのセキュリティーは、納品後、アセットのライフサイクルでいつでも発生し得るデバイス改ざんのリスクを軽減するのに役立ちます。例えば、インテル® 搭載のプロセッサーにより、起動の度にコードをブートし、ファームウェアとオペレーティング・システムのブートシーケンスを実行するローダーがテクノロジーによって検証されます。このセキュリティー・レイヤーの追加により、悪意のあるコードをオペレーティング・システムより下に挿入させる改ざんのリスクを軽減することができます。
ビジネス環境向けのハードウェア・セキュリティー戦略
ハードウェア対応セキュリティーは、ビジネス全体の包括的なセキュリティー計画において、重要な役割を果たす必要があります。次の戦略を考慮して、ビジネス環境のすべての面が保護されていることを確認します。
エンドポイントのすべてのレイヤーの安全性を維持
セキュリティーの脅威は、エンドポイントから始まります。PC フリートのエンドポイントは、ハッカーにとっての主要なターゲットとなっています。場所を問わずに作業する従業員が増加したことにより、エンドポイントの保護がより困難になっています。エンドポイント・デバイスのすべてのレイヤーの保護を向上し、分散型フリートのリスクを軽減するには、攻撃に対するアクティブな監視など、すぐに使用可能な独自のハードウェア・ベースのセキュリティー機能を備えたインテル® vPro® プラットフォーム搭載のデバイスをお求めください。ハードウェア対応エンドポイント・セキュリティーの導入により得ることができるメリットについて説明します。
多層防御機能により、仮想化セキュリティーを強化
ビジネスが実装しているもう 1 つのセキュリティー・アプローチは、仮想化セキュリティーです。これは、仮想化されたコンテナを使用して、これらのコンテナ化された環境内で実行されているアプリケーション、ウェブブラウザー、およびデータの整合性を分離し、検証するものです。仮想化は、分離により保護する機能を提供します。また、仮想化ワークスペースにはシステムリソースへのアクセスが制限され、システム上で持続する能力が欠如するため、マルウェアによるシステムへの影響を最小限に抑えます。
しかし、仮想化セキュリティーは、ソフトウェア・ベースのセキュリティー・オプションのように、ハードウェア・ベースのセキュリティー機能が提供する追加の保護レイヤーにより、メリットを得ることができます。インテルは、多層防御による仮想化セキュリティーを実現するテクノロジーと機能の完全なポートフォリオを提供しています。例えば、インテル® vPro® プラットフォーム搭載の Windows PC のみで提供されるインテル® ハードウェア・シールドによるハイパーバイザー・ベースのセキュリティー対策は、仮想化コンテナを侵害するメモリー・リダイレクト攻撃の発生を低減し、マルチキー暗号化の向上による DRAM 保護を強化します。
OS 下の可視性を向上して、マルウェアに対する保護を強化
OS 下のハードウェア・ベースのセキュリティー機能は、デバイスのファームウェアや BIOS などの基盤レイヤーの可視性を向上させるため、チームは、ワークロードが信頼できるプラットフォーム上で実行されていることを検証できます。
例えば、インテル® ハードウェア・シールドのもう 1 つの機能であるインテル® ブート・ガードによって、チームはハードウェア・ベースの静的 Root of Trust を有効にし、OS 起動前にブート整合性の測定と検証を実現できます。また、ファームウェアと BIOS のアップデートとファームウェアのエラーリカバリーに焦点を当てたインテル® Firmware Restart/Recovery 機能により、復元力のあるアップデートで使用開始当初からデバイスをより安全な状態にすることができます。
連携して、進化する最新のサイバーセキュリティー脅威に対する防御を強化する、すべてのインテル® セキュリティー・テクノロジーをご覧ください。
Dell がインテル® ハードウェア・ベースのセキュリティー機能を活用して、独自のハードウェアとファームウェアのセキュリティー・ソリューションを強化し、拡張する方法について説明します。
管理された IT 環境のセキュリティーを強化
IT 管理者は、管理機能の強化により、システムの電源をリモートでオンにして、セキュリティー・パッチや脅威からの修復を実行したり、デバイスを使用していない場合には電源をオフにして消費電力を抑えることができます。KVM (キーボード、ビデオ、マウス) のリモート制御機能を使用すれば、離れた場所にある無人システムの場合でも、デバイスのキーボードやモニター、マウスをリモートから操作して、セキュリティー・パッチを展開できます。また、リモートで管理された IT 環境では、エラーや攻撃からの修復や、サービス妨害を予防する機能を強化できます。
ハードウェアの更新により、ハードウェア・ベースのセキュリティーのメリットを有効化
PC フリートのアップグレードは、かなり負担の大きい作業ですが、それを保留にしてしまうことは、セキュリティー・リスクの増加から、生産性の低下、従業員の不満など、コストがかかります。
過去数年間のセキュリティーにおける大きな進歩と、Windows 11 ユーザー向けの新しいハードウェア・ベースのセキュリティー要件により、今がビジネス向け PC を更新する絶好の機会となっています。
Windows 11 セキュリティー向けの Trusted Platform Module
Windows 11 は、PC の安全性を維持し、ハッカーがサイバー犯罪を犯すことを困難にするため、現在すべての PC が Trusted Platform Module (TPM) 2.0 を使用して動作することを必須にしています。TPM は、コンピューターのマザーボードの一部であるセキュリティー・チップであり、マルウェアや高度なサイバー攻撃に対するハードウェア・レベルの保護を提供することで、その安全性を維持するのに役立ちます。TPM は、暗号化を使用して、PC に不可欠で重要な情報を安全に保存し、プラットフォームの認証を有効にします。デバイスが TPM 2.0 を搭載していることを確実にすることは、フリートの寿命にとって不可欠です。これは将来のアップグレードの標準となり、TPM 2.0 を搭載しないデバイスは、セキュリティー保護が古くなるリスクを負います。
Windows 11 の機能とメリットについて説明し、アップグレードが必要かを判断します。
TPM 2.0 向けのインテル® プロセッサー・サポート
第 8 世代以降のインテル® Core™ プロセッサー・ファミリーを搭載したコンピューターは、インテル® プラットフォーム・トラスト・テクノロジー (インテル® PTT) により、2.0 仕様に準拠する統合 TPM である TPM 2.0 をサポートします。インテル® PTT は、ディスクリート TPM の同じ機能を提供しますが、システムのファームウェアに存在するため、専用のプロセシングまたはメモリー・リソースの必要性を排除します。
しかし、お使いのコンピューターが TPM 2.0 をサポートしている場合でも、古い PC はサイバー攻撃に対してより脆弱な可能性があるため、PC を更新する時期であるかもしれません。PC の更新が、セキュリティー・リスクを軽減する方法について、詳しくはこちら。
インテル® vPro® Enterprise for Windows
インテル® vPro® Enterprise for Windows は、箱から出してすぐに使用可能な最も包括的なビジネス向けのセキュリティー機能を提供することにより、明日のサイバー脅威に対して、従業員、リソース、データを保護します。1 インテル® vPro® for Windows は、シリコンに深く構築された高度なセキュリティー機能により、次のようなことが可能です。
- 4 年前の PC と比較して、攻撃表面を推定 70% 減少。2
- 主なセキュリティー侵害を 26% 減少。3
- 影響力のあるセキュリティー・イベントを 21% 軽減。3
また、インテル® vPro® Enterprise for Windows は、ハードウェア、BIOS/ ファームウェア、ハイパーバイザー、VM、OS、およびアプリケーションなど、各システムレイヤーでの最新の脅威に対する防御に役立つ一連のセキュリティー・テクノロジーを搭載しています。
インテル® ハードウェア・シールド
インテル® vPro® プラットフォーム搭載の Windows PC 専用のインテル® ハードウェア・シールドは、高度な脅威保護、アプリケーションとデータの保護、および OS 下のセキュリティーにより、全体的なセキュリティーの向上に役立ちます。これは、ソフトウェアの実行時に BIOS のメモリーをロックし、植え付けられたマルウェアによる OS の侵害を防止することで、マルウェア注入のリスクを最小限に抑えます。さらに、インテル® ハードウェア・シールドは、同じ PC で実行されている異なるオペレーティング・システム間のアプリケーションの互換性により、仮想マシンを実行してセキュリティー・ベースの分離を実現することで、仮想化環境のセキュリティーを向上します。インテル® ハードウェア・シールドのセキュリティー機能について詳しく読む。
インテル® スレット・ディテクション・テクノロジー
インテル® vPro® プラットフォームのもう 1 つの主要なコンポーネントは、インテル® スレット・ディテクション・テクノロジー (インテル® TDT) です。インテル® TDT は、スキャンのパフォーマンスを最大 7 倍向上させることで、サイバー攻撃を監視し、ハードウェア・レベルでのセキュリティー・パフォーマンスを向上させます。4また、インテル® TDT は、次の方法でソフトウェア・ベースのセキュリティー・ソリューションを強化します。
- VM または難読化されたバイナリーに潜む有害なコードの発見。
- メモリー内で見えないように実行するファイルレスのマルウェアの検出を強化。
- ゼロデイ攻撃、新しい変種、断続的な暗号化のリアルタイム検出のサポート。
将来の攻撃と脅威向けのハードウェア・セキュリティー
残念ながら、悪意のある者たちがすぐに消えることはなく、今後もビジネスのハッキング、暗号化、盗みを試み続けます。幸いなことに、当社は、ハードウェア・ベースのセキュリティー機能とソフトウェアのセキュリティーを組み合わせ、今日と将来の最も差し迫った脅威に対してビジネスをより強固に保護するフルスタック戦略の構築を支援できます。
インテル® vPro® プラットフォームにより、OS 上下層の PC の安全性を確保する方法と、インテル® vPro® プラットフォームの実環境の ROI について詳しく説明します。