新たにハードウェア・ベースのセキュリティー・レイヤーを追加

新しいハードウェア・ベースのセキュリティー機能は、ビジネスを保護し、エンドポイントにおけるセキュリティー・リスクを軽減します。1 2 3

エンドポイントのセキュリティーを維持するのは、企業のビジネス価値や評価を高く保つためにも必要不可欠です。最新の PC プラットフォームにおいて、ハードウェア・ベースとソフトウェア・ベースのセキュリティー・アプローチを組み合わせることにより、ますます高度化するサイバー脅威に対応し、重要な企業資産やデータ、インフラストラクチャーを保護する方法をご紹介します。

ソフトウェア・ベースのセキュリティーのみでは不十分な理由

多くの企業は、資産の保護をセキュリティー・ソフトウェアに依存しています。しかし、ソフトウェア・ベースのセキュリティーでは、ソフトウェアやハードウェア上の脆弱性を介して高いレベルの権限を取得する攻撃者には、対処できません。設計上、ハードウェアやファームウェアは、システムに関するより詳細な情報を取得し、効果的に保護することができます。

ただし、ハードウェア自体も保護が必要であり、巧妙化する攻撃者はファームウェア・レベルに存在する脆弱性を探しています。最近の調査によると、63% の企業がハードウェアまたはシリコン上の脆弱性を介した不正なアクセスがあったと回答しています。4 シリコンレベルで構築されているハードウェア・ベースのセキュリティー機能は、より効果的にスタックを保護し、組織のエンドポイント・セキュリティー戦略に信頼できる基盤を提供します。

ハードウェアによるセキュリティーとは

従来型のセキュリティー・ソフトウェアは、今後も一定水準の保護をエンドユーザーに提供し続けます。また、オペレーティング・システム (OS) セキュリティーは、仮想コンテナーを使用して、コンテナー化された環境内で実行されるアプリケーション、ウェブブラウザー、データの整合性を検証し分離する新しいモデルに移行しつつあります。仮想化では、分離による保護を可能にするとともに、マルウェアによるシステムリソースへのアクセスを制限し、システム上に保持する能力を阻止するため、マルウェアによるシステムへの攻撃を最小限に抑えます。ただし、OS セキュリティー、暗号化、ネットワーク・セキュリティーなどのセキュリティー・ソフトウェアによる保護は、今日の企業にとっての一次元的な IT セキュリティーにすぎません。

ハードウェア・ベースのセキュリティーは、多次元的にアプローチすることで、ソフトウェア・ベースのセキュリティーを補強するだけでなく、より効率的にコンピューティング・インフラストラクチャーの保護を実行および管理します。

企業は、資産が包括的な IT セキュリティー戦略により保護されているという高いレベルでの保証を必要としています。この保証は、ファームウェアの高い可視性と復元力が必要とされるため、ワークロードが信頼できるプラットフォーム上で実行されているという確信を得ることができます。

ハードウェア・セキュリティーとソフトウェア・セキュリティーの比較
脆弱性の新しい領域として、オペレーティング・システムの起動を準備するために、起動時に実行するデバイス・ファームウェア内のコードがあります。オペレーティング・システムの下にあるこのコードは、シーケンスに組み込まれているセキュリティーや整合性チェックをデフォルトでは必要としないため、攻撃者はここにマルウェアを送り込もうとしています。マルウェアが送り込まれると、オペレーティング・システムは、不正なマルウェアのペイロードが含まれている場合でも、このコードを信頼してしまいます。

オペレーティング・システムより下にマルウェアを侵入させるもう 1 つの方法として、PC の製造から納品されるプロセスの段階における改ざんがあります。改ざんされると物理的に攻撃を受けやすくなるので、これは IT 管理者の大きな懸念となっています。最新の PC プラットフォームは、組み立てラインから開始されるハードウェア支援型のセキュリティーを統合することで、この脅威を軽減します。メーカーによる認定デバイス・コンポーネントの信頼性保証に加え、ファームウェアが封入されるより前の配信や転送の段階で、ファームウェア・コードの徹底した測定が行われます。このアプローチにより、IT 管理者は新たに受領したデバイスが、電源をオンにする前に改ざんされていないかどうかを判断することができます。

もちろん、改ざんは企業資産である PC のライフサイクル期間中いつでも発生する可能性があります。しかし、その後起動のたびにコードをブートし、ファームウェアとオペレーティング・システムのブートシーケンスを実行するローダーがテクノロジーによって検証されます。このセキュリティー・レイヤーの追加により、悪意のあるコードをオペレーティング・システムより下に挿入させる改ざんのリスクを軽減することができます。

ビジネスに相応しい PC プラットフォームによって追加されるハードウェア・ベースのセキュリティー・レイヤーが、IT 管理者に簡素化および拡張のための安全な基盤を提供します。

ビジネス環境向けのセキュリティー戦略

ハードウェア支援型のセキュリティーは、包括的なセキュリティー・アプローチにおいて重要な役割を果たします。現在の企業が採用している主要な戦略のいくつかをご紹介します。

ハードウェア支援型のエンドポイント・セキュリティー
エンドポイントとしての企業における PC は、ハッカーが企業のデータへアクセスしたり、ファイアウォールの内側にマルウェアを埋め込むためのターゲットになります。こうした攻撃が行われた場合のビジネスに与える影響の大きさから、企業ではソフトウェア・ベースのみのセキュリティー対応から、デバイスレベルでセキュリティー・リスクを低減できるハードウェア支援型のセキュリティー・モデルへと移行を進めています。AI を搭載した高度なエンドポイント・セキュリティー・モデルでは、ハードウェアによるテレメトリーを使用して、見つけるのが困難な攻撃の検知を支援します。

ファームウェアの透明性と保証
この戦略には、ファームウェア上の死角の削除とデバイス・プラットフォームにおける可視性の向上が含まれており、IT 管理者が対象となるプラットフォーム内にあるものについて信頼性を構築できるようにします。

IT 環境の管理
管理機能の強化により、IT 管理者はシステムの電源をリモートからオンにして、セキュリティー・パッチや脅威に対する修復を展開したり、デバイスを使用していない場合には電源をオフにして消費電力を抑えることができます。KVM (キーボード、ビデオ、マウス) のリモート制御機能を使用すれば、離れた場所にある無人システムの場合でも、デバイスのキーボードやモニター、マウスをリモートから操作して、セキュリティー・パッチを展開できます。また、IT 環境の管理では、エラーや攻撃からの修復や、サービス拒否から回復する機能を強化できます。

インテル® vPro® プラットフォームのセキュリティー上のメリット

ビジネス向けの インテル® vPro® プラットフォームには、すべてのコンピューティング・スタック・レイヤーを保護するためのハードウェア支援型セキュリティー機能が搭載されています。企業では、PC コンポーネントのサプライチェーンの透明性とトレーサビリティー、高度なメモリースキャン、Windows* 10 のセキュリティー・サービスによるハードウェア・ベース・サポートなどのメリットを得られます。さらに、IT 管理者は、重大な脆弱性に関するソフトウェア・アップデートを管理対象の PC に迅速に展開することができます。

エンドポイント・セキュリティー

エンドポイントは、重要なデータにアクセスしたり、システム内に悪意のあるコードを埋め込むための入り口としてハッカーに狙われています。現在のビジネス環境では、セキュリティー上の問題が発生する可能性のある多種多様なデバイスがエンドポイントとして存在しています。インテル® vPro® プラットフォームに組み込まれている インテル® ハードウェア・シールドによって、IT 管理者は、悪意のあるコードが挿入されている場合にはデータにアクセスできないように、ハードウェア・レイヤーにセキュリティー・ポリシーを適用できます。

システムの強化

インテル® vPro® プラットフォームの開発は、最適化されたハードウェア・ベースのセキュリティー機能が搭載されたシステム強化のプロセスを通じて展開されています。企業は、構成可能なファームウェア保護、攻撃対象を低減する BIOS セキュリティー、高度な脅威の検出などのメリットを得られます。

セキュリティー・パッチおよび脅威からの修復

インテル® vPro® プラットフォームに搭載された インテル® アクティブ・マネジメント・テクノロジー (インテル® AMT) は、組織全体のリモートアクセスと管理を可能にします。IT 管理者はインテル® AMT を活用することで、セキュリティー・パッチの適用と脅威からの修復をタイムリーに実行できます。セキュリティー・パッチの適用では、デバイスのある場所を問わず、多数のデバイスを更新することができます。脅威からの修復は、特定の攻撃に対するエンドポイントの脆弱性を低減するための対策を講じることで対応できます。

免責事項

1

インテル® テクノロジーの機能と利点はシステム構成によって異なり、対応するハードウェアやソフトウェア、またはサービスの有効化が必要となる場合があります。実際の性能はシステム構成によって異なります。絶対的なセキュリティーを提供できる製品やコンポーネントはありません。詳細については、各システムメーカーまたは販売店にお問い合わせいただくか、http://www.intel.co.jp を参照してください。

2

記載されているコスト削減シナリオは、指定の状況と構成で、特定のインテル® プロセッサー搭載製品が将来のコストに及ぼす影響と実現されるコスト削減の例を示すためのものです。状況によって異なる可能性があります。インテルは、いかなるコストまたはコスト削減も保証いたしません。

3

インテルは、サードパーティーのデータについて管理や監査を行っていません。記載内容について検討し、ほかの情報も参考にしながら、本資料で参照しているデータが正しいかどうかを確認してください。

4出典: Match Present-Day Security Threats with BIOS-Level Control (英語) (BIOS レベル制御による最新のセキュリティー脅威に対する取り組み) Dell の委託により Forrester Consulting が2019年6月に実施したソート・リーダーシップに関するホワイトペーパー。