ハッキングしようとする者は IT インフラストラクチャーにさまざまな攻撃を仕掛けて侵入方法を見つける必要があります。ユーザーを騙しアクセス権を得ることで、悪意のあるコードを OS に注入しようとするかもしれません。あるいはハードウェア、ファームウェア、ソフトウェアを標的にするかもしれません。成功した攻撃者は、悪意のある要素を注入してシステムを乗っ取ることができます。悪意のあるコードのインジェクションが困難な場合、熟練の攻撃者であれば信頼されたアプリケーションの残存データを使用して最新のセキュリティー・テクノロジーをも破壊する装置を作ることができます。これらすべての試みがうまくいかなくても、ノートブック PC またはその他デバイスが攻撃者に盗まれてしまえば簡単にアクセスを許してしまいます。カーネル DMA 攻撃などのように、デバイスドライバーの脆弱性を物理的に悪用することで、従来の OS のセキュリティーをすり抜けようとするかもしれません。しかし、ハッカーがシステムを侵害し、一度突破してしまえば、ユーザーをスパイしたり、データを盗んだりするだけでなく、アクセス認証の阻止や、マシンを使えなくすることもできます。
システムの要塞化とはつまり、ハードウェア、ファームウェア、ソフトウェア、アプリケーション、パスワード、プロセスなどのセキュリティーの脆弱性を探して修正するためにあらゆる策を講じることです。
要塞化 (ハードニング / hardening) の利点
システム要塞化の主な目標は、IT セキュリティー全体を改善することです。これにより、データ侵害、不正アクセス、マルウェア侵入のリスクが低下します。攻撃を回避することで、復旧に伴う計画外のダウンタイムも回避できます。システム要塞化は、内外規則遵守の簡素化にも役立ちます。
要塞化 (ハードニング / hardening) の種類
システムの要塞化は IT インフラストラクチャーの各層で実施すべきものです。範囲はサーバーからネットワーク、エンドポイントにまで及びます。IT システム管理者は通常、データセンターのサーバーの要塞化に重点を置きますが、これはクライアントを守る支援をするのと同じくらい重要なことです。エンドポイント・セキュリティーで潜在的な脆弱性を削減し、ゼロトラストのエンタープライズ・セキュリティー戦略を強化します。
ご存じのように、PC が主要な攻撃面となります。しかし、IT 管理者の多くはマルウェア対策が PC を保護するにはもはや不十分であるということに気づいていません。ハードウェアとファームウェアへの攻撃はいつでも可能でしたが、実際に攻撃をするのは困難です。オンラインでキットやツールが入手可能な昨今、ハッカーたちは以前よりはるかに洗練されてきており、OS より下位のスタックにある PC を攻撃するようになっています。
PC の要塞化では、潜在的な攻撃ベクトルを閉鎖し、システムを定期更新して悪用されるのを防ぐことに重点を置きます。攻撃には次のものがあります。
- サプライ・ネットワークの隙を悪用する悪意のあるハードウェア・インジェクション攻撃 (サプライチェーン攻撃)。
- ユーザーを操り機密情報を漏洩させるソーシャル・エンジニアリング攻撃。
- ソフトウェアとファームウェアの脆弱性を悪用する悪意のあるコードベースの攻撃。
- メモリーの残存データを使用してシステムを侵害する正当なコードベースの攻撃。
- ハードウェアの脆弱性を悪用する物理アクセス攻撃。
- サイドチャネル攻撃。
セキュリティー・ファースト
インテルでは、セキュリティーは製品のセキュリティーだけではありません。これは、インテル製品搭載のプラットフォーム上でユーザーが最適な環境で作業できること、そして最も安全であることを保証するための継続的な取り組みです。
インテルのセキュリティー・ファーストの誓いは、製品セキュリティーの設計に対する義務です。何よりもカスタマーファーストから始まります。インテルは、セキュリティーに深く根付いた有益なソリューションの構築と提供をすべく、商業セグメント、当社のエコシステム、研究者、学界のリーダーと継続的に協力し、顧客の問題点をより理解するよう努めています。
透明性の高い迅速なコミュニケーションと継続的なセキュリティーに対する実績は、製品に組み込まれているものを超えて、セキュリティーの限界を押し上げインテルの取り組みを表しています。バグ報奨金プログラム、セキュリティー・レッド・チーム、そして共通脆弱性識別子 (CVE) への関与により、インテル® プラットフォームに対する脅威を予防的に特定、軽減し、顧客に対する迅速な助言を可能としています。
インテルのセキュリティー技術はシリコンに組み込まれており、最も基礎的なレベルでデバイスを保護します。しかし、システムの要塞化はエコシステムの協力なしには、完全に実現できません。そのため、インテルのテクノロジーは、外部のエンドユーザー・ソリューションと統合し、主要ベンダーによるソフトウェア・ベースのセキュリティー機能を強化するように設計されています。
さらに、インテルは PC の要塞化をシンプルにするために設計されたビジネスクラスの PC プラットフォームを提供しています。インテル® vPro® プラットフォームは、セキュリティーの脅威に関連するリスクを最小限に抑えるハードウェア・ベースのセキュリティー機能を搭載しています。インテル® vPro® プラットフォームをベースにしたすべての Windows PC には、OS 下での攻撃にも設定不要で迅速な保護が可能なよう設計されたインテル® ハードウェア・シールドが付随します。最新のインテル® Core™ プロセッサー・ファミリーではこれらの機能が拡張され、アプリケーション保護機能、データ保護機能、および高度な脅威対策機能を実装し、ハードウェア、ファームウェア、ソフトウェアにまたがる総合的なエンドポイント・セキュリティー機能を提供しています。また、プロセッサーは仮想ワークロードに必要なハードウェア・リソースを提供し、実行中およびデータ保存中に PC を保護する機能を備えた仮想化ベースのセキュリティー (VBS) を強化することができます。
PC の要塞化に関する注意点
IT セキュリティーの要塞化戦略を計画するにあたり、PC の要塞化に関する重要な目標がいくつかあります。
- 組み立てから IT プロビジョニングまでのサプライチェーンの可視性を確保するようにしましょう。インテル® ハードウェア・シールドは、プラットフォームのプロビジョニングに先立ってハードウェアの不正な変更を特定するのに役立ちます。
- 実行中の PC を保護しましょう。インテル® ハードウェア・シールドに組み込まれた OS 下での機能により起動を保護できるため、システムを信頼できる状態で起動するために役立ちます。
- BIOS を保護しましょう。インテル® ハードウェア・シールドは、ソフトウェア実行中に BIOS のメモリーをロックダウンします。これにより、埋め込まれたマルウェアによる OS への侵入を防ぐことができます。
- ハードウェアからソフトウェアへのセキュリティーの可視性を確保するようにしましょう。インテル® ハードウェア・シールドに搭載された Dynamic Root of Trust for Measurement (DRTM) により、インテルにより保護されたコード実行環境で OS と仮想化環境を再開することで、ファームウェアから OS の機密事項を保護することができます。これにより、ファームウェア・セキュリティの OS の可視化が確保され、OS のセキュリティー機能が補強されます。
- メモリーへのアクセス攻撃から保護しましょう。インテル® ハードウェア・シールドは、追加設定不要でデバイスが保持するデータへの不正アクセスを防ぐことができます。
- 業界をリードするハードウェア仮想化と高度な脅威検出機能により、OS へのマルウェア侵入を防ぎましょう。インテル® ハードウェア・シールドは、最新のサイバー脅威から OS を保護する最新型の仮想クライアント・セキュリティーのワークロードに不可欠なハードウェア・リソースを提供します。
- PC をリモート管理する方法を用意しましょう。これにより、必要に応じたセキュリティー・パッチのインストールや、構成管理が実行できます。インテル® vPro® Enterprise (Windows 向け) プラットフォームに搭載された インテル® アクティブ・マネジメント・テクノロジーは、リモート PC 管理向けのアウトオブバンド接続を提供します。また、その接続を利用して、トラブルシューティングや修理のために、より安全な環境でデバイスを起動することも可能です。さらに、インテル® エンドポイント・マネジメント・アシスタント (インテル® EMA) により、IT 部門は社内ファイアウォールの外側にあるデバイスでも、クラウドを通じてリモートで安全に管理できるようになりました。
はじめに: システム要塞化チェックリスト
以下は、システムの要塞化を開始するにあたって進める基本手順の簡単なリストです。より包括的なチェックリストについては、米国国立標準技術研究所 (NIST) などの信頼できる機関によるシステムの要塞化基準を検討してください。
- PC、サーバー、ネットワークなど、全 IT システムのインベントリーを調べます。OS やデータベース・バージョンともに、使用しているハードウェアおよびソフトウェア製品をドキュメント化します。
- ユーザーに対する監査、およびすべてのシステムとアプリケーションへのユーザーによるアクセスに対する監査を実施します。不要なアカウントと権限を削除します。
- オペレーティング・システムの要塞化を進める方法を検討します。PC の場合、OS を Windows 11 にアップグレードして、セキュリティー・アップデートを確実に入手できるようにしましょう。
- 業務で忙しい時間帯にユーザーや IT 部門が影響を受けることなくプッシュ配信されるよう、ソフトウェアの更新を自動化します。
- 強力なパスワードの使用とフィッシング詐欺の仕組みを見破れるよう、ユーザーを教育します。多くの攻撃が認証情報の盗難やソーシャル・エンジニアリングに起因します。ユーザー教育はシステム要塞化戦略の基本です。
システムの要塞化は 1 回限りの業務ではなく、進化していくものであることを忘れないでください。攻撃が高度になれば、ハードウェア・セキュリティー戦略もまた高度化する必要があります。インテル® vPro® プラットフォームのビジネス向けノートブック PC やビジネス PC を選択すれば、デバイスに組み込まれた最新のハードウェア・ベースのセキュリティー技術で PC を容易に要塞化できます。これにより、PC の強固な保護が確保されます。
インテル® ハードウェア・シールドに内蔵のセキュリティー機能により、PC コンピューティング・スタックのすべてのレイヤーにまたがる総合的なエンドポイント・セキュリティーが実現できます。