システムの堅牢化とは何か

PC の堅牢化は、セキュリティーの脆弱性を削減する戦略の重要な要素です。

システム堅牢化の基本:

  • システムの堅牢化には、ソフトウェアとハードウェア両面におけるセキュリティー脆弱性への対応が含まれます。

  • PC の堅牢化には、悪意のあるコードベースの攻撃、物理的アクセス攻撃、サイドチャネルによる攻撃に対する保護用に設計された機能が含まれます。

  • インテル® vPro™ のプラットフォームには、オペレーティング・システム (OS) 下ですぐ利用できる保護技術、アプリケーションおよびデータ保護機能、高度な脅威検出機能のためのインテル® ハードウェア・シールドが含まれます。インテル® vPro™ プラットフォームは、ほぼセットアップ不要でフルスタックな PC の保護が有効になるように設計されています。

BUILT IN - ARTICLE INTRO SECOND COMPONENT

システムの堅牢化により、IT 管理者は IT 環境全体のセキュリティーの脆弱性を特定し対処することができます。潜在的攻撃面を削減すれば、ハッカーにシステムを悪用される可能性が減ります。この戦略の重要な要素に PC の堅牢化があります。

ハッキングしようとする者は IT インフラストラクチャーにさまざまな攻撃を仕掛けて侵入方法を見つける必要があります。ユーザーを騙しアクセス権を得ることで、悪意のあるコードを OS に注入しようとするかもしれません。あるいはハードウェア、ファームウェア、ソフトウェアを標的にするかもしれません。成功した攻撃者は、悪意のある要素を注入してシステムを乗っ取ることができます。悪意のあるコードのインジェクションが困難な場合、熟練の攻撃者であれば信頼されたアプリケーションの残存データを使用して最新のセキュリティー・テクノロジーをも破壊する装置を作ることができます。これらすべての試みがうまくいかなくても、ノートブック PC またはその他デバイスが攻撃者に盗まれてしまえば簡単にアクセスを許してしまいます。カーネル DMA 攻撃などのように、デバイスドライバーの脆弱性を物理的に悪用することで、従来の OS のセキュリティーをすり抜けようとするかもしれません。しかし、ハッカーがシステムを侵害し、一度突破してしまえば、ユーザーをスパイしたり、データを盗んだりするだけでなく、アクセス認証の阻止や、マシンを使えなくすることもできます。

システムの堅牢化とはつまり、ハードウェア、ファームウェア、ソフトウェア、アプリケーション、パスワード、プロセスなどのセキュリティーの脆弱性を探して修正するためにあらゆる策を講じることです。

システム堅牢化の利点

システム堅牢化の主な目標は、IT セキュリティー全体を改善することです。これにより、データ侵害、不正アクセス、マルウェア侵入のリスクが低下します。攻撃を回避することで、復旧に伴う計画外のダウンタイムも回避できます。システム堅牢化は、内外規則遵守の簡素化にも役立ちます。

システム堅牢化の種類

システムの堅牢化は IT インフラストラクチャーの各層で実施すべきものです。範囲はサーバーからネットワーク、エンドポイントまでとなります。IT システム管理者は通常、データセンターのサーバーの堅牢化に重点を置きますが、これはクライアントを守る支援をするのと同様に重要なことです。エンドポイント・セキュリティーで潜在的な脆弱性を削減し、ゼロトラストのエンタープライズ・セキュリティー戦略を強化します。

ご存じのように、PC が主要な攻撃面となります。しかし、IT 管理者の多くはマルウェア対策が PC を保護するにはもはや不十分であるということに気づいていません。ハードウェアとファームウェアへの攻撃はいつでも可能でしたが、実際に攻撃をするのは困難です。オンラインでキットやツールが入手可能な昨今、ハッカーたちは以前よりはるかに洗練されてきており、OS より下位のスタックにある PC を攻撃するようになっています。

PC の堅牢化では、潜在的な攻撃ベクトルを閉鎖し、システムを定期更新して悪用されるのを防ぐことに重点を置きます。攻撃には次のものがあります。

  • サプライ・ネットワークの隙をエクスプロイトする悪意のあるハードウェア・インジェクション攻撃 (サプライチェーン攻撃)。
  • ユーザーを操り機密情報を漏洩させるソーシャル・エンジニアリング攻撃。
  • ソフトウェアとファームウェアの脆弱性をエクスプロイトする悪意のあるコードベースの攻撃。
  • メモリーの残存データを使用してシステムを侵害する正当なコードベースの攻撃。
  • ハードウェアの脆弱性をエクスプロイトする物理アクセス攻撃。
  • サイドチャネル攻撃。

セキュリティー・ファースト

インテルのセキュリティーは、製品セキュリティーだけを指しているのではありません。ユーザーが最高の仕事をし、インテル® 搭載のプラットフォーム上で最高の安全を約束するための継続的な取り組みです。

インテル のセキュリティー・ファーストの誓いは、製品セキュリティーの設計に対する義務です。何よりもカスタマーファーストから始まります。私たちはセキュリティーに深く根付いた有益なソリューションの構築と提供をすべく、商業セグメント、当社のエコシステム、研究者、学界のリーダーたちと継続的に連携し、彼らの問題点のより深い理解に努めています。

透明性の高い迅速なコミュニケーションと継続的なセキュリティーに対する当社の実績が、製品に搭載されている機能を超えて、セキュリティーの限界を押し上げる私たちの取り組みを表しています。バグ報奨金プログラム、セキュリティー・レッド・チーム、そして共通脆弱性識別子 (CVE) への関与により、インテル® プラットフォームに対する脅威を予防的に特定、軽減し、顧客に対する迅速な助言を可能としています。

インテル® のセキュリティー技術はシリコンに組み込まれており、最も基礎的なレベルでデバイスを保護します。しかし、システムの堅牢化はエコシステムの協力なしでは完全に実現できません。そのため、インテル® の技術は外部のエンドユーザー・ソリューションと統合し、リーディング・ベンダーによるソフトウェアベースのセキュリティー機能を強化するように設計されています。

さらに、インテルは PC の堅牢化をシンプルにするために設計されたビジネスクラスの PC プラットフォームを提供しています。インテル® vPro™ プラットフォームは、セキュリティーの脅威に関連するリスクを最小限に抑えるハードウェア・ベースのセキュリティー機能を搭載しています。設定不要で OS 下での攻撃から保護できるインテル® ハードウェア・シールドが付随します。第 10 世代インテル® Core™ vPro® プロセッサー・ファミリーではこれらの機能が拡張され、アプリケーション保護機能、データ保護機能、および高度な脅威対策機能を実装し、ハードウェア、ファームウェア、ソフトウェアにまたがる総合的なエンドポイント・セキュリティー機能を提供しています。また、プロセッサーは仮想ワークロードに必要なハードウェア・リソースを提供し、実行中およびデータ保存中に PC を保護する機能を備えた仮想化ベースのセキュリティー (VBS) を強化することができます。

PC の堅牢化に関する注意点

IT セキュリティーの堅牢化戦略を計画するにあたり、PC の堅牢化に関する重要な目標がいくつかあります。

  • 組み立てから IT プロビジョニングまでのサプライチェーンの可視性を確保します。インテル® ハードウェア・シールドは、プラットフォームのプロビジョニングに先立ってハードウェアの不正な変更を特定するのに役立ちます。
  • 実行中の PC が保護されていることを確認します。インテル® ハードウェア・シールドに組み込まれた OS 下での機能により起動を保護できるので、システムを信頼できる状態で起動します。
  • BIOS を保護します。インテル® ハードウェア・シールドは、ソフトウェア実行中に BIOS のメモリーをロックダウンします。これにより、埋め込まれたマルウェアによる OS への侵入を防ぐことができます。
  • ハードウェアからソフトウェアへのセキュリティーの可視性を確保します。インテル® ハードウェア・シールドに搭載された Dynamic Root of Trust for Measurement (DRTM) により、インテルにより保護されたコード実行環境で OS と仮想化環境を再開することで、ファームウェアから OS の機密事項を保護することができます。これにより、ファームウェア・セキュリティの OS の可視化が確保され、OS のセキュリティー機能が補強されます。
  • 物理的メモリーへのアクセス攻撃から保護します。インテル® ハードウェア・シールドは、追加設定不要でデバイスが保持するデータへの不正アクセスを防ぐことができます。
  • 業界をリードするハードウェア仮想化と高度な脅威検出機能により、OS へのマルウェア侵入を防ぐことができます。インテル® ハードウェア・シールドは、最新のサイバー脅威から OS を保護する最新型の仮想クライアント・セキュリティーのワークロードに不可欠なハードウェア・リソースを提供します。
  • PC をリモート管理できます。これにより、必要に応じたセキュリティー・パッチのインストールや、構成管理が実行できます。インテル® アクティブ・マネジメント・テクノロジーは インテル® vPro™ プラットフォームの一部であり、すぐに利用できるリモート PC 管理のための接続を提供します。トラブルシューティングと修復のために安全な環境でデバイスを起動するためにも使用可能です。さらに、インテル® エンドポイント・マネジメント・アシスタント (インテル® EMA) ツールにより IT はファイアウォールの内側でも外側でも、クラウド経由で、リモートで安全にデバイスを管理できるようになりました。

はじめに: システム堅牢化チェックリスト

以下は、システムの堅牢化を開始するにあたって進める基本手順の簡単なリストです。より包括的なチェックリストについては、国家標準規格技術研究所 (NIST) などの信頼できる機関によるシステムのハードニング基準を検討してください。

  • PC、サーバー、ネットワークなど、全 IT システムのインベントリーを調べます。OS やデータベース・バージョンともに、使用しているハードウェアおよびソフトウェア製品をドキュメント化します。
  • ユーザーに対する監査、およびすべてのシステムとアプリケーションへのユーザーによるアクセスに対する監査を実施します。不要なアカウントと権限を削除します。
  • オペレーティング・システムの堅牢化を進める方法を検討します。PC では、OS を Windows* 10 にアップグレードし、最新のセキュリティー・アップデートが適用されるように設定します。
  • ユーザーと IT 管理者がアップデートについて考える手間を省くために、ソフトウェアの更新を自動化します。
  • 強力なパスワードの使用とフィッシング詐欺の仕組みを見破れるよう、ユーザーを教育します。多くの攻撃が認証情報の盗難やソーシャル・エンジニアリングに起因します。ユーザー教育はシステム堅牢化戦略の基本です。

システムの堅牢化は 1 回限りの業務ではなく、進化していくものであることを忘れないでください。攻撃が高度になれば、ハードウェア・セキュリティー戦略もまた高度化する必要があります。インテル® vPro® プラットフォーム上でビジネスノートブック PC ビジネス PC を選択することで、デバイスに内蔵された最新のハードウェア・ベースのセキュリティー・テクノロジーにより、PC のハードニングを簡素化できます。これにより、PC の強固な保護が確保されます。

インテル® ハードウェア・シールドに内蔵のセキュリティー機能により、PC コンピューティング・スタックのすべてのレイヤーにまたがる総合的なエンドポイント・セキュリティーが実現できます。

インテル® vPro® プラットフォームのセキュリティー面のメリット

ビジネス向けに構築されたインテル® vPro® プラットフォームでは、すべてのコンピューティング・スタック・レイヤーの保護に役立つようにハードウェア・セキュリティー機能を強化しています。企業では、PC コンポーネントのサプライチェーンの透明性とトレーサビリティー、高度なメモリースキャン、Windows* 10 のセキュリティー・サービスによるハードウェア・ベースのサポートなどのメリットを得られます。さらに、IT 管理者は、重大な脆弱性に関するソフトウェア・アップデートを管理対象の PC に迅速に展開することができます。

エンドポイント・セキュリティー

エンドポイントは、重要なデータにアクセスしたり、システム内に悪意のあるコードを埋め込むための入り口としてハッカーに狙われています。現在のビジネス環境では、セキュリティー上の問題が発生する可能性のある多種多様なデバイスがエンドポイントとして存在しています。インテル® vPro® プラットフォームに組み込まれているインテル® ハードウェア・シールドにより、IT チームはハードウェア・レイヤーに悪意のあるコードが挿入されたときはポリシーを適用し、データへのアクセスを阻止できます。

システムの堅牢化

インテル® vPro® プラットフォームの開発は、最適化されたハードウェア・ベースのセキュリティー機能が搭載されたシステム強化のプロセスを通じて進化してきました。企業は、構成可能なファームウェア保護、攻撃対象を低減する BIOS セキュリティー、高度な脅威の検出などのメリットを得られます。

セキュリティー・パッチおよび脅威からの修復

インテル® vPro® プラットフォーム内のインテル® アクティブ・マネジメント・テクノロジー (インテル® AMT) では、組織全体のリモートアクセスおよび管理が可能になります。IT 管理者はこれらのテクノロジーを使用し、セキュリティー・パッチおよび脅威からの修復をタイムリーに実行できます。セキュリティー・パッチでは、デバイスのある場所を問わず、多数のデバイスを一度に更新することができます。脅威からの修復は、特定の攻撃に対するエンドポイントの脆弱性を低減するための対策を講じることで対応できます。