Windows 10 デバイスのセキュリティ基準が引き上げられる

2017.11.20

Microsoft は今週、Windows コンピュータを「極めて安全」なものにするために PC メーカーが採用すべきハードウェア仕様(リンク先:英語)を発表しました。


最近のセキュリティ機能はオペレーティングシステムやアプリケーションに搭載されているだけでなく、安全なファームウェアと緊密に統合されたハードウェアと組み合わせるなど、下位レベルにも組み込まれるのが一般的です。


Microsoft によれば、安全な PC には第 7 世代の 64ビット Intel または AMD プロセッサ以降 (Skylake または A シリーズ/Athlon 以降) と、少なくとも 8GB の RAM が必要です。


この仕様は一見するとハードウェア仮想化と関係しているように思われますが、実際は Virtualisation Based Security (VBS)(リンク先:英語) の一環としてチップに組み込まれたコードとメモリを保護するメカニズムと強く結び付いています。


しかし、関係があるのはプロセッサだけではありません。なぜなら、システムの他のチップセットは、特定のタイプのメモリや仮想化管理もサポートする必要があるからです。

出荷されるシステムには TCG v2.0 TPM (Trusted Platform Module) が搭載されていること、および、Intel Boot Guard などを使用するブート検証を実装することが求められています。


また、以前 BIOS ファームウェアと呼ばれていたものは、UEFI 2.4 以降の最新基準を満たしていて、更新のサポート機能と改ざんを阻止する機能を備えていなければなりません。


仕様の詳細はこれぐらいにして、ここからはこの仕様が何を意味するのかをご説明します。

第 1 に、PC を保護する機能は、電源をオンにしてから数秒間の間に完了する (あるいは少なくとも開始される) 傾向が強まっています (システムは電源がオンになったタイミングで、重要なソフトウェアが改ざんされていないかどうかをチェックします)。


これは最新の手法というわけではありません。しかし、メインの UEFI レイヤーやそのさまざまな機能だけでなく、コンピュータにインストールされている可能性のあるアドオンファームウェアなど、PC を保護するうえでますます中心的な存在になりつつあります (Mac を標的にした 2015 年の Thunderstrike マルウェアを思い出してください)。脆弱性が公開された際には、ファームウェアも安全に管理する必要があります。


第 2 に、今後の方向性が見えてきました。たとえば、Mode Based Execution Control (MBEC) などの機能が近々 Windows Defender Application Guard (WDAG) を強化するために使用される可能性があります (WDAG は、Edge ブラウザなどによって使用される Hyper-V 仮想化分離レイヤーです)。


現在は法人顧客にのみ提供されているものですが、Microsoft の文書によると、将来的に全ユーザーに提供されるようです。


WDAG を完全に使用可能な Windows のバージョンは、10 月半ばにリリースされた Windows 10 Fall Creators Update (Windows 10 Version 1709) です。Microsoft が今回発表した仕様では、このバージョンの Windows が基準となっています。


この仕様は要求が厳しすぎるでしょうか?

これらの要件を満たす PC を持っていないユーザーには、厳しすぎるかもしれません (昨年より前に購入した PC のほとんどは、これらの要件を満たしていません)。


また、PC メーカーはこの仕様を理由に PC のアップグレードをユーザーに迫るのではないか、と疑う人も出てくるでしょう。


さらには、Windows 10 S のような例外も存在します。「Chromebook に似てはいるが Chromebook ではない」このコンピュータは、前述の仕様を満たす必要はありません。と言うより、実際は満たすことができません。


とは言え、企業のバイヤーはこの新しい仕様書に十分に配慮するでしょうし、コンプライアンス計画に組み込まれる可能性さえあります。


もしそうなったら、たった 2 分間で読み終えてしまうような Microsoft の仕様書が、今後 20 年間影響を及ぼし続けることになります。

引用元

おすすめの記事はこちら