SHOEISHA iD

※旧SEメンバーシップ会員の方は、同じ登録情報(メールアドレス&パスワード)でログインいただけます

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

最新イベントはこちら!

EnterpriseZine Day Special

2024年10月16日(火)オンライン開催

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けの講座「EnterpriseZine Academy」や、すべてのITパーソンに向けた「新エバンジェリスト養成講座」などの講座を企画しています。EnterpriseZine編集部ならではの切り口・企画・講師セレクトで、明日を担うIT人材の育成をミッションに展開しております。

お申し込み受付中!

社員が使うPCのセキュリティのあり方

セキュアなPC実装のための機能と事例

 前回は、プラットフォームレジリエンスを構成する次の3つの原則と、ルート・オブ・トラストやデジタル署名を用いたアップデートメカニズムなどの要素技術の説明をしました。今回は、それぞれの原則の必要とする機能、実装にあたってのトレードオフ、具体的な実装例をNIST SP800-193の考え方に沿って説明します。

予防

 プラットフォームレジリエンスを実現するために“予防”が持つべき具体的な機能は、PCのBIOS保護のガイドラインであるNIST SP800-147が求める機能をプラットフォームのセキュリティ上重要な要素に拡張したものです。具体的には、BIOSに加えて、ベースボード管理コントローラー/管理エンジン、ネットワーク・インターフェース・コントローラー、GPUなどのデバイスが、次に説明するような機能を持つことにより実現されます。

真正性の検証機能

 デバイスファームウェアのイメージは、デバイスやプラットフォームの製造者によりデジタル署名され、アップデートの際にはアップデートのためのルート・オブ・トラスト(RTU)により署名を検証する。

完全性の保護機能

 ファームウェアに対する意図しない、あるいは悪意のある修正を防ぐため、デバイスファームウェアは認証アップデートメカニズムを通してのみ修正されるようにする。

非バイパス性

 非バイパス性とは、攻撃者が認証メカニズムの外側からデバイスファームウェアを修正できないということです。そのためには、認証アップデートメカニズム自体が保護機能を持ち、脆弱性を持つバージョンへのアップデートを防ぐ機能を持つ必要があります。

 これら基本となる3つのファームウェアの保護機能はNIST SP800-147がBIOSの保護に対して求める機能と同じものです。NIST SP800-193では以下の要素も保護の対象にしています。

プラットフォーム・ランタイム・ファームウェアのランタイム保護機能

 プラットフォーム・ランタイム・ファームウェアとはプラットフォームがブートした後も実行されるコードです。x86アーキテクチャの場合は、システム管理モード(SMM)と呼ばれ、OSが動作している間PCの高度な電源管理機能や他のOSに依存しない機能に利用されます。クリティカルなファームウェアの場合には、非バイパス性の原則を満たすため、プラットフォーム・ランタイム・ファームウェアの実行環境をソフトウェアから隔離する必要があります。

重要データの保護機能

 デバイスで保持・利用される重要データの認可されていない変更は、デバイスのセキュリティの状態に重大な影響を与えます。このような変更はプラットフォームが提供するセキュリティ関連の機能を変更あるいは無効にし、デバイスが正常に機能しないようにしてしまう可能性があります。デバイスを不正な状態にする変更から保護するためには、重要データの変更は独自あるいは公開されたAPIなどのインターフェイスからのみ変更できるようにする必要があります。

次のページ
 検知

この記事は参考になりましたか?

  • Facebook
  • X
  • Pocket
  • note
社員が使うPCのセキュリティのあり方連載記事一覧

もっと読む

この記事の著者

大津山 隆(オオツヤマ タカシ)

株式会社 日本HP パーソナルシステムズ事業本部  クライアントソリューション本部 ソリューションビジネス部 プログラムマネージャー  

※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です

この記事は参考になりましたか?

この記事をシェア

EnterpriseZine(エンタープライズジン)
https://enterprisezine.jp/article/detail/11314 2018/11/01 06:00

Job Board

AD

おすすめ

アクセスランキング

アクセスランキング

イベント

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

新規会員登録無料のご案内

  • ・全ての過去記事が閲覧できます
  • ・会員限定メルマガを受信できます

メールバックナンバー

アクセスランキング

アクセスランキング