セキュリティやシステム管理関連の機能について

セキュリティやシステム管理を「支援する」とは？

インテル® vPro® プラットフォーム(以下vPro)にはセキュリティやシステム管理を「支援する」様々な機能が組み込まれています。この「支援する」とはどういう事でしょう？
vProに組み込まれた機能は「インテル○○テクノロジー」と言う名称が付いている事が多いのですが、多くは単体では機能せずにUEFI(BIOS)ファームウェア 、OS、アプリケーションなどとの連携によって効果を発揮します。
決して「これがあればセキュリティソフトはもう要らない」「これがあればシステム管理ソフトは導入しなくても良い」という訳ではありません。一緒に動作する事で従来のソフトウェアだけでは実現出来なかった「＋α」を提供します。当然ながらUEFIファームウェア 、OS、アプリケーション側でも使用する機能への対応が必要になります。これが「支援する」と書いた理由です。各ソフトウェアメーカーはインテル社から開示されたAPIなどのインターフェースを自社のソフトウェア製品から呼び出してそれらの機能を利用します。

セキュリティ関連の機能について

vProが登場した当初はまだまだセキュリティに関する機能は多くはなかったのですが、最近の情勢に伴ってvProでもセキュリティ関連の機能が特に増えてきています。
現在セキュリティ機能はインテル® ハードウェア・シールドと言う名称にまとめられています。

Intel® Hardware Shield - Intel vPro® Platform BIOS Security

では、先の「支援する」例を挙げてみましょう

• インテル® プラットフォーム・トラスト・テクノロジー(インテル® PTT)では従来は外付けだったTPMのチップをCSMEとファームウェアで実現した物です。もともとvProではTPMが必須要件だったのですが、TPMがWindows11で必須になった事もあってvPro以外のプラットフォームでも実装されています。コスト的なメリット以外にもTPMチップの信号を直接読み取って中の情報を暴いてやろうという物理的な攻撃への対策にもなっています。OSからはTPM2.0のデバイスとして認識されていますので、Bitlockerのようなドライブ暗号化などのセキュリティ製品と組み合わせて使う事ができます。

• インテル® Trusted Execution Technology (インテル® TXT)はシステム起動にあたり、そのコンポーネント(BIOSやVMMやOSのカーネルなど)に改ざんが無いかどうかチェックしながら起動を進めて、もし改ざんが見つかったら即座に起動を中止して被害を防ぎます。最近ではVMMに対するサイバー攻撃も多く、TXTは攻撃の被害を広げない対策の1つになります。以前は主にサーバープラットフォームで使用される事が多かったのですが、近年ではクライアントPCにおいてもWindows10や11自体がTXTに対応していて、セキュリティ機能のSystem Guard Secure Launchではインテル® TXTとTPM(もちろんインテル® PTTも可)が使用されます。

System Guard Secure Launch と SMM 保護 - Windows Security

• インテル® スレット・ディテクション・テクノロジー (インテル® TDT) はAIによるランサムウェアの振る舞い検知などからマルウェアの検出率を向上させたり、CPUに大きな負荷が掛かるメモリスキャン等の処理をGPUにオフロードさせたりする事ができます。これを利用するにはセキュリティソフトウェアの対応が必要です。Microsoft DefenderやESETなどTDTに対応したエンドポイントセキュリティソフトウェアも増えてきています。お使いのソフトウェアがTDTに対応しているかどうか確認してみて下さい。

インテルと Microsoft が共同設計した高度なエンドポイント・セキュリティー

ESET、Intelと提携。ハードウェアレベルのランサムウェア検出機能でエンドポイントセキュリティを強化

システム管理関連の機能について

システム管理ではインテル® アクティブ・マネジメント・テクノロジー (インテル® AMT)があります。前回お話ししたCSMEにはOSとは別のTCP/IPスタックが実装されていて、OSの状態に関わりなくネットワーク越しに電源操作やリモートコントロールなどを行う事ができます。
AMTの歴史は長く、vProの登場時から標準実装されていてプラットフォームの進化と共にAMTもバージョンアップを重ねています。
Webベースのユーザーインターフェース(WebUI)が用意されているので、単体であればシステム情報を確認したり電源操作程度は可能です。

WebUIにおけるシステム情報画面

WebUIにおける電源操作画面

ただし、複数のPCの操作やリモートコントロールを行うにはAMT対応のソフトウェアが必要です。
AMTのSDKが一般に公開されており、ソフトウェアメーカーはそれを利用して自社製品に機能追加を行う事ができますし、メーカーじゃ無くて個人レベルでもアプリケーションを自作したり、そこまで行かなくても簡単なスクリプトを作って運用の自動化や効率化に役立てる事もできます。

インテル® AMT SDK

また、AMTを活用できるアプリケーションの1つとしてインテル社からインテル® エンドポイント・マネジメント・アシスタント (Intel EMA)というサーバーソフトウェアが公開されています。このソフトウェアにvPro対応のPCを登録すると、電源をまとめて操作したり、リモートコントロールを行ったりする事ができます。IT資産管理ツールのようにソフトウェアの配布やログ管理などは行えませんが、ソフトウェアメーカーがEMAに用意されているWebAPIを利用してIT資産管理ツールと連携させるといった事もできます。

インテルエンドポイントマネジメントアシスタント(インテル® EMA)