vProの機能、どうすれば使えるの?
前回、vProには色々な機能が実装されていると紹介しましたが、せっかくあっても使わなければ無いのと一緒でその恩恵に与る事ができません。
特にセキュリティ関連の機能はその多くが常に有効になっていますが、ユーザーにより使用・不使用を選択できるものもあります。いくつか例を挙げてみます。
常に有効になっている例
インテル® Boot Guard Technology
アプリケーションやOSと連携しないので前回は紹介しませんでしたが、ブートブロックに対する保護機能です。ブートブロックとはPC起動時に一番最初に読まれるフラッシュメモリーの一部分で、ファームウェア本体を読み込むためのプログラムが入っています。Boot Guardはこの部分の整合性をチェックして不正に改ざんされたブートブロックの読み込みを防止します。
インテル® TDT
機能は常に有効になっていますが、前回述べたようにTDTに対応するセキュリティアプリケーションが必要になります。
ユーザーが有効/無効を選択出来る例
UEFI(BIOS) Setup画面で有効/無効等を選択します。なお、UEFI Setup画面の構造や文言などはPCメーカーやファームウェアベンダーによって内容が異なるため、この通りではない場合もあります。
インテル® Total Memory Encryption(インテル® TME)
こちらもアプリケーションやOSと連携しないので前回は省略しましたが、この機能を有効にする事でCPUとメモリーの間のバスを暗号化して物理攻撃(パスワードやストレージの暗号化キーのような重要なデータをメモリーバスから直接読み出すなど)からの防御を行います。暗号化はOSより低いレベル、つまりハードウェア側で行われているため、OSやVMMはメモリーの暗号化が行われている事を意識せずに動作します。
インテル® PTT
有効/無効の他にPTTとDiscrete TPM(TPMチップ)のどちらを使うか選択出来る物もあります。Windows11がリリースされてからはOSで必須になっているせいか、常に有効になっている場合もあります。
インテル® TXT
こちらは有効にするにあたって仮想化機能(VT-x, VT-d)を有効にしておく必要があります。手持ちのPCの場合は仮想化機能を有効にしておかないとTXTの有効化ができなくなっていました。
TXTを有効にしてOSを起動した後にOS側の設定を行います。WindowsのSystem Guard Secure Launchを使用する場合はこちらの手順に従って設定を行って下さい。
インテル® AMT
AMTに関してもUEFI Setupで有効/無効や初期化等を行えます。
ただし、AMTの場合は単純に有効にするだけでは不十分で、ネットワーク関連の設定などを行う「プロビジョニング」という作業が必要になります。OSが動作していない場合でも通信を行えるようにするための作業ですが方法等色々有るので別途次回説明します。