特集
» 2008年02月29日 18時50分 UPDATE

ホワイトリストとハードウェアでPCを守る、インテルがセキュリティ技術を披露 (1/2)

インテルは、セキュリティ技術「TXT」に関する説明会を開催。ホワイトリストを利用してPC起動時に実行環境の信頼性を確認する手法を紹介した。

[國谷武史,ITmedia]

 インテルは2月29日、同社のセキュリティ技術に関する記者説明会を開催。ハードウェアによってPC実行環境の安全性を管理する技術「トラステッドエグゼキューションテクノロジー(TXT)」を中核とした同社の取り組みを紹介した。

inteltxt01.jpg 吉田氏

 冒頭で吉田和正代表取締役共同社長は、現在のセキュリティ環境について「2007年初頭に注目されたWinnyやPCの紛失を原因とする情報漏えい事件が最近でも多発し、2008年も状況は大きく変わっていない」と述べた。また、「セキュリティ技術は着実な進歩を続けているがソフトウェアベースでは脆弱性が発見された場合に信頼性に不安が生じる。セキュリティ技術をハードウェアに組み込み、情報を効率的に保護していく仕組みが重要だ」と語った。

 米Intelは、「信頼された」コンピューティング環境の確立を目指する標準化団体「トラステッド・コンピューティング・グループ(TCG)」に加盟し、ハードウェアベースの各種セキュリティ技術の標準化に取り組んでいる。「研究所で開発した技術をまず標準化し、水平分業体制の中で製品やサービスとして形にしてユーザーが選択できるようするのが、インテルのアプローチだ」と吉田氏は説明した。

 TCGは、年3回のメンバーミーティングを世界で開催している。2月26日から都内で開かれた今年1回目の会合は、アジア地域として初めて開催された。TCGで標準化を進めている技術やアーキテクチャ、また、これらによって実現するサービスなどの具体例が紹介された。

セキュリティの「玄関」となるTXT

 TXTは、PCの実行環境について改ざんや不正な状態に置かれていないかどうかをハードウェアが検証・管理する技術。TXTでは、個々の実行環境を隔離し、「MLE(Measured Launched Environment)」と呼ばれるハードウェアやソフトウェアの信頼性について測定(同社では「メジャーメント」と呼ぶ)や検証、管理するための環境を構築する。MLEを中核にして、PCの信頼性を監視・維持していくというアプローチである。

inteltxt02.jpg グロウロック氏

 TCGのTPM(Trusted Platform Module)ワーキンググループ議長を務めるIntelのデイヴィッド・グロウロック氏(セキュリティー・アーキテクト主管エンジニア)は、「TXTはセキュリティの玄関であり、TPMはその玄関の鍵に当たる」と紹介した。

 TXTでは、MLEを「ACEA(Authenticated Code Execution Area)」という機能としてCPU内部に実装する。ACEAは最大32キロバイトの小規模なエリアで動作し、デジタル証明書などを用いてプラットフォームやソフトウェアの検証など行う。外部からの割り込みを一切受け付けず、自己完結型で機能する。

inteltxt03.jpg TXTの実行フロー

 プラットフォームやソフトウェアの信頼性をハードウェアで管理する必要性について、グロウロック氏は企業が定めるポリシーを厳格に実現させるために、PC起動後にポリシーを適用させるのではなく、起動中に適用させる仕組みに変えることで、マルウェアなどの不正プログラムの実行を防止することができると説明した。

 さらに、「起動時に適用するポリシーはブラックリスト式よりもホワイトリスト式が望ましい」(グロウロック氏)と述べた。

 ポリシーを許可されたコードに限定するホワイトリストベースに移行することで、常に最新の脅威に追従していかなければならないブラックリストベースよりも、効率的にセキュリティを実現できるという。

 「良いと分かっているものだけ実行する仕組みにすれば制御は容易になる。プロアクティブな仕組みへ転換していくべきだ」(グロウロック氏)。TXTでは、ホワイトリストベースのポリシーを「LCP(Launch Control Policy)」と呼称しており、企業の管理者が自らの環境に応じて制御できる仕組みを提供するという。

 こうしたホワイトリストベースによるプラットフォームやソフトウェアの測定などをMLE上で実行することによって、PCの信頼性が向上すると同社では説明する。そして、MLEの情報を保存・管理するTPMがPCセキュリティの「ドア」を開くための「鍵」になるということだ。

 「実行環境の厳格な制御を実現するTXTは、“vPro”という形で提供しており、すでに利用できるものになっている」とグロウロック氏。また、グロウロック氏は独立モジュールとなっているTPMを、将来は1つのチップセットに統合していく考えを明らかにした。

       1|2 次のページへ

Copyright© 2016 ITmedia, Inc. All Rights Reserved.

Loading

ピックアップコンテンツ

- PR -

注目のテーマ