レノボ・ジャパンの「ThinkPad」シリーズといえば、打ち心地のいいキーボードや、キーボードの中心に据えられた独自の「トラックポイント」が特長で、筐体の堅牢性などで人気を集めているノートPCだ。
しかし、今や性能や使い心地だけでノートPCを選ぶことはできない。さまざまな情報がPCの中で扱われる現代では、セキュリティについても気に掛けなければいけないからだ。
実は、レノボは「セキュリティこそ最優先事項」という考えの下、2018年から「ThinkShield」というセキュリティ・ソリューションブランドを掲げ、同社全製品のセキュリティに力を入れている。
ThinkPadはいち早く指紋センサーをノートPCに搭載したブランドであり、最近ではフロントカメラを物理的に覆える「ThinkShutter」を搭載したことも話題になった。
このような一目で分かるセキュリティ対策もThinkShieldの一部だが、ソフトウェアからハードウェアまでの製品を構成する全レイヤーに加え、開発・製造過程や盗難・紛失時の対応など、製品に関わる全ての工程もカバーしている。
では具体的に、ThinkShieldでレノボはどんなセキュリティ対策を提供するのか。同社の元嶋亮太さん(製品企画部プロダクトマネージャー)に聞いた。
PCのセキュリティ対策といえば、普通想像するのはセキュリティ対策ソフトの導入だろう。しかしそれだけでは防ぎきれないリスクがあることは意外と認識されていない。
「ハードウェアの工夫。さらにソフトとハードの合わせ技が行えるのは、ハードウェアを作っている我々だからできることです」(元嶋さん)
PC画面の“のぞき見”や、キー入力を見られて情報が漏えいしてしまうソーシャルハック。これに対しレノボでは「PrivacyGuard」「Match-on-Chip指紋認証」「タンパーディテクション」などの対策を提供している。
PrivacyGuardは、内蔵されたプライバシーフィルターで横からの“のぞき見”を防止する機能だ。手動でのオンオフもできるが、ユーザーの後ろからの「視線」を検知して自動でオンにすることもできる。
「外付けのプライバシーフィルターの付け忘れを防止したいというお客様の声に応え、ハードウェアに内蔵しました。さらにパスワード入力を求められるアプリを使う時や、のぞき見を検知した時点で自動的にオンになるような工夫も加えています」(元嶋さん)
のぞき見検知はフロントカメラを活用しているが、フロントカメラ自身にも「のぞき見」される攻撃がある。つまり、対象のノートPCのぜい弱性を突いてフロントカメラにアクセスし、ユーザーの顔やキー入力、プライバシー情報などを盗み出す手法だ。
こうした攻撃に対する不安感から、「カメラで見られていないだろうか」と心配する声もある。
そこでレノボは、フロントカメラの動作中はあえて顔認証用のIRランプを常時点灯させる仕様にしている。視覚的にカメラの動作を分かりやすくすることでユーザーの不安感を拭い、それでも気になるユーザーのために、カメラのレンズを物理的に覆うThinkShutterも搭載している。
画面ののぞき見の次にリスクとなるのはキー入力だ。ThinkPadには指紋認証が搭載されているため、ログインにはパスワードよりも指紋認証を活用したいところ。
しかしPCでの指紋認証の利用率は、「搭載モデルでも残念ながら高いとはいえない」と元嶋さん。使われない理由として「認識率の低さ」以上に「信用できない」といった声もある。
こうした声に応えるため、レノボは「Match-on-Chip指紋認証」という認証方式を採用している。
「Match-on-Chip指紋認証では、OSとは独立した専用チップで指紋情報をマッチングしています。OSには正しい指紋かどうかの情報しか渡していません。OS上には指紋のデータが置かれないので、外部からOSに侵入できたとしても、指紋情報を盗み出すのは不可能です」(元嶋さん)
これらの他に、ノートPCから離れている間に本体内に不正なモジュールを組み込まれてしまうリスクもある。
これに対しては「タンパーディテクション」という、裏ぶたの開閉検知機能で対応する。裏ぶたの開閉を検知すると、電源投入時に検知し、スーパーバイザーパスワードを要求する。パスワードを入力しないとOSを起動できないようにすることで、誰かが物理的にPC内部に触ろうとしたことに気付ける仕組みになっている。
レノボは、OSやBIOSにも気を配っている。「ThinkPadのプリインストールアプリは極限まで減らしています」と元嶋さんは話す。
使わないソフトウェアはストレージを圧迫する。中には起動時に自動的に立ち上がることで、PCのリソースを無駄に消費してしまうものもある。
こうしたリソースの圧迫以外にも、プリインストールアプリの放置がセキュリティリスクにもつながるというのは意外と知られていない。
「OSやよく使うアプリは、アップデートがきちんと行われることが多いです。しかし、使わないプリインストールアプリはアップデートが行われず、それがセキュリティホールになる可能性があります。ソフトウェアのぜい弱性はつきものですが、最低限のソフトウェアだけで構成することで、なるべくリスクを下げています」(元嶋さん)
さらに、機能設定用アプリなども除き、OSとドライバのみをパッケージにしたカスタムイメージも用意している。OSレベルで、企業の要望に合わせて用意できる体制だ。
また、OSよりも下位レイヤーであるBIOSは、ハードウェアベンダーでなければ手を入れられない部分だ。
BIOSは「改ざん検知」と「ロールバック修復」機能を備え、ファームウェアレベルの攻撃があったとしても自動で攻撃前の状態にロールバックできる。
裏ぶた検知のタンパーディテクションと共にBIOSの改ざんを防ぐ仕組みによって、ThinkPadは物理的な意味にとどまらず、セキュリティ的にも堅牢なノートPCとなっている。
ハード・ソフト共にセキュリティが強固であるとしても、開発や製造の段階で不正が紛れ込むことはないのか。レノボの取り組みを聞く限り、その心配はなさそうだ。
というのも、レノボは社内の組織ではあるものの、開発・製造とは独立した検査機関として「プロダクトセキュリティオフィス」を設置しており、発売する製品は全てこのプロダクトセキュリティオフィスを通過しなければならないからだ。
「セキュリティこそ最重要課題です。開発の時点で、お客さまの情報をいかにして守るかの観点であらゆる機能の実装を進めています。セキュリティリスクの高い製品が世に出ないようにするというのが、ThinkShieldの一貫したセキュリティポリシーです」(元嶋さん)
近年、製造ラインを狙った「サプライチェーン攻撃」など、製造段階で不正なソフトウェアを組み込むといったサイバー攻撃も注目を浴びている。このため、プロダクトセキュリティオフィスには、ハードウェアやソフトウェアのセキュリティ専門家だけではなく、サプライチェーンの専門家なども所属しているという。
ThinkShieldを構成する機能は他にも、公衆Wi-Fiの安全性をチェックするユーティリティや、UEFIからのディスク完全消去など多岐にわたる。
これらに一貫しているのは、「この製品をいかに安心して使えるか」を、徹底して突き詰めていることだ。
「お客さまに安心して使ってもらいたい。ソフトウェアでの対策は当たり前になっているからこそ、そのベースにあるBIOSやハードウェアなど、ハードウェアベンダーにしかできない対策を包括的に提供することで、ユーザー一人一人がセキュリティを意識しなくても安心できる製品を届けたいと考えています」(元嶋さん)
ただ、「ThinkShieldに対応するThinkPadを導入すればそれだけで安心」というわけではない。各企業の担当者がセキュリティを真剣に考えて導入することで、その真価が初めて発揮される。
企業担当者のセキュリティ意識に応え、各従業員が特別にセキュリティを意識しなくても安全にPCを使えるようになる仕組みを提供するのがThinkShieldというソリューションだといえる。
また、ThinkShieldはハイエンドモデルからローエンドまで全てのレンジのレノボ製品に適用されていることも覚えておいてほしい。
企業や個人の情報を狙った情報漏えい事件は昨今増加傾向にある。間近に控えたWindows 7のサポート終了を前に、PCの更改を検討している企業も多いだろう。
今一度、このタイミングでPCのセキュリティについて考えてみてはどうだろうか。
Copyright © ITmedia, Inc. All Rights Reserved.
提供:レノボ・ジャパン株式会社
アイティメディア営業企画/制作:ITmedia ビジネスオンライン編集部/掲載内容有効期限:2020年6月30日