第3回 企業システムにもたらすメリット――使い勝手と信頼性は両立するか?:インテルTXTによるトラステッド・コンピューティング(1/2 ページ)
コンピュータをトラステッドな(信頼できる)状態にするための「インテル トラステッド・エグゼキューション・テクノロジー(インテルTXT)」は、企業システムにどのようなメリットをもたらすのだろうか。今回は、インテルTXT、およびトラストチェーンの利用シーンを考えてみよう。
このコンテンツは、オンラインムック「トラステッド・コンピューティングの世界」のコンテンツです。関連する記事はこちらで一覧できます。
管理性が向上するホワイトリスト
インテルTXT対応のプロセッサによって動的に確立されたRTM(Root of Trust for Measurement)から始まるトラストチェーンは、最終的にユーザーが実際に利用するアプリケーションが信頼できるものであることを担保する(参照記事)。このトラストチェーンの手法は、安全性が認定されたものだけが実行を許可されるという「ホワイトリスト」型のセキュリティ・ソリューションの基礎になる。
現在のソフトウェアベースのセキュリティ・ソリューションでは、脅威を検知して攻撃に備える「ブラックリスト」型が主流である。例えば、「パターンファイル」を利用してマルウェアをフィルタリングするウイルス対策ソフトウェアは、ブラックリスト型セキュリティ・ソリューションの最も身近な例だろう。こうしたブラックリスト型は、脅威に対して受動的な対策であるため、脅威の種類や数が増えるたびにリストはどんどん大きくなるという欠点がある。もちろん、常に最新の脅威に備えるために、リストのアップデートは欠かせず、管理者への負担も常に発生している状態になる。
一方、ホワイトリスト型セキュリティ・ソリューションは、基本的に安全だと確認されたものの実行を許可するという能動的な対策である。「信頼できる」と断言できるほど厳格な対策が必要であるならば、ホワイトリスト型セキュリティ・ソリューションを採用すべきだ。ホワイトリスト型セキュリティ・ソリューションでは、最新の脅威に備えてリストを更新する必要もなく、安全性を維持したまま管理性は大きく向上する。
ただし、課題もある。ホワイトリストは、企業がポリシーに従って独自に作成、運用することができるが、実際には企業システムで稼働する安全なアプリケーションは非常に数が多い。それをホワイトリスト化することも、まったく手間がかからないわけではない。セキュリティを高めて厳格に運用することは可能だが、実際には手間やコストとのバランスを考えることになる。
インテルTXTでは、ホワイトリストベースのポリシーを「LCP(Launch Control Policy)」と呼び、企業の管理者が自社の環境やポリシーに即した方法で制御できる仕組みが提供される。これにより、企業がそれぞれ適切だと考えるポイントでセキュアなシステムを構築することができる。これは、インテルTXTを導入する企業にもたらされるメリットの1つだろう。
PCの利便性と信頼性を両立
現在、多くの企業システムでは、クライアントコンピュータのセキュリティ対策を実践するために、クライアントの機能をサーバコンピュータに集約した「シンクライアント」の導入をソリューションの1つとして考えている。
情報漏えいや外部からの脅威に対する安全性を考えた場合、確かにシンクライアントは優れている点が多い。しかし、シンクライアントは、企業の内部ネットワークに接続された状態で利用することが大前提だ。インターネットVPNを利用した接続が可能だとしても、LANがなく、携帯電話の電波も届かないような場所では、何の役にも立たなくなる。また、企業がアプリケーションを開発する場合も、シンクライアント向けに組み込む作業は手間がかかる。
そうした点を考えると、シンクライアントよりも汎用性が極めて高いPCをクライアントとして採用するほうが利便性が高く、従業員の生産性を向上させるのは間違いない。
ただし、従来のPCには課題もある。その課題の1つが、ハードウェアとOSが一体化しているために、OSにセキュリティ上の脆弱性があっても単独で動作するという点だ。脆弱性を修正せずに利用できるのであれば、それはPCの信頼性が低いということに直結する。
そうしたPCの課題を解決するために、インテルが推奨するトラステッドなコンピューティング環境では、仮想化技術を利用してハードウェアとOSを分離することを前提としている。仮想化技術では、PC上に仮想化によっていくつかの独立したドメイン空間(仮想マシン)を構築し、それぞれの仮想マシン上で必要なOS、アプリケーションを実行する仕組みになっている。また、仮想化技術には、1台のPC上で複数の仮想マシンを稼働させることが可能であり、それぞれの仮想マシンは完全に独立して「隔離」されているという特長がある。
Copyright © ITmedia, Inc. All Rights Reserved.
注目のテーマ
人気記事ランキング
- 江崎グリコ、基幹システムの切り替え失敗によって出荷や業務が一時停止
- Microsoft DefenderとKaspersky EDRに“完全解決困難”な脆弱性 マルウェア検出機能を悪用
- 生成AIは2025年には“オワコン”か? 投資の先細りを後押しする「ある問題」
- 投資家たちがセキュリティ人材を“喉から手が出るほどほしい”ワケ
- Javaは他のプログラミング言語と比較してどのくらい危険なのか? Datadog調査
- ゼロトラストの最新トレンド5つをガートナーが発表
- 大田区役所、2023年に発生したシステム障害の全貌を報告 NECとの和解の経緯
- トレンドマイクロが推奨する、長期休暇前にすべきセキュリティ対策
- 「Copilot for Securityを使ってみた」 セキュリティ担当者が感じた4つのメリットと課題
- WordPressプラグイン「Forminator」にCVSS 9.8の脆弱性 急ぎ対処を
ITmediaはアイティメディア株式会社の登録商標です。