検索
Special

「PCがある所がオフィス」の時代に、インテル×デル・テクノロジーズが提示する“OSより下層”を守るエンドポイント防御

AIの悪用やPCの分散で、セキュリティ対策と運用管理のアップデートが求められている。企業は今、「OS起動前」の脅威にどう立ち向かうべきか。ハードウェア層の防御と遠隔管理、“常時AI時代”のPC選びを説く。

PC用表示
Share
Tweet
LINE
Hatena
PR

 サイバー攻撃はAIを悪用して巧妙化しており、OSよりも下層のBIOSやファームウェアを狙う攻撃が大きな脅威となっている。EDRなど「OS層」の対策のみでは、企業資産を守り切るのは難しい。一方、カフェや社員の自宅、顧客のオフィスや遠隔地の工場・倉庫など、IT部門が物理的に駆け付けられない「現場」でのPC利用も増えている。

 こうした中、企業を守る「最後のとりで」になるのがハードウェアベースのセキュリティと遠隔管理を提供する「Intel vPro® プラットフォーム」と、独自の多層防御を重ねるデル・テクノロジーズのPCだ。この強力なタッグの真価について、インテルの太田仁彦氏とデル・テクノロジーズの佐近清志氏に聞いた。

「OSより下層」を狙う脅威と、ハードウェアレイヤーへの無理解

――AIを悪用したサイバー攻撃が増加しています。セキュリティのトレンドをどう見ていますか。

太田氏: 攻撃側がいち早くAIを悪用してサイバー攻撃を巧妙化している中、守る側もAIを活用して対抗する必要があります。つまり、これからのセキュリティはAI処理のパフォーマンスが非常に重要です。また、どれほど優秀な防御ソフトウェアをOSより上の層に導入しても、AIを悪用したサイバー攻撃によって、PCの土台となるOSより下の層であるハードウェアが乗っ取られる可能性は今後高くなります。

佐近氏: おっしゃる通りです。ランサムウェア被害で億単位の復旧コストを要する事例も増えており、企業の危機感も高まっています。しかし関心はソフトウェアに偏りがちで、ハードウェアのセキュリティまで意識している例は多くありません。これからは、ハードウェアのレイヤーからPCを守る視点が必要です。

太田氏: まさにそこです。攻撃者がOSより下層のBIOSなどを標的にして根本からPCの権限を乗っ取り、OS上の防御ソフトウェアを無効化するリスクをはらんでいます。プロセッサーを開発するインテルは、そうした構造的なリスクを早くから認識していました。だからこそ、OS起動前のレイヤーをいかにセキュアに保つか、ハードウェアの次元から基盤を確立してきた歴史があります。

photo
インテルの太田仁彦氏(技術・営業統括本部 IA技術本部 部長)

――日々の運用管理もIT部門の悩みです。ハイブリッドワークでPCが社外に分散して、システム障害時に「物理的に駆け付けられない現状」をどう捉えていますか。

佐近氏: もはやハイブリッドワークという言葉では捉え切れません。カフェや自宅、出張先など「PCがある所がオフィス」になる環境です。だからこそ、どんな場所でもセキュリティレベルを落とさず、利便性と安全性を両立させることが重要です。

 IT部門としては最新のセキュリティを参照しつつ常にパッチを当て続けたいという要望がありますが、どうしてもそこから漏れるPCが出てきます。そのようなPCが社外に放置されるとリスクにしかなりません。1カ月間ずっと在宅勤務をしている社員のPCが今どういう状態になっているのか、管理者がモニターして情報収集できる仕組みは不可欠でしょう。

Intel vPro® プラットフォームが「OS起動前」の世界を守り、動かす

太田氏: 実は、Intel vPro® プラットフォームの原点も、社内IT部門の課題でした。当社の半導体工場では数千台のPCが稼働しており、クリーンルームを経由しなければそこに入室できないため、担当者の駆け付けが困難でした。「OSが正常に動かなくても、リモートでリカバリーからトラブルシューティングまで完全にこなせるようにしたい」という現場の切実な課題から生まれたのが、Intel vPro® プラットフォームです。

佐近氏: リモート管理のソフトウェアベースの接続方法は「インバウンド接続」といい、OSが正常に動作していないと接続さえできません。Intel vPro® プラットフォームは「アウトオブバンド」という、OSの稼働状態に依存しない接続性を備えています。これはチップレベルから開発するインテルならではの技術です。在宅勤務中のPCがブルースクリーンなどで起動しなくなっても、インターネット経由で修復できるのは大きな強みですよね。

photo
デル・テクノロジーズの佐近清志氏(クライアント・ソリューションズ営業統括本部 ワークフォース ソリューションズ グループ 製品スペシャリスト)

太田氏: ありがとうございます。当社はIntel vPro® プラットフォームを20年以上にわたって進化させてきました。OSが不安定な状態に陥っても遠隔で管理できる機能は、われわれだからこそ提供できるという自負があります。

――なぜ、OSが動かない状態でも安全に遠隔操作ができるのでしょうか。

太田氏: OSが立ち上がるまでの間には、多数のソフトウェアモジュールが動作しています。代表例がBIOSで、その中にも専用モジュール上で動くファームウェアが存在しています。インテルはプロセッサーの最も深い「Root of Trust」(信頼の起点)から、起動プロセスが正しいかを全ステップで検証しています。

 こうした、OSよりも下層のファームウェア層への攻撃を阻止してハードウェアレベルでPCを保護する包括的なセキュリティ機能が「インテル® ハードウェア・シールド」です。外部ソフトウェアでは検知できない内部の挙動も、プロセッサーのテレメトリー情報を活用して監視・検知可能です。

――Intel vPro® プラットフォームはどのように遠隔管理を可能にするのですか。

太田氏: 支えているのは「インテル® アクティブ・マネジメント・テクノロジー」(以下、インテル® AMT)と「インテル® エンドポイント・マネジメント・アシスタント」(以下、インテル® EMA)です。インテル® AMTは、OSの稼働状態にかかわらずハードウェアレベルでPCを遠隔制御する、Intel vPro® プラットフォームの根幹です。インテル® EMAは、インターネット(クラウド)経由でもオンプレミス環境でも安全にその機能を利用するためにインテルが提供している無償の管理ツールです。

佐近氏: これらにより、たとえ在宅勤務中にPCのOSが起動しない状態になっても、管理者はWebブラウザで対象PCのBIOS画面にアクセスして修復作業が可能になるのですね。

太田氏: はい。インテル® EMAは「Microsoft Azure」「Google Cloud」「Amazon Web Services」といったパブリッククラウドはもちろん、オンプレミスやハイブリッド環境にも柔軟に導入できます。また、お客さまご自身でサーバーを所有することなく管理可能なクラウドサービス「Intel vPro® フリート・サービス」の無償提供も開始しました。

photo
(図1)Intel vPro® プラットフォームの管理機能は、多様な面からIT部門のビジネスの目標達成に貢献する(提供:インテル)《クリックで拡大》

「安全なPCが届くこと」から始まる、デルの多層防御

――その強固な基盤の上に、デル・テクノロジーズはどのようなセキュリティ機構を重ねているのでしょうか。

佐近氏: 土台から段階的に積み上げています。最下層は、必要に応じて選択できる追加のサプライチェーン保証「Dell SafeSupply Chain」――納品されるPCそのものが安全であることです。構成部品をシリアル番号でトレースでき、出荷時の改ざんがないことをお客さま自身で検品できる独自システムを備えています。この仕組みは「Secured Component Verification」(SCV)といい、工場出荷時に記録した“as-built”証明書と着荷時の構成を突き合わせることで、輸送中の部品のすり替えや改ざんも検知できます。

 次の層がハードウェアセキュリティです。「Dell SafeID」は、パスワードや生体認証データを専用チップに格納する機能です。これにより、OSがハッキングされても重要な認証情報を安全に隔離して守れます。専用チップには「FIPS 140-3 Level 3」認証を取得した独立セキュリティプロセッサー「ControlVault 3+」を採用しており、指紋などの生体認証データもCPUやOSから物理的に切り離して保護します。「Dell SafeBIOS」は、BIOSやファームウェアの保護、検知、復旧を担う機能群で、当社独自の強み「オフホストBIOS検証」を備えています。PC内の電子署名を用いたチェックに加え、インターネット経由で当社のクラウドにある「正規のBIOSイメージ」とも突き合わせる二重チェックによって、基準データ自体を書き換える高度な改ざんも見抜けます。

太田氏: サプライチェーンのトレーサビリティーについては、当社も最新プロセッサーに「インテル® アシュアド・サプライ・チェーン」を導入しました。回路設計からパッケージングまでの全工程をトレースして、安全性を確約するロジックを基本機能として組み込んでいます。デル・テクノロジーズさんは、一連のセキュリティ構造を一つの製品としてまとめ上げる、パッケージングの巧みさが光っていますね。

佐近氏: ありがとうございます。製造段階からOSよりも下層まで徹底した防御を構築している当社のセキュリティ機能は、客観的にも高く評価していただいています(図2参照)。

 日々の運用管理では、OSよりも下層の状態を可視化するアプリケーション「Dell Trusted Device」(以下、DTD)が活躍します。DTDがBIOSなどのbelow-the-OSテレメトリーを収集・可視化して、「Microsoft Intune」や「CrowdStrike」などと連携します。無償のWebベース管理コンソール「TechDirect」とPC側の「SupportAssist for Business PCs」を組み合わせることで、DTDの収集情報を基にPCの正常性やセキュリティ状態を単一画面で可視化できます。アップデートの自動化や特定バージョンへの統一管理も可能です。さらに最新版のDTDは、量子コンピュータ時代を見据えたSHA512ベースの署名検証に対応し、BIOSの完全性チェックを一段と強化しています。

 運用の先にある「復旧」と「廃棄」まで見据えている点も、デルの多層防御の特長です。万一OSが起動しなくなっても、「SupportAssist OS Recovery」と「BIOSConnect」によってネットワーク経由でOSやドライバーを再インストールでき、先ほどのインテル® EMA/AMTによるアウトオブバンド接続と組み合わせれば、現地対応を減らしながら遠隔での切り分けや復旧を進めやすくなります。そして退職者のPCや故障機を再利用・廃棄する際には、BIOSレベルで動作する「Dell Data Wipe」が活躍します。米国国立標準技術研究所のガイドライン(NIST SP 800-88 Rev.1)に沿ったメディアサニタイズを実行するため、情報漏えいのリスクを抑えながら、安全にPCのライフサイクルを締めくくれます。

photo
(図2)Dellが委託した第三者調査機関のPrincipled Technologies社(2025年7月発表)による公開情報ベースの主要PCメーカー3社の比較調査では、評価対象の、OSよりも下層のセキュリティ機能9項目全てをサポートしていると評価された。詳細は「OEM security features」を参照(提供:デル・テクノロジーズ。以下同)《クリックで拡大》
※本調査はDellが委託し、各社が公開している情報およびマーケティング資料に基づいて実施されたものです。機能の提供範囲や利用条件は、製品構成、地域、サービス契約、管理環境によって異なる場合があります。
photo
(図3)デル・テクノロジーズの多層防御イメージ《クリックで拡大》

NPUが支える「常時AIオン」と、エージェントAI時代

――ハードウェア層の保護に加えてOS上で防御ソフトウェアを動かすとなると、PCの処理負荷も課題になりますよね。

太田氏: 高度なセキュリティ処理をCPUでずっと走らせていると、オンライン会議中などにPCのファンが回り続け、動作が重くなります。「インテル® Core Ultra シリーズ 3 プロセッサー」のNPUは最大約50TOPSに達しますが、重要なのはCPUより低電力で高いAI処理能力を発揮できる点です。

 今後は、ユーザーの指示で自律的に業務をこなす「エージェントAI」が普及して、膨大なAI処理をPC内(ローカル)とクラウドで最適に振り分けるハイブリッドな使い方が当たり前になります。

佐近氏: PC内の小規模なAIモデルで処理し切れないタスクを、クラウド上の大規模言語モデルに任せる連携ですね。このとき、ローカルとクラウドのどちらで処理するかを最適に割り振る「オーケストレーター」がPC内で機能します。この高度な割り振り処理は、CPUに大きく依存しますよね。

太田氏: はい。そうしたAI活用の環境で表側の処理を担うCPUを支えて、PCの動作を重くすることなくバックグラウンドでセキュリティ監視を常時稼働させ続ける。それこそが、今後のNPUに求められる役割です。

佐近氏: まさに「常時AIオン」の世界ですよね。これからのPCに問われるのは、「AIが動くかどうか」ではなく、「常時AIオンに耐えられるか」です。例えばCrowdStrike社は、インテルさんおよび当社と共同で、スクリプトやファイルレスマルウェアといった巧妙な脅威を検知するAIモデルをNPU上で動かす取り組みを進めています。

 この種のAI検知をCPUだけで常時実行するとCPU負荷が高まりやすくなりますが、処理をNPUにオフロードすることでCPU使用率を1%未満に抑え、NPU対CPUで3.7倍の性能改善を示した検証例もあります。おかげで、オンライン会議の裏側でセキュリティ処理を走らせ続けてもPCの動作が重くなりません。結果としてスキャンの頻度を高めることも可能になり、全体的なセキュリティレベルの向上にも貢献します。エージェントが活躍する時代を支える土台として、最新のCPUとNPUは不可欠です。

太田氏: こういった最新のテクノロジーやセキュアな環境を検討する上で企業にお伝えしたいのは、「目に見えないコスト」に目を向けていただきたいという点です。導入検討時にIntel vPro® プラットフォーム、NPUが搭載されているPCと、それらの機能がないPCの価格を比較すると、価格の違いが大きいと思う気持ちはよく分かります。しかしその価格は意味なくついているのではなく、後々起こり得るもっと大きなコスト――トラブル時の駆け付けやダウンタイム、現場作業員の停滞や復旧の人件費――を防ぐための見えないコストです。単なるPC選びではなく、企業の事業継続を守る「見えないコストへの投資」として、強固なハードウェア基盤の採用をご検討ください。


Copyright © ITmedia, Inc. All Rights Reserved.


提供:デル・テクノロジーズ株式会社、インテル株式会社
アイティメディア営業企画/制作:ITmedia NEWS編集部/掲載内容有効期限:2026年8月12日

ページトップに戻る