セキュリティプロセッサ「Pluton」と2021年のWindows PC：Windowsフロントライン（1/2 ページ）

[鈴木淳也（Junya Suzuki），ITmedia]

　発表自体は2020年11月中旬に行われたものだが、PCの世界では重要なトピックの1つなので「Microsoft Pluton」について改めてまとめておきたい。

Plutonプロセッサのイメージ（出典：Microsoft）

Plutonプロセッサとはどのようなものか

　Plutonは、PCにハードウェアレベルでのセキュリティ機能を提供する専用プロセッサであり、実質的に既存のTPM（Trusted Platform Module）を置き換えるものとなる。TPM自体は2006年以降に出荷されたPCに広く搭載されたハードウェアだが、これは同年11月に発売された「Windows Vista」の前身となる「Longhorn（開発コード名）」向けにTPMの開発が進められていたことに由来する。

　TPMの活用範囲は広く、最も有名なものはBitLockerの機能だが、この他にもUEFIと連動してのブートプロセスの管理やWindows Defenderで提供される各種の保護機能、認証サービス（Windows HelloやAzure ADなど）の安全性向上といった機能に加え、DRMに代表されるコンテンツ保護機能などにも活用される。ある意味で今日のPCにおけるセキュリティ機能の根幹部分となっており、対応するアプリケーションも多い。

　だが、提供開始から10年以上が経過し、TPMにもいろいろと問題が出てきた。詳細は米MicrosoftでエンタープライズとOSセキュリティ担当ディレクターのデビッド・ウェストン氏がBlogで解説している。TPMとCPU間の通信経路を物理的にハッキングする攻撃などが登場し、TPMの保護機能が必ずしも有効化されないケースが報告されるようになってきた。

　TPMとCPUのチップが、PCのマザーボード上に個別に実装されていることが理由の1つだが、Plutonではこの問題を解決すべく、CPU内に直接セキュアプロセッサの機能と包含してしまう方法を採用しており、提供にあたってAMD、Intel、QualcommといったPC向けプロセッサを提供するベンダーとの共同リリースという形を採っている。

　PlutonそのものはTPMの仕様に準拠しているため、既存のアプリケーションを含むOSやPCの各種セキュリティ機能はそのまま利用できる。この他、PlutonではSHACK（Secure Hardware Cryptography Key）という技術を採用しており、“鍵”情報そのものがPluton外に出ることがない特徴もあるとMicrosoftでは説明している。

　推測ではあるが、“鍵”はPluton内で保管される一方で、外部からの有効性チェックのリクエストにのみ反応して外部露出を一切させず、ゆえに“鍵”が漏えいすることもないという流れなのだと考える。

PlutonプロセッサはメインCPU上にSoCとして実装され、Windowsを通じてクラウドからローカルハードウェアまで一貫したセキュリティが保証される

　もう1点重要なのは、CPUに包含されたPlutonプロセッサはメインCPU上で動作するOSとは独立動作する一方で、Microsoftが提供する専用のファームウェアが導入されている点だ。

　TPMを含む、こういったメインOSから独立したサブシステムの動作において問題になることに、アップデート対応が挙げられる。OSを含む今日のモダンなソフトウェアにおいて、定期的なアップデートはゼロデイ攻撃への対処のためにも不可欠なものとなりつつあるが、これらのサブシステムでは統一されたアップデート手段がなく、対策面でどうしても時間的なラグが発生してしまう。

　PlutonではWindows Updateと連動しており、少なくともWindows環境においてはアップデートによるシステムセキュリティの完全性が保証される。Microsoftでは「Chip to Cloud Security」などの名称で呼んでいる。それ以外のOS対応については特に触れられていないが、おそらくサブシステムの動作における仕様そのものはクローズドではなく、Linuxなどについても順次対応が行われるとみられる。