PCメーカーによるより安全なWindows 10搭載コンピューターの出荷を促進し、消費者からの需要を高めるため、Microsoftは安全なWindows 10デバイスのためのハードウェアおよびファームウェア標準を発表しました。これらのセキュリティ推奨事項は、Windows 10バージョン1709(Fall Creators Update)に適用されます。
ハードウェア標準
メーカーが新しい Windows 10 デバイスを構築する際に考慮すべきハードウェア標準は 6 つあります。
プロセッサ世代
Microsoft によれば、同社の標準に準拠しているのは第 7 世代以降の Intel および AMD プロセッサのみであり、主な理由はこれらのチップがゲスト カーネルへの悪意ある変更を阻止するモード ベース実行制御 (MBEC) 機能をサポートしているためだという。
この機能は主に、Windows Defender App Guard セキュリティ ソリューションを強化するために必要になる場合があります。このソリューションは基本的に、Edge ブラウザーを最小限のゲスト Windows 10 オペレーティング システム内に配置して、メイン システムから分離します。
App Guard は一般消費者には提供されておらず、Windows 10 Enterprise ユーザーのみが利用できますが、やや不足している Edge ブラウザーのセキュリティを大幅に強化できるため、最終的には一般の Windows ユーザーにも利用される可能性があります。
第 7 世代プロセッサのリストには、Core i3/i5/i7/i9-7x、Core M3-7xxx、Xeon E3-xxxx、現在の Intel Atom、Celeron、Pentium プロセッサなどの Intel チップ、および A シリーズ Ax-9xxx、E シリーズ Ex-9xxx、FX-9xxx などのプロセッサが含まれます。
Tom's Hardware の最高のニュースと詳細なレビューをあなたの受信箱に直接お届けします。
プロセスアーキテクチャ
Microsoft は、セキュアなデバイスには 64 ビットのサポートが必要であり、これには最新の AMD64 (または x64 と呼ばれることもあります) プロセッサや ARMv8.2 CPU が含まれると述べています。
これまで見てきたように、32ビットアーキテクチャはアドレス空間レイアウトランダム化(ASLR)セキュリティが不十分です。これは、現時点ではどの最新オペレーティングシステムにも必須の機能です。ASLRは、攻撃者が悪用すべきメモリ領域を正確に特定できないため、多くの攻撃者にとって大きな障害となっています。Microsoftは、64ビットプロセスアーキテクチャは、他の仮想化ベースのセキュリティ機能にも不可欠であると指摘しています。
仮想化
同社は、最新の仮想化をサポートするために新しい Windows 10 コンピューターに必要な機能のリストを掲載しました。
プロセッサはIOMMU(Input-Output Memory Management Unit)デバイス仮想化をサポートし、すべてのI/OデバイスはIOMMU/SMMUによって保護されている必要があります。システムはIntel VT-d、AMD-Vi、またはARM64 SMMUをサポートしている必要があります。
システムは、第2レベルアドレス変換(SLAT)を備えた仮想マシン拡張機能もサポートする必要があります。つまり、システムは拡張ページテーブル(EPT)を備えたVT-x、または高速仮想化インデックス(RVI)を備えたAMD-Vを搭載している必要があります。
すべての仮想化機能はファームウェアでサポートされ、OS がそれらを使用できる必要があります。
TPM
システムには、Trustworthy Computing Group (TCG)仕様に準拠した TPM 2.0 モジュールが搭載されている必要があります。Microsoft は、Intel または AMD 製、あるいは STMicroelectronics、Nuvoton、Infineon (Infineon の TPM が最近、脆弱な暗号キーを生成することが判明) などのサードパーティ ベンダー製の TPM モジュールを推奨しています。
プラットフォームブート検証
安全なシステムには、検証済みブート モードの Intel Boot Guard、AMD ハードウェア検証済みブート、または同等の暗号化検証済みブート ソリューションを実装する必要があります。
ラム
Microsoftはまた、セキュアなシステムには8GB以上のRAMが必要だと述べています。これは厳密にはセキュリティ機能ではないかもしれませんが、システム上で何らかの仮想化を行うのであれば、最低でも8GBのRAMが必要になるでしょう。メモリが多いほど、攻撃者からコードを隠蔽できる場所が増えるため、ASLRの効果も高まります。
このカテゴリでは、エラー訂正コード(ECC)RAMの要件、あるいは既存のコンピュータの大部分を危険にさらす危険な攻撃ベクトルであるRowHammerに対するその他の必要な保護対策が欠けているように思われます。Microsoftは近いうちに要件を更新し、こうした保護対策を含める必要があるでしょう。
ファームウェア
Microsoftによると、セキュアなWindows 10ビルド1709マシンには、UEFI 2.4以降(最新版はUEFI 2.7)が搭載されている必要があります。ファームウェアはUEFI Class 2または3を実装している必要があります。
セキュアなWindows 10デバイスのドライバーは、Microsoftが過去に定義した厳格なハイパーバイザーベースのコード整合性(HVCI)要件に準拠する必要があります。また、システムのファームウェアにはUEFIセキュアブートが搭載されている必要があり、これもデフォルトで有効化されている必要があります。
セキュア ブートはルートキット マルウェアに対する重要な保護手段ですが、PC メーカーは、少なくとも一部のユーザーはマシンに他のオペレーティング システム (Linux ディストリビューションなど) をインストールしたいと考えており、専用ボタンやキーボード キーの組み合わせなど、安全な方法でセキュア ブートを無効にできる場合にのみそれが可能であることも考慮する必要があります。
システムでは、Secure MOR (メモリ上書き要求) リビジョン 2 セキュリティ機能も実装する必要があります。
最後に、システムは Windows UEFI ファームウェア カプセル更新仕様をサポートする必要があります。これにより、メーカーは UEFI ファームウェアを安全に更新できるようになります。
「高度に安全な Windows 10 デバイス」に対するこれらの新しいハードウェアおよびファームウェア要件は非常に合理的であり、セキュリティのベースラインを備えた Windows 10 デバイスの開発を可能にするはずです。
しかし、OEMが自社のデバイスがこれらの基本要件に準拠していることをアピールする手段が欠けているように思われます。Microsoftは、「Secure Windows 10 device」バッジに加え、OEMが認証に基づいて競合他社との差別化を図り、これらの要件を採用する正当な理由を示せるような認証プログラムも検討する必要があるかもしれません。
ルシアン・アルマスは、Tom's Hardware USの寄稿ライターです。ソフトウェア関連のニュースやプライバシーとセキュリティに関する問題を取り上げています。
