※ 本ブログは、米国時間 11 月 17 日に公開された “Meet the Microsoft Pluton processor – The security chip designed for the future of Windows PCs” の抄訳です。
David Weston
Director of Enterprise and OS Security
仕事と生活の両面で多様なデバイスが私たちを結び付け、生産性を向上してくれる中で、Windows PC テクノロジへの信頼が今まで以上に重要になっています。Windows 10 は、エッジからクラウド、そして、ハードウェアに至るまでのエンドツーエンドのセキュリティを提供する今までで最も安全な Windows のバージョンです。Windows Hello の顔認識、組み込み済みの Microsoft Defender Antivirus とファームウェア保護、そして、System Guard や Application Control for Windows といった他の多くの機能により、マイクロソフトは変化するセキュリティ脅威に対応してきました。
Windows OS に対してクラウドが提供する保護や AI の進化により、サイバー攻撃は困難になっていますが、攻撃者も迅速に変化し、新たなターゲットを狙っています。それは、現時点では攻撃を検知することができないハードウェアとソフトウェアの境界部分です。既に、マイクロソフトは、パートナーと共に、アイデンティティ、OS、ハードウェアの高度な保護を提供するセキュアコア PC などのイノベーションにより、このような高度なサイバー犯罪者への対策を進めています。
現在そして将来においてお客様を確実に保護するために、本日、マイクロソフトはシリコンパートナーと共に、Windows セキュリティの新たなビジョンを発表します。AMD、Intel、Qualcomm Technologies, Inc. という主要シリコンパートナーとの協力の下、マイクロソフトは、セキュリティプロセッサ Microsoft Pluton を発表します。Xbox と Azure Sphere で最初に活用されたこのチップツークラウド (chip-to-cloud) のセキュリティテクノロジは、将来の Windows PC のセキュリティを一層強化すると共に、エコシステムと OEM パートナーによる新たな取り組みの始まりを告げるものです。
将来の Windows PC におけるマイクロソフトのビジョンは、セキュリティを中核部分である CPU に組み込むことで、ハードウェアとソフトウェアを緊密に統合し、最終的にあらゆる攻撃パターンを排除するというものです。この革新的なセキュリティプロセッサの設計により、攻撃者がオペレーティングシステムの背後に隠れることが難しくなり、物理的な攻撃に対する防御力が高まり、認証情報や暗号鍵の盗難を防ぎ、ソフトウェアのバグからの回復機能が提供されます。
Pluton の設計が CPU レベルで Windows セキュリティを再定義
現在、ほとんどの PC のオペレーティングシステムのセキュリティの中核機能は、TPM (Trusted Platform Module) と呼ばれる、CPU とは独立したチップにより提供されます。TPM は、暗号鍵やシステムの健全性を検証する情報を安全に保存できるよう支援するハードウェア構成要素です。Windows は、10 年以上にわたり、Windows Hello や BitLocker といった多くの重要機能の基盤として TPM をサポートしてきました。TPM が重要なセキュリティ作業に効果的であったことから、攻撃者は、特に、PC を盗難したり、一時的にPC に物理的にアクセスしたりできる状況において、新たな攻撃方法を採用し始めました。この高度な攻撃手法は、CPU と TPM の間の通信経路、典型的にはバスインタフェースをターゲットにしたものです。バスインタフェースは CPU とセキュリティプロセッサ間の情報共有を提供しますが、同時に、物理的攻撃を行う攻撃者が移動中のデータを盗聴したり改竄したりする手段にもなります。
Pluton の設計では、CPU にセキュリティ機能を直接組み込むことで、通信経路が攻撃される可能性を排除しています。最初は、Pluton アーキテクチャを使用した Windows PC は、既存の仕様と API に基づき TPM をエミュレートします。これにより、お客様は、BitLocker や System Guard などの TPM に依存する Windows 機能のセキュリティ強化を直ちに享受できます。Pluton を備えた Windows デバイスは、Pluton セキュリティプロセッサを活用して、認証情報、ユーザーアイデンティティ、暗号鍵、個人データを保護します。攻撃者がマルウェアを埋め込んだり、PC を物理的に確保できたりした場合でも、これらの情報を Pluton から消去することはできません。
これは、暗号鍵などの重要な情報を、システムの他の部分から隔離された Pluton プロセッサ内に安全に保管することで達成されます。これにより、投機的実行などの最新の攻撃手法によっても鍵情報にアクセスすることはできません。また、Pluton は、自身のファームウェアも含めて保護されたハードウェア外に鍵情報が漏洩しないようにするために、独自の SHACK (Secure Hardware Cryptography Key) テクノロジを提供しています。これにより、Windows のお客様にはかつてないレベルのセキュリティが提供されます。
セキュリティプロセッサ Pluton は、Project Cerberus などマイクロソフトがコミュニティに対して行ってきた取り組みを補完するものです。CPU の安全な識別情報を Cerberus で検証することができ、プラットフォーム全体のセキュリティが強化されます。
Pluton が解決してくれる、重要なセキュリティ上の課題のひとつは PC のエコシステム全体でシステムファームウェアを最新に保つことです。今日、お客様は、セキュリティファームウェアのアップデートを多様な供給元から入手しており、パッチ適用の管理が困難になっています。Pluton は、マイクロソフトによって署名され、保守され、アップデートされる、エンドツーエンドのセキュリティ機能を提供するファームウェアを稼働するための柔軟でアップデート可能なプラットフォームを提供します。Windows コンピュータ向けの Pluton は、Azure Sphere Security Service の IoT デバイスへの接続と同様に、Windows Update プロセスに統合されます。
マイクロソフトによる OS のセキュリティ強化、セキュアコア PC や Azure Sphere といったイノベーション、そして、シリコンパートナーによるハードウェアのイノベーションにより、Windows PC、Azure クラウド、そして、Azure インテリジェントエッジデバイスに対する高度な攻撃からの保護が提供されます。
パートナーとのイノベーションによりチップツークラウドのセキュリティを強化
PC の成功の大部分は、OS、シリコン、そして、OEM パートナーが困難な課題解決のために共にイノベーションを生み出す活発なエコシステムから生まれています。これは、10 年以上前に、最初のハードウェアのトラストアンカーである TPM の導入が成功したことでも実証されています。このマイルストーン以来、マイクロソフトとパートナーは、セキュリティの最も困難な課題を解決するために、最新の OS とシリコンのイノベーションを最大限に活用した次世代のセキュリティテクノロジにおけるコラボレーションを継続してきました。この共創アプローチこそが、マイクロソフトが PC エコシステムに最高レベルのセキュリティを提供するために行おうとしていることです。
Microsoft Pluton の設計には、数億台の PC に向けてハードウェアの Root of Trust すなわち信頼の基点となるデバイスを提供してきた経験が取り込まれています。Pluton の設計は、2013 年にマイクロソフトが AMD とのパートナーシップによりリリースしたゲームコンソール Xbox One、そして、Azure Sphere における、ハードウェアとオペレーティングシステムの統合セキュリティ機能で最初に採用されました。マイクロソフトの知的財産であるテクノロジを CPU のシリコンで直接実装したことで、物理的攻撃からの防御、暗号鍵の漏洩の防止、ソフトウェアバグからの回復機能が提供されました。
初期の Pluton の設計が効果的であったことから、マイクロソフトは、多様な物理的攻撃からの防御のためにハードウェアをどのように活用すべきかを学ぶことができました。今、マイクロソフトはこの教訓を活かし、将来の Windows PC において、より強力なセキュリティのイノベーションを実現する、チップツークラウドのセキュリティビジョンを公表します (詳細は Microsoft BlueHat を参照ください)。Azure Sphere も同様のセキュリティアプローチを採用し、「高セキュリティデバイスの 7 つの特性」を備えた最初の IoT 製品になりました。
Pluton のRoot of Trust テクノロジの共有により、関与する企業のセキュリティ専門知識とテクノロジが活用され、Windows PC エコシステム全体の健全性とセキュリティが最大化されます。Pluton セキュリティプロセッサは、AMD、Intel、Qualcomm Technologies が提供する将来のチップを通じて、Windows PC に次世代のハードウェアセキュリティ保護を提供します。
「セキュリティは AMD の最優先事項であり、最も高度な攻撃からユーザーを保護できるハードウェアセキュリティプラットフォームの最先端にいられたことを誇りに思っています。このようなセキュリティ強化の一環として、AMD とマイクロソフトは緊密に連携し、Xbox One からスタートし、現在は PC へとプロセッサベースのセキュリティソリューションの強化を進めてきました。当社は、セキュリティを念頭においた製品開発を行っており、マイクロソフトの Pluton テクノロジをチップレベルで取り込むことにより、既に強力な当社のプロセッサの能力がさらに強化されることになるでしょう。」
– ジェイソン トーマス (Jason Thomas) AMD 製品セキュリティ責任者
「Intel は、Windows PC プラットフォームのセキュリティ強化のためにマイクロソフトとの協業を継続していきます。将来の Intel CPU における Microsoft Pluton 採用により、Intel のハードウェアとマイクロソフトのオペレーティングシステムの統合がさらに加速していくでしょう。」
– マイク ノードキスト (Mike Nordquist) Intel コマーシャルクライアントセキュリティ担当シニアディレクター
「Qualcomm Technologies は、マイクロソフトとの協業を継続し、多様なデバイスとユースケースのセキュリティを向上していけることを大変うれしく思っています。Microsoft Pluton のようにチップ上に実装されたハードウェアベースの信頼の基点こそが複数のユースケースとそれを実現するデバイスのセキュリティ向上の重要構成要素であると考えています。」
– アサフ シェン (Asaf Shen) Qualcomm Technologies, Inc. 製品管理担当シニアディレクター
マイクロソフトは、Pluton のような組み込み型セキュリティを備えたプロセッサがコンピューティングハードウェアの未来であると考えています。Pluton によるマイクロソフトのビジョンは、この組み込まれた信頼をデバイス、さらにはあらゆるモノへと拡張していくことで、インテリジェントエッジとインテリジェントクラウドの安全な基盤を提供することです。
コミュニティとのコラボレーションが、マイクロソフトの継続的イノベーションとあらゆる階層におけるセキュリティ強化に貢献しています。あらゆる人々に向けたセキュリティ強化の取り組みを継続しているマイクロソフトとして、半導体業界の大手企業と共にこの革新的セキュリティデザインを実現できることを誇りに思います。
◇
【日本マイクロソフト株式会社について】
日本マイクロソフト株式会社は、マイクロソフト コーポレーションの日本法人です。マイクロソフトは、インテリジェントクラウド、インテリジェントエッジ時代のデジタルトランスフォーメーションを可能にします。「Empower every person and every organization on the planet to achieve more.(地球上のすべての個人とすべての組織が、より多くのことを達成できるようにする)」を企業ミッションとしています。
日本マイクロソフトは、この企業ミッションに基づき、「革新的で、安心して使っていただけるインテリジェントテクノロジを通して、日本の社会変革に貢献する」企業像を目指します。
◇
マイクロソフトに関する詳細な情報は、下記マイクロソフト Web サイトを通じて入手できます。
日本マイクロソフト株式会社 Web サイト http://www.microsoft.com/ja-jp/
マイクロソフトコーポレーション Web サイト http://www.microsoft.com/
* Microsoft、Azure、BitLocker、Windows Hello、Xbox、Xbox one は、米国 Microsoft Corporation の米国及びその他の国における登録商標または商標です。
* その他、記載されている会社名、製品名は、各社の登録商標または商標です。
本プレスリリースのすべての内容は、作成日時点でのものであり、予告なく変更される場合があります。正式な社内承認や各社との契約締結が必要な場合は、それまでは確定されるものではありません。また、様々な事由・背景により、一部または全部が変更、キャンセル、実現困難となる場合があります。予めご了承下さい。
