どのような規模の組織にとってもPCファームウェア（BIOS）設定の管理とアクセス制御は組織全体のセキュリティ管理において重要です。デバイスへの物理アクセスによる攻撃に対する防御を提供するためのBIOSセキュリティ設定を保護しないままにした場合、単純にこれらの設定を無効にするだけでその防御は打ち破られてしまいます。例えば、セキュアブートが無効にされた場合、攻撃者はOSから検知することができないルートキットをデバイスにインストールすることができます。別の例としては、外部ポートを介してOSのメモリから直接秘密情報を読み取ることを防止するDirect Memory Access (DMA)攻撃保護を無効にすることができます。従ってBIOS設定へのアクセス制御は非常に重要です。

HPは、他のPC業界と同様に、BIOS設定と特権BIOS操作を保護するためのパスワードベースのメカニズムを長年にわたって提供してきました。しかしながら、すべてのパスワードベースのソリューション（アプリケーションに関係なく）には、弱いパスワード、パスワードの忘れ、複数のシステムで同じパスワードを使用するなど、固有の展開の落とし穴があります。さらに、組織がデバイスごとに強力で一意のパスワードを使用する場合でも、各BIOS設定の変更または特権BIOS操作を許可するには、そのパスワードを作業者に公開する必要があります。（パスワードベースのアプローチに固有の）使用ごとに認証のための秘密を公開する必要があるため、攻撃者がその秘密を取得するリスクが高まります。

HP Sure AdminはパスワードによるBIOS管理に替わる、公開鍵暗号化に基づくパスワード不要のBIOS管理メカニズムを提供します。これは対象PCに置かれた公開鍵に対応する（保護された）秘密鍵を使用してBIOS設定を管理ツール（HP Manageability Integretion KitまたはHP BIOS Configuration Utility）で変更したり、BIOSセットアップ画面へのローカルアクセスを許可するためのリモート要求を承認する非対称暗号化を使用して実現しています。

HP Sure Adminの機能はHP Manageability Integretion KitまたはHP BIOS Configuration Utilityを使用してEnhanced BIOS Authentication Mode（拡張BIOS認証モード）のプロビジョニングを実行することで利用可能になります。拡張BIOS認証モードが有効になると、それが解除されるまではBIOS管理者パスワードで認証することはできなくなります。

ローカルBIOS設定

対象となるデバイスの前にいるローカル管理者がBIOSに対して認証する必要がある場合、ローカル管理者はスマートフォンにインストールされたHP Sure Adminローカル認証アプリを使用して、対象PCのBIOS認証画面に表示された暗号化QRチャレンジコードを読み取ります。HP Sure Adminローカル認証アプリはチャレンジコードを複合化し、1回限りのPINコードを表示します。ローカル管理者はそのPINコードをBIOS認証画面に入力することでBIOSに対して認証し、BIOSセットアップ画面へのアクセスを取得したり認証が必要なBIOS操作を実行することができます。

リモートBIOS設定

リモートの管理者が対象PCのBIOS設定をリモートから管理したい場合はHP Sure Adminを利用可能なリモート管理ツール（HP Manageability Integration KitまたはHP BIOS Configuration Utility）を使用する必要があります。BIOSパスワードを送信するためのパスワードファイル（.binファイル）の代わりにリモート管理用の秘密鍵（.pfxファイル）を指定します。

BIOS設定へのアクセスを制御することは、組織の全体的なセキュリティ管理にとって非常に重要です。最先端のファームウェア設定管理システムであるHP Sure Adminを実装することにより、パスワードの落とし穴を回避します。高度な最新のセキュリティを使用して、管理者がローカルおよびリモートで設定を安全に管理できるようになります。

Author:日本HP