※ 本ブログは、2025年9月11日にHP WOLF SECURITY BLOGにポストされた From x86-64 to ARM: How HP Brought Sure Click to a New Architecture の日本語訳です。

ソーシャルエンジニアリング通じて拡散されるマルウェアとゼロデイ脆弱性の悪用は、エンドポイントPCを標的とする二つの主要な脅威です。攻撃者はセキュリティツールを回避し、ユーザーを騙してデバイスを感染させるため、絶えず戦術を進化させています。 また、彼らは検知が困難で、ユーザーの操作をほとんどまたは全く必要としない、あるいは長期間修正されないまま放置されることが多い欠陥である ゼロデイ脆弱性も悪用しています。組織が数多くのセキュリティソリューションを導入しているにもかかわらず、成功する攻撃の大半は侵害されたエンドポイントから始まります。

検知ベースのツールはしばしばバイパスされてしまうため、HPは別のアプローチ、すなわち脅威の封じ込めに注力してきました。HP Sure Click EnterpriseおよびHP Wolf Pro Securityにより、組織は信頼できるコンテンツと信頼できないコンテンツの間に強力な隔離を導入できます。これらのソリューションは、ドキュメントやWebページなどの信頼できないコンテンツを使い捨てのマイクロ仮想マシン（uVM）内に隔離することで、ゼロデイ攻撃やマルウェアを阻止するよう設計されています。 組み込みのハードウェア保護機能を活用し、ユーザーに気付かれることなくバックグラウンドで静かに動作します。

本日、Snapdragon搭載ノートPC向け初のハードウェア強化型仮想化ベース脅威隔離ソリューション「HP Wolf Pro Security for ARM PCs」の提供を開始いたします¹。これにより、拡大を続けるARM PC市場に業界をリードするSure Click脅威封じ込め機能をお届けします。この機能を新たなハードウェアプラットフォームに導入することは、業界にとって重要なマイルストーンとなります。ARM PCが普及するにつれ、従来x86-64システムを脅かしてきた脅威が、次第にARM PCも標的にするようになっています。ARMへの脅威封じ込め機能の提供により、アーキテクチャに関わらず、ユーザーの皆様に同等の保護を確実に提供いたします。

ARMへの移植には多大な技術的取り組みが求められました。HPのハイパーバイザーおよびプラットフォームセキュリティに関する専門知識、そしてマイクロソフトとの緊密な連携が、これを可能にした経緯について、HPの研究開発（先進プロジェクト）部門ディレクターであるKris Uchronskiにお話を伺いました。

Alex Holland:

それではKris、始めに伺います。Sure Clickのアーキテクチャの独自性についてお聞かせください。

Kris Uchronski:

Sure Clickは、特殊なセキュリティハイパーバイザーを中核として構築されており、完全な機能を備えたWindowsマイクロVMを瞬時に起動することが可能です。これを実現するため、CPUによる仮想化技術を採用し、メモリとストレージ管理にコピーオンライトの概念を用いた堅牢なVMクローン技術を開発しました。その結果、強力な隔離を保ちながらシームレスなユーザー体験を提供します。潜在的なリスクを伴うタスクはそれぞれ独自のマイクロVMで実行されるため、万が一問題が発生しても、問題は封じ込まれます。

Alex:

それはかなり複雑な仕組みのように聞こえます。では、Sure Clickはどのようにしてユーザーにとって迅速かつシームレスに完全なWindows VMを起動させているのでしょうか？

Kris:

それがSure Clickの中核となる革新技術の一つです。私たちはVMクローニングと呼ばれる技術を採用しています。Sure Clickの初期化中に、完全に機能するWindows VMが構築され起動されます。次に、Microsoft WordやGoogle Chromeなどの主要アプリケーションをロードして「メモリをウォームアップ」した後、VMをサスペンド状態にします。このサスペンド状態がテンプレートとなります。ユーザーがドキュメントを開いたりリンクをクリックしたりする際、新たにVMを一から起動するのではなく、コピーオンライトの原理を用いてテンプレートを複製します。これにより、変更があったメモリページやディスクデータのみを個別に複製します。結果として、完全に隔離されたマイクロVMが非常に高速で起動する仕組みです。

Alex:

では、多数のVMが稼働している場合でも、パフォーマンスが低下しないようにするために、どのような対処をしていますか？

Kris:

我々のVMマネージャーには高度な技術が組み込まれています。マイクロVMが使用されていない状態を検知し、CPUとメモリを解放するためにサスペンドします。また、チャットアプリなどのバックグラウンドタスクには仮想CPUのスロットリングを採用し、オーディオやビデオを再生中のVMはサスペンドを回避することで、Sure Clickがユーザーに気付かれないようにしています。時間の経過とともに、メモリ使用量の積極的な最適化から、応答性の最適化へと移行してまいりました。

メモリの事前分岐といった機能も開発しました。これは変更が予測される特定のメモリページを事前にコピーすることで、VMの終了回数を削減し、パフォーマンスとユーザー体験全体の向上を図るものです。

Alex:

Sure Clickが専用のセキュリティハイパーバイザー上に構築されているとおっしゃいましたが、CPUによる仮想化による隔離が、ソフトウェアベースの隔離よりも安全である理由はどこにあるのでしょうか？

Kris:

ワークロードの分離は新しい概念ではありません。実際、現代のオペレーティングシステムは数十年にわたり何らかの形の実行分離を実装しており、プロセスレベルの分離はそのよく知られた例です。その他の一般的な手法としては、ファイルシステムなどのリソースやマルチプロセス環境を分離するコンテナ、単一プロセスのワークロードを制限するユーザーモードサンドボックスなどが挙げられます。しかし、これらはいずれもOSカーネルによる強制に依存しているため、OSやそのコンポーネントのゼロデイ脆弱性に対して脆弱なままです。

これに対し、CPUに基づく仮想化は、ハードウェアによって強制される独立した特権とメモリの分離を提供します。アタックサーフェス（攻撃対象領域）は依然として存在しますが、適切に設計されたハイパーバイザーの場合、汎用OSに比べてその規模は大幅に小さくなります。

Alex:

HPのハイパーバイザースタックは、セキュリティを考慮してどのように設計されているのでしょうか？

Kris:

当社のセキュリティ仮想化スタックは、明確な目的を持って構築されました。それは、信頼レベルが異なるさまざまな実行環境において、CPUによって強制される強力な隔離を提供することです。この仮想化ベースの隔離は、Sure Click（脅威の封じ込め）、HP Sure Access Enterprise（高価値資産の保護）、そしてHP Sure Startの仮想化ベースのBIOS保護（PCIデバイスのオプションROMの実行隔離）を含む、我々のセキュリティソリューションの基盤となっています。

主な設計目標の一つは、CPUが提供する仮想化機能を活用することでした。これにより、メモリマネージャにおけるシャドウページテーブルの必要性といった特定の落とし穴を回避でき、パフォーマンスの向上にも寄与しました。

また、コンポーネント間のインターフェースとプロセス間通信（IPC）を簡素化し、不正使用のリスクを低減しました。我々のクローンVMは、エミュレートされたハードウェアへの依存を最小限に抑え設計と実装が容易な、準仮想化（パラバーチャライゼーション）インターフェースとデバイスを採用しています。これにより、ハイパーバイザーレベルの脆弱性の原因として知られる、広範なCPU命令エミュレーションの必要性がさらに減少しています。

Alex:

それでは、ARMプラットフォームについてお話ししましょう。Sure ClickをARMに移植する上で、最も大きな技術的課題は何でしたか？

Kris:

多くの課題がありました。まず、ARM64とx86-64は根本的に異なるCPUアーキテクチャです。x86-64ではハイパーコールやクラッシュ診断などで多用するCPUIDやモデル固有レジスタ（MSR）といった命令が、ARM64には存在しません。Microsoftと緊密に連携し、Windows Hypervisor Platform（WHP）を用いてARM専用の代替機能を実装する必要がありました。また、ARMはレガシーBIOSをサポートしていないため、Sure Click仮想マシンにはUEFIベースのBIOSを採用せざるを得ませんでした。これにより、これまでのブートプロセスの一部を再設計し、x86-64とは異なるARM専用の仮想デバイス（キーボードやディスプレイコントローラーなど）との互換性を確保する必要が生じました。

多くの課題がありました。まず、ARM64とx86-64は根本的に異なるCPUアーキテクチャです。x86-64ではハイパーコールやクラッシュ診断などで多用するCPUIDやモデル固有レジスタ（MSR）といった命令が、ARM64には存在しません。Microsoftと緊密に連携し、Windows Hypervisor Platform（WHP）を用いてARM専用の代替機能を実装する必要がありました。また、ARMはレガシーBIOSをサポートしていないため、Sure Click仮想マシンにはUEFIベースのBIOSを採用せざるを得ませんでした。これにより、これまでのブートプロセスの一部を再設計し、x86-64とは異なるARM専用の仮想デバイス（キーボードやディスプレイコントローラーなど）との互換性を確保する必要が生じました。

Alex:

しかし、x86-64エミュレーションを利用したよりシンプルな方法があったのではないでしょうか？Windows for ARM上のx86-64エミュレータでSure Clickを実行すればよいのでは？

Kris:

技術的な制約により、エミュレーションはあらゆる場面で利用できるわけではありません。

例えば、カーネルコンポーネントはネイティブで実行する必要があります。Windowsカーネルではエミュレーションがサポートされていないためです。主な理由はパフォーマンスと複雑性の低減であり、特に後者はシステム安定性の維持において重要です。一部のSure Clickコンポーネントをネイティブで実行し、他をエミュレートするハイブリッド方式も受け入れられません。エミュレーションはパフォーマンスのオーバーヘッドを生じさせるためです。特に高速なマイクロVMの起動が求められる場合には顕著です。

Alex:

このプロジェクトはMicrosoftとの大規模な共同作業でもあったと聞いています。その点について詳しくお聞かせください？

Kris:

それは不可欠でした。Microsoftは既に、ARM版Windows Hyper-Vの実用化とWHPのARM64への移植に注力していました。Sure Clickは仮想化技術の活用方法が非常にユニークであるため、WHPが当社のユースケースに適した機能を確実に提供できるよう、MicrosoftのHyper-VチームおよびWHPチームと緊密に連携しました。Microsoftとの協業により、WHPのARM実装における課題を体系的に特定し解決しました。彼らはARM専用のハイパーコールや合成タイマーといった代替メカニズムの実装を通じて支援してくれました。

実践面での課題もありました。修正された完全なWindowsビルドを待つことは開発の遅延につながったため、Microsoftは必要な変更のみを反映したカスタムテスト署名済みバイナリを提供してくれました。これにより迅速な反復開発が可能となり、開発を良好なペースで進めることができました。

Alex:

Windows Hypervisor Platformはどのような役割を果たしていますか？

Kris:

WHPはARM上でのSure Click実現を迅速に可能にした中核技術です。これは、我々のユーザーモードハイパーバイザーとハードウェアが提供する基本的な仮想化機能との間の抽象化レイヤーとして機能します。この抽象化により、厳しい納期の中で現実的でなかった、ARM向けの完全なハイパーバイザースタックのゼロからの構築を回避できました。さらにWHPは、ハイパーバイザーをユーザーモードアプリケーションとして実行することを本質的に可能にしており、この利点がシステム全体の安定性向上に寄与しています。

Alex:

これはお客様にとって、またARMにおける脅威封じ込めの将来にとってどのような意味を持つのでしょうか？

Kris:

今回のリリースは大きな前進です。お客様は、x86-64システムと同様の保護レベルを、ARM搭載PCにおいてもSure Clickから得られるようになりました。技術的な観点から、これは重要なマイルストーンです。我々のチームが持つ深いプラットフォームセキュリティの専門知識と、Microsoftとの強力なパートナーシップにより、パフォーマンスやユーザー体験を損なうことなく、最先端のセキュリティ技術を新たなアーキテクチャに導入できることを示しています。これを実現したHPとMicrosoftのエンジニアリングチーム、プロダクトマネジメントチームに感謝します。

今回の成果を誇りに思うと同時に、次の段階についても既に検討を進めています。Sure Access EnterpriseをARMプラットフォームに展開するにはさらなる取り組みが必要ですが、今回の取り組みは、その確かな第一歩となりました。

[1] HPの内部競合機能分析および2025年8月時点の公開仕様に基づき、HPはQualcomm Snapdragon/ARMベースのノートPCにおいて、エンドポイント上でローカルに動作するハードウェアによる仮想化ベースの脅威隔離機能を備えたソフトウェアソリューションを提供する、業界初の唯一のベンダーです。Windows 11以降を搭載したSnapdragonベースのHPノートPCが必要で、一部のHP PCに標準搭載されるか、ソフトウェアライセンスオプションとして購入可能です。

Author : Alex Holland

監訳：日本HP