HPビジネスPCには多彩なセキュリティ機能が搭載されています。”Step by Step　HPビジネスPCのセキュリティを使ってみよう"シリーズでは、毎回1つのセキュリティ機能を取り上げ、設定方法や利用手順をStep by Stepで解説し、セキュリティ機能を実際に使っていただくことを支援いたします。

今回は重要なプロセスを保護するHP Sure Run の利用方法について解説します。

HP Sure RunをサポートするHP ビジネス PC は、Windows にエージェントをインストールし、OS の実行中にポリシー適用ハードウェアとの通信を維持する機能を備え、ハードウェア強制アプリケーションの永続性を提供します。HP Sure Run は、既存の HP Endpoint Security Controller ハードウェアをベースとして、オ ペレーティングシステムの望ましい状態を継続的に維持します。これには、常に実行する必要があるアプリケ ーション、特定の状態に留まるべきポリシー設定、または常に存在しなければならない特定の機能が含まれます。 

HP Endpoint Security Controller は、起動時および実行時に PC のファームウェアを保護するためのHP Sure Start が動作するために構成されるハードウェアコンポーネントです。HP Sure Run は、このような （HP Sure Start のような）保護機能を OS の中に拡張しており、最も重要なプロセスやア プリケーション（Windows セキュリティセンターなど）を保護し、マルウェアがシャットダウンしようとする と自動的に再起動させます。OS 自体の HP Sure Run エージェントが攻撃された場合、HP Endpoint Security Controllerはこの状態を検出し、設定されたポリシーアクションを実行します。

HP Sure Run は、脅威を検出したり、設定やアプリケーションを修復したりすると、Windows アクションセンターでユーザーと管理者に警告します。これらのアラートは、プロセスが一時停止または終了したこと、ストレ ージドライブ上でプロセスファイルが削除されたこと、重要なレジストリ設定が変更されたことなどをカバーします。

HP Sure Run は、第 8 世代以降の Intel®または AMD®プロセッサーを搭載した HP Elite 製品にて無償でご利用いただけます。

HP Sure Run には、HP Endpoint Security Controllerによってプラットフォームのハードウェアに 格納されているポリシーを強制適用するための OS エージェントが含まれています。 HP Sure Run エージェントのコピーも、HP Endpoint Security Controller によってプラットフォームハードウェアに格納されていて、ファームウェアによって自動的にオペレーティングシステムに直接インストールすることができます。

HP Sure Run エージェントは、HP Endpoint Security Controllerハードウェアとの安全な通信リンクを持っています。このリンクは、ポリシーパッケージを取得し、ステータスを HP Endpoint Security Controllerに通知するために使用されます。

HP Sure Run エージェントは、監視するように構成されたアプリケーション、プロセス、ポリシー設定、および OS 機能を監視します。保護される項目は、HP セキュリティ製品、HP プロセス、サードパーティ製プロセス、および Windows OS プロセスの 4 つの主要カテゴリに分類されます。Windows セキュリティセンターは、HP Sure Run で保護された重要なアプリケーションの優れた例です。

HP Sure Run エージェントは、クリティカルなサービスやアプリケーションを再起動するか、ポリシーに違反 していると思われるアイテムのポリシー設定を復元するアクションも実行できます。HP Sure Run は、マルウェアによる改ざんを防止するために、独立した HP Endpoint Security Controllerのメモリに保存されているポリシーに基づいて実行します。

HP Sure Run はデフォルトでは有効になっていません。 HP Sure Run によって監視される特定のアプリケーション、ポリシー、および機能の有効化と設定は、HP出荷イメージにあらかじめインストールされている HP Client Security Manager ソフトウェアを使用して、ユーザーまたは IT 管理者がローカルで設定できます。カスタムOSイメージの場合は、HPドライバーサイトよりHP Client Security Managerおよび HP Sure Run を入手してインストールして設定します。

以下にHP Sure Runの設定手順を説明します。

管理者ユーザーでサインイン後、スタートメニューより、HP Client Security Manager (HP CSM)を起動します。

Windows ユーザーごとに初めてHP CSMを起動すると初回のみセットアップウィザードが表示されます。Windowsアカウントのパスワード入力し、[次へ]をクリックします。

「Windowsパスワードを忘れた場合・・・」(HP SpareKey設定)および「指紋で本人確認を行います」(指紋認証の設定)は今回は利用しませんのでそれぞれ[スキップ]をクリックします。

HP Sure Runの画面が表示されます。[有効化]をクリックします。

「[HP Sure Run]を設定するためのPINを作成」の部分が表示されます。任意の4桁以上のPINを入力して設定します。

「注：復元オプション（例：このPCをリセットする）・・・」の確認画面が表示されますので[OK]をクリックします。

HP Sure Recoverの画面が表示されます。ここでは設定しませんので[スキップ]をクリックします。

セキュリティ機能の画面が表示されます。今回はHP CSMの認証機能は利用しませんので[Windows

ログオンのセキュリティを有効にする]のチェックを外して、[次へ]をクリックします。

セットアップの確認の画面が表示されます。[完了]をクリックして、初回ウィザードを終了します。

再起動の確認画面が表示されます。[再起動]をクリックして端末を再起動します。

Windows起動の前に、Secure Platform Managementの画面が表示されます。先に設定したHP Sure Runの設定変更を確認するものです。表示されたランダムな4桁の数字を入力してEnterすると設定完了となり、Windowsが起動します。ここで表示されるランダムな4桁の数字は、HP Sure Run設定画面で入力した任意のPIN数字とは全く関係はありません。

あらためて同じ管理者ユーザーでサインイン後、スタートメニューより、HP Client Security Manager (HP CSM)を起動します。今回は初回ウィザードではなく、HP Client Securityのダッシュボード画面が表示されます。

ダッシュボード画面より[HP Sure Run]アイコンをクリックします。HP Sure Runの設定画面が表示されます。

カテゴリの選択にて、保護したいプロセスや製品にチェックを入れるなどの変更が可能です。設定変更した場合は、最後に[送信]をクリックします。「[HP Sure Run]を構成するためのPINを入力」の画面が表示されます。ウィザードにて設定したPINを入力して[送信]をクリックします。

「変更が有効になるまで、最長90秒お待ちください。」の画面が表示されます。[OK]をクリックして、しばらく待機します。時間経過後、HP Sure Runの設定画面にて変更内容が反映されていることを確認します。

これで設定は終了です。HP Sure Run設定画面あるいは HP Client Security Manager 画面は閉じても構いません。

以上にてHP Sure Run の設定ができました。

いかがでしたでしょうか。ぜひHP Sure RunをセキュアなPC環境実現の一助として活用ください。

Author:日本HP