掲載日:2021/01/26

HP Security

ファームウェアの保護:Microsoft Secured-core PC と HP Sure Start

近年のファームウェアへの標的型攻撃の増加は、OSカーネルよりも特権レベルの高いファームウェアへの攻撃者の関心の高まりを示しています。今回はファームウェアへの保護を提供するMicrosoft社のイニシアティブMicrosoft Secured-Core PCとHPのHP Sure Startの位置づけを確認し比較を行います。

 

最初にMicorosoftのSecure-Core PCの定義とHPのSecure-Core PCへの対応と提供するサポートを見てみましょう。

 

Microsoft Secured-Core PCとは?

Microsoft社の提唱するノートPCを対象としたセキュリティブランドで、仮想化ベースのセキュリティ等の既存のセキュリティ機能に対して新しくファームウェアの保護を加えた包括的なセキュリティを提供します。

    • ファームウェア保護のための新機能である「セキュア起動」は、現在vProでのみサポートされています。
  • Secured-coreでは、必要とされるセキュリティ機能が工場出荷時にデフォルトでオンになっているということが要件となっています。
    • 注:お客様がセキュアコアPCにOSを再インストールすると、この設定値は削除されます。
    •  
HP Supported secured-core feature 図1.HPがサポートしているSecured-coreの機能

 

次に、同様にファームウェアの保護を提供するHP Sure Startと比べてみましょう。HP Sure StartはHP Endpoint Security Controllerというセキュリティチップに基づくHP独自のファームウェア保護/自己回復の機能です。

 

HP Sure Startプラットフォームとの比較

Secured-core PCのほとんどの機能は、現在および過去のHP Sure Startプラットフォームの機能の一部です。

  • HP Sure Startは「セキュア起動」以上のファームウェア保護機能を提供します。
    • Intel vPro、非Intel vPro、AMD、およびデスクトップでサポートされています。
    • オープンシャーシを含むDMA攻撃からのより包括的な保護。
    • NIST SP800-193ファームウェアレジリエンスガイドラインを満たすプラットフォームファームウェアレジリエンスの対象範囲の拡大。(UEFI BIOS以外のファームウェアもサポート)
  • HP Sure Startは第三者機関による認証を受けた独自のハードウェア(HP Endpoint Security Controller)を使用してCPUを起動する前にHP UEFI BIOSを含むシステムフラッシュ全体を検証して問題があった場合はそれを自動修復します。
HP Sure Startが保護するシステムフラッシュ 図2.HP Sure Startが保護するシステムフラッシュ

 

Microsoft Secured-core PCは業界横断のイニシアティブでファームウェアの保護を提供するものです。一方HP Sure StartはHP独自のセキュリティチップに基づいたセキュリティ機能で、AMDを含めたIntel vPro対応以外のCPUを搭載するビジネスPCにもMicrosoft Secured-core PCと同様のファームウェア保護機能を提供しています。

 

関連記事