NISTはNational Institute of Standards and Technology（米国国立標準技術研究所）の略称で、アメリカ合衆国商務省配下の機関です。アメリカ合衆国の技術革新や産業競争力を強化するために、経済保障を強化して生活の質を高めるように計測学、規格、産業技術を促進することを公式任務としています。 ITの分野では、ITセキュリティにのみ焦点を当てたNISTのサイバーセキュリティフレームワーク（CSF）の他、連邦情報処理標準（FIPS）や特別刊行物（NIST Special Publication / NIST SP）と呼ばれる勧告ガイドの発行も担当しています。

NIST SP-800シリーズの中に、PC（コンピュータ）のファームウェア（BIOS/UEFI）に関するセキュリティガイドラインとしてNIST SP 800-147、NIST SP 800-155(Draft)、NIST SP 800 193があります。

PC アーキテクチャ内で BIOS/UEFI がOSよりも高い特権を持っているため、悪意のあるソフトウェアによる BIOS /UEFIファームウェアの不正な変更は重大な脅威となります。 BIOS /UEFIにマルウェアが埋め込まれた場合、OSの中からは検出することも削除することもできないためマルウェアが永続化することになり、組織に対する巧妙な標的型攻撃の一部となる可能性があります。

NIST SP800-147

NIST SP 800-147は、2011年4月にリリースされました。BIOSの完全性と安全なアップデートメカニズムにより不正な変更（改ざん）を予防する方法を扱っています。

NIST SP 800-155(Draft)

NIST SP 800-155(Draft)は、ドラフト（草案）の位置づけです。信頼できるルートオブトラストを起点としてBIOSの完全性を測定するための基本的な要件や、BIOSの完全性測定と報告の典型的なデータ フローなど、BIOS の完全性測定の基礎について扱っています。

NIST SP 800-193

NIST SP 800-193は、2018年5月にリリースされました。このガイドラインでは、NIST SP 800-147で扱う予防とNIST SP 800-155(Draft) で扱う検知（完全性検証）に加え、復旧を扱っています。また、対象範囲をBIOSに加えて、ファームウェアと重要データ（設定情報等）を備えた他のデバイス（ネットワークコントローラー、管理プロセッサなど）に拡張しています。

NIST SP800-193は提供すべき機能のガイドラインのために、実装方法は各ベンダーに任されています。したがって実際の運用を考えると、上記の”予防”、”検知”、”復旧”の各機能を提供しているかどうかに加えて、以下のようなポイントの実装方法の違いにも目を配る必要があります。

ローカルリカバリーとネットワーク経由のリカバリー

“復旧”はローカルに保存したバックアップから復旧する場合とネットワーク経由で他のソースからダウンロードしたリカバリーイメージから復旧する場合がありますが、ほとんどの場合、ローカルリカバリー機能が最も適切で、最高レベルの顧客満足度を提供します。

自動リカバリーとマニュアルリカバリー

エンタープライズでの大規模攻撃の際には、迅速な復旧が可能なため自動リカバリーが適しています。マニュアルリカバリーの場合はプラットフォーム管理者が何かおかしなことが起こっているという情報をもらい、管理者が次にどのようなステップを実行するのかを決めるまで待つことになります。

 管理

ポリシーや設定を適切な管理、コントロールをすることは重要な考慮すべきポイントです。ポリシーと設定の管理はローカルとリモートのどちらで場合も考えられますが、エンタープライズでの運用の場合は、離れた場所からプラットフォームセキュリティの完全な管理ができることが理想的です。

イベントロギング

デバイスによりロギングされたイベントは一貫性を保証し、記録されたイベントが安全に復旧され伝送されることが可能な方法で記録されます。ファームウェアと復旧に関連したロギングは、フォレンジック分析や監査証跡の目的のために有効です。

※2022年10月時点で日本国内で販売されている製品および近年に販売された製品を対象としています。

• ビジネスノートPC

HP Elite Dragonfly , HP Elite Draonfly G2, HP Elite Draonfly G3

HP Elite x2 G4 , HP Elite x2 G8

HP Elite x360 1030 G4, HP Elite x360 1040 G7, HP Elite x360 1040 G8

HP EliteBook 830/850  G7, HP EliteBook 830/850  G8

HP EliteBook 840 Aero G8

HP ProBook 650 G5, HP ProBook 650 G8, HP EliteBook 630/640/650 G9

HP ProBook 635 Aero G7, HP ProBook 635 Aero G8

HP ProBook x360 435 G7, HP ProBook x360 435 G8

HP ProBook 430/450 G7, HP ProBook 430/450 G8, HP ProBook 430/450 G9

HP Pro x360 Fortis G9

• ビジネスデスクトップPC

HP EliteDesk G6 DM/SFF/TWR, HP EliteDesk G8 DM/SFF/TWR

HP EliteOne 800 G6 AiO, HP EliteOne 800 G8 AiO

HP Elite Mini/SFF/Tower 800 G9

HP Elite SFF 600 G9

HP Elite Slice G2

HP ProDesk 600 G6 SFF

HP ProOne 600 G6 AiO

HP ProDesk 405 G8 DM/SFF

HP Pro Mini/SFF/Tower 400 G9

HP ProOne 440 G9 AiO

• ワークステーション

HP ZBook Firefly G7, HP ZBook Firefly G8, HP ZBook Firefly G9

HP ZBook Studio G7, HP ZBook Studio G8,  HP ZBook Studio G9

HP ZBook Fury G8,  HP ZBook Fury G9

HP ZBook Power G9

HP Zcentral 4R

HP Z2 Mini G5, HP Z2 Mini G9

HP Z2 SFF/Tower G5, HP Z2 SFF/Tower G8, HP Z2 SFF/Tower G9

HP Z4 G4, HP Z6 G4, HP Z8 G4

• rPOS

HP MP9 G4

HP Engage Flex Pro / Pro-C

HP Engage Go

HP Engage One Pro

HP Engage Flex Mini

HP Engage Go 10

• シンクライアント

HP mt46

• ビジネスノートPC

HP ProBook x360 11 G5, HP ProBook x360 11 G7

• ビジネスデスクトップPC

HP ProDesk 400 G6 DM

HP ProDesk 405 G6 DM/SFF

HP ProDesk 400 G7 SFF/MT

• rPOS

HP Engage One

HP RP9

• シンクライアント

HP t430

HP t540

HP t640

HP t740

HP mt22

HP mt32

Author : 日本HP

本ブログで新しい記事が掲載された際にご指定のアドレスへメールが届きます。 お申込みフォームはこちら≫

エンドポイントのセキュリティ対策を強化し、組織や従業員を守ることができます。 HP Wolf Security詳細はこちら≫