2023.06.30
サイバー攻撃が激しさを増す中、パソコン内部のBIOS、ファームウェアにまで攻撃が及ぶケースも増えています。セキュリティの専門家から、「OSだけを守っていればいい時代は終わった」という声があがるようになりました。OSより下層の保護も考慮しなければならない時代となっているのです。特にBIOSの設定を不正な変更から保護することもより重要になりました。HPビジネスPCでは、HP Connect for Intuneを利用して、BIOS設定の保護や管理を簡単に行うことができます。HP Connect for Intuneにはどんな機能があり、どのようにファームウェア攻撃に対抗していくのかをご紹介します。
サイバー攻撃は激しさを増しています。被害も大きくなり、「会計データへのアクセスができなくなり、決算発表の時期を変更する」、「社内システムへのアクセスができなくなったので、通常業務が行えない」など、企業活動そのものに影響するような被害が増えています。
こうした被害の背景に、パソコンのファームウェアへの攻撃があります。パソコンのファームウェアへの攻撃に成功すると、BIOSやUEFIなどパソコンの基本動作を制御するソフトウェアに不正アクセスし、悪意のあるコードを埋め込み、パソコン内の情報を盗む、操作を妨害することなどが可能となります。しかも、ファームウェアへの攻撃は、通常のセキュリティソフトで検知、防御することは困難です。ファームウェア攻撃に成功し、パソコンに入り込んでしまえば、攻撃者は永続的にパソコン内部に侵入したままでいられます。
マイクロソフトが2021年に発表したレポート「Security Signals」では、過去2年間にファームウェア攻撃を経験した企業が80%に上るという衝撃的な数値を明らかにしています。ほとんどの企業のパソコンは、気がつかないうちにファームウェア攻撃を受けていることになります。
特に新型コロナウイルスが発生して以降、パソコンをオフィスの外に持ち出し、作業をする機会が増えました。テレワークをはじめ、社外での業務を行うことは当たり前になりました。
コロナ禍が一段落し、オフィスに戻って仕事をする企業も増えていますが、利便性、効率性を考えると、「オフィスの外でパソコンを使って業務をする」ことは一過性のものではなく、業務効率をあげるため定着したと考えるべきでしょう。
こうした環境の変化もあって、マイクロソフトもWindows 11でファームウェア攻撃を防ぐ対策を搭載しています。Windows 11 には、主なセキュリティ強化として「コア分離」「セキュリティ プロセッサ」「セキュア ブート」などに対応しました。ファームウェアへの攻撃にも対応した仕様となっています。しかし、これらのセキュリティ機能はBIOSの設定に依存しているため、BIOSの設定を変更されるだけで簡単に無効化されてしまいます。BIOSを守るという観点からすると十分とはいえません。
Windows 11が登場するずっと以前からファームウェア攻撃対策を含め、パソコン本体をサイバー攻撃から守る脅威対策を徹底していたメーカーがあります。それがHPです。
HPは、Windows 11登場前からOSの上層、OS内部、さらにはOSの下層までパソコンを攻撃から守るトータルなセキュリティ対策を提供してきました。特に今回アピールしたいのは、ファームウェア攻撃への対策となる、HP Connect for Intuneです。Microsoft Endpoint Manager(Intune)と連携して動作し、HPビジネスPCのUEFI BIOSの管理を容易にするように設計された、無償で利用可能なクラウド対応アプリケーションになります。
利用できるのは、HP Pro 400シリーズ以上のHPビジネスPCのみです。HPビジネスPCと他社製パソコンが混在している企業の場合では、HP Connect for Intuneが利用できるのはHPビジネスPCのみとなります。また、Microsoft Endpoint Manager(Intune)を利用していることも必須となります。
具体的にどんなことができるかですが、HP Connect for Intuneは安全で保護されたHPクラウド環境からMicrosoft Endpoint Managerのデバイスグループに公開するBIOS管理ポリシーを作成するためのフレームワークを提供します。クラウドベースの管理コンソールからIT管理者が作成したポリシーパッケージを、Microsoft Endpoint Manager(MEM)Intuneの標準のコンプライアンスプロセス(Intuneの「プロアクティブな修復」の機能)として展開します。
デバイスへの適用は、作成したポリシーを組織のMicrosoft Azureテナントのデバイスグループ(MEM Intuneのデバイスグループ)に割り当てる事でおこないます。各デバイスにソフトウェアをダウンロードまたはインストールする必要はありません。
機能としては、「BIOSの更新機能。常に最新、クリティカルバージョンのみ、特定のバージョンの更新規則をサポートする」、「BIOSの設定機能。プラットフォームごとの設定項目をサポートする」、「BIOSの認証機能。HP Sure Adminまたはパスワードの認証設定を行う」があります。
株式会社日本HP グローバルサービス・ソリューション本部 技術部 部長 鈴木 学
日本HPの鈴木氏は次のように指摘します。
「詳しい方からすると、同じことがMicrosoft Intuneのデバイス ファームウェア構成インターフェイス (DFCI) を使ってもできるのではないか?と思われるかもしれません。単純に機能だけを比較するとそう思われるかもしれませんが、HP Connect for Intuneでは設定をGUIで行うことができます。これは最大のメリットで、作業を効率的に行うことができるのです。実際に設定作業をしたことがある人にとっては、作業が大幅に楽になると感じてもらえるのではないでしょうか」
クリックして拡大表示
直感的でわかりやすいHP Connect for Intuneのダッシュボード
GUI以外にもDFCIと比較すると細かな機能の違いを実感することができるといいます。HPではホワイトペーパーを発行し、詳細な違いを紹介しています。
クリックして拡大表示
「比較してみると、DFCIに比べ設定できる項目が多いことを実感してもらえると思います。これだけ多くの設定ができるのは、自社開発したBIOSに特化したツールだからです。例えば、セキュリティ関連では、セキュアブート、仮想化技術、TPMデバイスを有効にするポリシーを設定してファームウェア攻撃に対抗するセキュリティ機能が有効になっていることを担保することができます。また、機種ごとのBIOS設定テンプレートを使用することもできるため、特定のポートを無効にするといった柔軟な制御が可能です」
クリックして拡大表示
HP Connect for Intuneの設定項目画面。英語対応のみだが、ブラウザの日本語変換機能が適用できる。
これだけ設定できる項目が豊富なのは、HPがBIOSを自社開発していることに起因します。
HP BIOS専用の管理ツールとしてHP Connect for Intuneは産まれました。その後、機種ごとの
BIOS設定テンプレートを使用できるように、特定のデバイス用BIOS設定なども機能に加えていったことで、豊富な管理機能が揃いました。
DFCIと比較すると設定できる項目数が約8倍と圧倒的に多く、さらにGUIで設定することができるので、細かな企業ポリシーに則って運用を行いたいと考える企業にとって、HP Connect for Intuneは最適なソフトなのです。
サイバー攻撃からパソコンを守るための基本は、パッチや修正プログラムを適用し、脆弱性を解消することです。実際に大きな被害が起こった企業のシステムを見ると、本来は適用しなければならないパッチ、修正プログラムが適用されていない状態で運用していることが多いようです。
しかし、ハイブリッドワークを実施する中で、社外にあるパソコン全てに修正プログラムを適用し、各種設定を行っていくことは容易ではありません。
そんな時に大きな力を発揮するのがHP Connect for Intuneです。Intuneと一緒に利用することで、Intuneの「プロアクティブな修復」の機能を利用し、デバイスのBIOSが最新かどうかのチェック後、BIOSおよびシステムファームウェアを最新のものに更新します。BIOSとシステムファームウェアの更新を自動化していくことができるのです。万が一、マルウェアなど悪意あるプログラムに感染した場合や破壊された場合でも、元の状態に戻す機能も提供しています。
株式会社日本HP ソリューションビジネス推進部 サービススペシャリスト 千葉 直樹
実はそもそもDFCIにはファームウェアをケアする機能がありません。ファームウェアをケアすることを考えているのであれば、HP Connect for Intuneは最適なソリューションです。
さらに、企業のシステム管理者にとってのメリットを、日本HPの千葉氏は次のように説明します。
「Windowsアップデートを、ユーザー側の都合で行うことができます。最近はWindowsアップデートもだいぶこなれてきているので、以前に比べトラブルも減ってはいますが、自分たちのタイミングでアップデートを行いたいと考える企業さんもあります。自分たちのタイミング、ポリシーに則ってアップデートができます。Windowsアップデートがかかるより早く、パッチファイルを当てることも可能になるのです」
システム管理者の意向にあったアップデートを行うことができる点がHP Connect for Intuneの大きなメリットとなります。自社のポリシーに則って管理することを考えている企業にとって最適です。
セキュリティの専門家から見たHP Connect for Intuneは、「ほぼ欠点がないソリューションといえる。あえて欠点をあげるとしたら、利用できるのがHPビジネスPCに限られていること」という評価の声があがりました。HP Connect for IntuneはHPビジネスPCでのみ利用できるので、他社のパソコンと混在している環境では、自動アップデートやファームウェアのケアができるものとできないものといったばらつきが出てしまいます。自動アップデートを行い、ファームウェアのケアを行うことを考えている企業であれば、全パソコンをHPビジネスPCに統一し、サイバー攻撃被害から守る体制を作ることを考えてはどうでしょうか?
※このコンテンツには日本HPの公式見解を示さないものが一部含まれます。また、日本HPのサポート範囲に含まれない内容や、日本HPが推奨する使い方ではないケースが含まれている可能性があります。また、コンテンツ中の固有名詞は、一般に各社の商標または登録商標ですが、必ずしも「™」や「®」といった商標表示が付記されていません。
ハイブリッドなワークプレイス向けに設計された Windows 11 Pro は、さらに効率的、シームレス、安全に働くために必要なビジネス機能と管理機能があります。HPのビジネスPCに搭載しているHP独自機能はWindows 11で強化された機能を補完し、利便性と生産性を高めます。