Windows PCの役割とテクノロジーへの信頼は、私たちのデバイスが仕事や生活の中で接続され、生産性を維持する上で、これまで以上に重要なものとなっています。 Windows 10は、エッジからクラウド、そしてハードウェアに至るまで、エンドツーエンドのセキュリティで保護された、これまでで最も安全なWindowsのバージョンです。
クラウドで提供される保護機能やWindows OSへのAIの進化により、攻撃者にとってますます困難で高価なものになっている一方で、攻撃者は急速に進化しており、新たなターゲット、つまり現在は侵入のために到達したり監視したりすることができないハードウェアとソフトウェアの間の継ぎ目に移動しています。
本日、マイクロソフトは、最大のシリコンパートナーとともに、Windowsセキュリティの新しいビジョンを発表します。これは、現在および将来のユーザーを確実に保護するためのものです。 AMD、Intel、Qualcomm Technologies, Inc.の大手シリコンパートナーと共同で、Microsoft Plutonセキュリティプロセッサを発表します。 このチップ・トゥ・クラウドのセキュリティ技術は、XboxやAzure Sphereで先駆的に採用されたもので、将来のWindows PCにさらなるセキュリティの向上をもたらし、エコシステムやOEMパートナーとの旅の始まりを告げるものです。
将来のWindows PCに対する私たちのビジョンは、CPUに組み込まれたコア部分でのセキュリティであり、ハードウェアとソフトウェアは、攻撃のベクトル全体を排除するように設計された統一されたアプローチで緊密に統合されています。
Pluton design redefines Windows security at the CPU
今日、ほとんどのPCのOSセキュリティの心臓部は、TPM (Trusted Platform Module)と呼ばれるCPUとは別のチップに組み込まれています。 TPMは、システムの整合性を検証するための鍵や測定値を安全に保存するために使用されるハードウェアコンポーネントです。 TPMは10年以上前からWindowsでサポートされており、Windows HelloやBitLockerなど多くの重要な技術を支えています。 TPMが重要なセキュリティタスクを実行するのに有効であることから、攻撃者は、特にPCを盗んだり、一時的に物理的なアクセス権を得たりする状況下で、TPMを攻撃する方法を革新し始めています。 これらの巧妙な攻撃手法は、CPUとTPMの間の通信チャネル(通常はバスインターフェース)を標的としています。
Plutonの設計では、CPUに直接セキュリティを組み込むことで、この通信チャネルが攻撃される可能性を排除しています。 Plutonアーキテクチャを採用したWindows PCは、まず、既存のTPMの仕様とAPIで動作するTPMをエミュレートします。これにより、ユーザーは、BitLockerやSystem GuardなどのTPMに依存するWindows機能のセキュリティ強化の恩恵をすぐに受けることができます。 Plutonを搭載したWindowsデバイスは、Plutonセキュリティプロセッサを使用して、認証情報、ユーザーのアイデンティティ、暗号化キー、および個人データを保護します。
これは、暗号化キーのような機密データをシステムの他の部分から分離されたPlutonプロセッサ内に安全に保存することで実現されており、投機的実行のような新しい攻撃技術がキーマテリアルにアクセスできないようにするのに役立っています。 また、独自のSHACK(Secure Hardware Cryptography Key)技術により、暗号鍵が保護されたハードウェアの外に、たとえPlutonのファームウェア自身であっても決して露出しないようにし、Windowsユーザーにこれまでにないレベルのセキュリティを提供しています。
Pluton セキュリティ プロセッサは、Project Cerberus (プロジェクト ケルベロス) など、マイクロソフトがコミュニティと協力して行ってきた作業を補完するもので、ケルベロスによって証明される CPU の安全なアイデンティティを提供することで、プラットフォーム全体のセキュリティを強化しています。 今日、お客様はセキュリティファームウェアのアップデートを様々な異なるソースから受け取りますが、その管理は困難であり、その結果、パッチ適用の問題が広範囲に及ぶことになります。 Plutonは、マイクロソフトがオーサリング、メンテナンス、アップデートを行うエンド・ツー・エンドのセキュリティ機能を実装したファームウェアを実行するための、柔軟でアップデート可能なプラットフォームを提供します。
マイクロソフトのOSセキュリティの向上、セキュアコアPCやAzure Sphereなどのイノベーション、シリコンパートナーによるハードウェアイノベーションの融合により、マイクロソフトはWindows PC、Azureクラウド、Azureインテリジェントエッジデバイスを対象に、高度な攻撃から保護する機能を提供します。
パートナーとの連携によるチップ・ツー・クラウド・セキュリティの強化
PCが成功したのは、OS、シリコン、OEMパートナーが連携してイノベーションを行い、困難な問題を解決するという、非常に活気のあるエコシステムがあったからです。 このことは、10年以上前にTPMの導入に成功したことで証明されています。TPMは、広く利用可能な最初のハードウェアの信頼性の根源です。 それ以来、マイクロソフトとパートナーは、最新のOSとシリコンの技術革新を最大限に活用して、セキュリティにおける最も困難な問題を解決する次世代のセキュリティ技術を共同で開発し続けています。
マイクロソフトの Pluton デザイン テクノロジーには、ハードウェアのルート オブ トラスト対応デバイスを何億台もの PC に提供してきた経験から得られたすべての教訓が組み込まれています。 Plutonデザインは、マイクロソフトがAMDと提携して2013年に発売したXbox OneコンソールのハードウェアとOSの統合セキュリティ機能の一部として導入され、Azure Sphereにも搭載されています。
初期のPlutonデザインの効果により、私たちはハードウェアを使ってさまざまな物理的攻撃を緩和する方法について多くを学びました。 今、私たちはここから学んだことを活かして、将来のWindows PCにさらに多くのセキュリティ革新をもたらすために、チップからクラウドへのセキュリティビジョンを実現しています(詳細はMicrosoft BlueHatでの講演で)。 Azure Sphereは同様のセキュリティアプローチを活用し、「安全性の高いデバイスの7つの特性」を満たす最初のIoT製品となりました。
共有されたPluton root-of-trustテクノロジーは、関係各社のセキュリティに関する専門知識と技術を活用することで、Windows PCのエコシステム全体の健全性とセキュリティを最大化します。
「AMDでは、セキュリティは最優先事項であり、最も巧妙な攻撃からユーザーを守るのに役立つ機能をサポートするために、ハードウェア・セキュリティ・プラットフォーム設計の最前線にいることを誇りに思っています。 その警戒の一環として、AMDとマイクロソフトは密接に提携し、Xbox Oneコンソールを皮切りに、現在はPCにおいてもプロセッサベースのセキュリティソリューションを開発し、継続的に改善しています。 当社はセキュリティを念頭に置いて製品を設計・構築しており、マイクロソフトのPlutonテクノロジーをチップレベルに導入することで、当社のプロセッサーのすでに強固なセキュリティ機能を強化することができます” と述べています。 – AMD、製品セキュリティ部門責任者、ジェイソン・トーマス
「インテルは、Windows PCプラットフォームのセキュリティを向上させるために、マイクロソフトとの提携を続けています。 Microsoft Plutonを今後のインテル製CPUに導入することで、インテル製ハードウェアとWindows OSとの統合がさらに可能になります。” – マイク・ノードクィスト氏、Sr. Microsoft Plutonを将来のIntel CPUに導入することで、IntelハードウェアとWindowsオペレーティングシステムの統合がさらに進みます。 Microsoft PlutonのようなオンダイのハードウェアベースのRoot-of-Trustは、さまざまなユースケースとそれを実現するデバイスのセキュリティを確保するための重要な要素であると考えています」と述べています。 – Qualcomm Technologies, Inc.のプロダクトマネジメント担当シニアディレクタ、Asaf Shen氏
Plutonのようなセキュリティを内蔵したプロセッサは、コンピューティングハードウェアの未来であると考えています。
コミュニティとの連携により、マイクロソフトは継続的に技術革新を行い、あらゆるレイヤーでセキュリティを強化しています。
コミュニティとの共同作業は、マイクロソフトが継続的に技術革新を行い、すべての層でセキュリティを強化するために役立ちます。