発表自体は2020年11月中旬に行われたものだが、PCの世界では重要なトピックの1つなので「Microsoft Pluton」について改めてまとめておきたい。
Plutonプロセッサとはどのようなものか
Plutonは、PCにハードウェアレベルでのセキュリティ機能を提供する専用プロセッサであり、実質的に既存のTPM(Trusted Platform Module)を置き換えるものとなる。TPM自体は2006年以降に出荷されたPCに広く搭載されたハードウェアだが、これは同年11月に発売された「Windows Vista」の前身となる「Longhorn(開発コード名)」向けにTPMの開発が進められていたことに由来する。
TPMの活用範囲は広く、最も有名なものはBitLockerの機能だが、この他にもUEFIと連動してのブートプロセスの管理やWindows Defenderで提供される各種の保護機能、認証サービス(Windows HelloやAzure ADなど)の安全性向上といった機能に加え、DRMに代表されるコンテンツ保護機能などにも活用される。ある意味で今日のPCにおけるセキュリティ機能の根幹部分となっており、対応するアプリケーションも多い。
だが、提供開始から10年以上が経過し、TPMにもいろいろと問題が出てきた。詳細は米MicrosoftでエンタープライズとOSセキュリティ担当ディレクターのデビッド・ウェストン氏がBlogで解説している。TPMとCPU間の通信経路を物理的にハッキングする攻撃などが登場し、TPMの保護機能が必ずしも有効化されないケースが報告されるようになってきた。
TPMとCPUのチップが、PCのマザーボード上に個別に実装されていることが理由の1つだが、Plutonではこの問題を解決すべく、CPU内に直接セキュアプロセッサの機能と包含してしまう方法を採用しており、提供にあたってAMD、Intel、QualcommといったPC向けプロセッサを提供するベンダーとの共同リリースという形を採っている。
PlutonそのものはTPMの仕様に準拠しているため、既存のアプリケーションを含むOSやPCの各種セキュリティ機能はそのまま利用できる。この他、PlutonではSHACK(Secure Hardware Cryptography Key)という技術を採用しており、“鍵”情報そのものがPluton外に出ることがない特徴もあるとMicrosoftでは説明している。
推測ではあるが、“鍵”はPluton内で保管される一方で、外部からの有効性チェックのリクエストにのみ反応して外部露出を一切させず、ゆえに“鍵”が漏えいすることもないという流れなのだと考える。
もう1点重要なのは、CPUに包含されたPlutonプロセッサはメインCPU上で動作するOSとは独立動作する一方で、Microsoftが提供する専用のファームウェアが導入されている点だ。
TPMを含む、こういったメインOSから独立したサブシステムの動作において問題になることに、アップデート対応が挙げられる。OSを含む今日のモダンなソフトウェアにおいて、定期的なアップデートはゼロデイ攻撃への対処のためにも不可欠なものとなりつつあるが、これらのサブシステムでは統一されたアップデート手段がなく、対策面でどうしても時間的なラグが発生してしまう。
PlutonではWindows Updateと連動しており、少なくともWindows環境においてはアップデートによるシステムセキュリティの完全性が保証される。Microsoftでは「Chip to Cloud Security」などの名称で呼んでいる。それ以外のOS対応については特に触れられていないが、おそらくサブシステムの動作における仕様そのものはクローズドではなく、Linuxなどについても順次対応が行われるとみられる。
関連記事
同様のアーキテクチャはMacが先行
Plutonのバックグラウンドについて、もう少しだけ掘り下げたい。前述のBlogの解説にもあるように、Plutonが採用したメインとなるSoCに機能の一部としてセキュリティ専用プロセッサに取り込むアイデアは、2013年にリリースされた「Xbox One」までさかのぼる。このゲーム機のSoCはAMD製だが、Microsoftのゲーム機向けにカスタマイズしたSoCをリリースするにあたって、独自のセキュリティ機構を取り込んだというわけだ。
英国のテクノロジージャーナリストであるメアリー・ブランスクーム氏が自身のツイートでXbox Oneのブロックダイアグラムを紹介しているが、Plutonの名称こそないものの、アーキテクチャそのものはほぼ同じだと分かる。次が2018年に発表されたMicrosoftのIoT向けセキュリティ「Azure Sphere」で、2020年にようやく同社のメインフィールドであるPCの世界へと到達したことになる。
AnandTechが触れているが、PC向けのカテゴリーではMacが「Pluton型アーキテクチャ」で若干先行している可能性がある。
2020年11月10日に発表され、同月17日に製品の出荷がスタートした「M1搭載Macシリーズ」だが、ここで採用された「Apple M1」プロセッサでは、いわゆる「Secure Enclave」の仕組みがSoC内に標準搭載されており、これが実質的にPlutonと同様の役割を果たす。
SoC内にセキュリティ機能を実装する試みは、スマートフォン向けのプロセッサではごく標準的なものとなっており、Appleも同社のAプロセッサをはじめ、QualcommもSnapdragonなどで既に実装を進めている。Appleでは同社のMac製品向けに「Apple T1」「Apple T2」などのセキュリティプロセッサを独自で装備していたが、これはIntel系システムではプロセッサの中身まではいじれないため、Apple M1の登場をもって初めて同社製PCのカテゴリーでのSoCへの標準搭載を実現した形となる。
そうなると、次に問題となるのは「いつPlutonを搭載したPC(プロセッサ)の出荷が始まるのか」という点だが、現時点で「おそらく2021年内に登場する可能性が高い」という予測しかない。
下記はWalking Catが引用している資料だが、少なくとも企業向けの「Windows 10 Pro」におけるセキュリティ機能の目玉の1つがPlutonであり(スライドでは「Sabre」という開発コード名になっている)、予告されている以上、遠からず登場すると考えていいのだろう。
2021年のWindows 10は、大幅なUIリフレッシュを伴う「Sun Valley」登場が年の後半に予定されているが、ハードウェアの進展含めていろいろと取り上げるべきトピックは多そうだ。
関連記事
関連リンク
からの記事と詳細 ( セキュリティプロセッサ「Pluton」と2021年のWindows PC:Windowsフロントライン(1/2 ページ) - - ITmedia )
https://ift.tt/3tJLIqz
科学&テクノロジー
No comments:
Post a Comment