第3世代インテル® Core&trade i7 プロセッサー

5人1組のチーム制、合計30人がレビュー！

zigsowでは、インテル^® vPro™ テクノロジーによる5つの機能を「5つの謎」に置き換えて、5人1組のチーム制で解き進む「冒険レビュー」を実施。「解読のストーリー」は、レビューアーに選出された30名をランダムに組み合わせて5人1組全6チームに編成し、テーマとして伝達された「謎＝機能」を制限時間内で実験・検証を行うレビューです。各チームが行う実験・検証のプロセスを記したレビュー（冒険記）は自由に閲覧することができるので、インテル^® vPro™ テクノロジーに対応したプロセッサーを最大限有効に使いたい時には最適です。

5人１組チームレビューの詳しい企画内容はコチラ！

第3世代インテル® Core&trade i7 プロセッサー

インテル^® Core™ i7-3770 プロセッサー 4つのコアを内蔵したクアッド・コアモデルで1つのコアで2スレッドを処理する「ハイパースレッディング・テクノロジー」をサポート、最大8スレッドの同時処理に対応している。また、最新規格「PCI Express Generation 3.0」のサポートで高性能動画変換処理が可能。「ターボ・ブースト・テクノロジー2.0」では負荷に応じてプロセッサーのクロック周波数を引き上げるほか、GPUコアのクロック周波数を引き上げる「ダイナミック・フリークエンシー」などもサポートしている。

インテル® デスクトップ・ボード DQ77MK

インテル^® デスクトップ・ボード DQ77MK 「Q77 Express Chipset」を搭載。Display Port/Dual DVIを備え、GPUを内蔵したプロセッサーを使用してのデュアル・ディスプレイ化が可能。LGA1155ソケット対応の高性能プロセッサーをチョイスできるほか、Micro ATXを活かしたコンパクトな筐体を選べば比較的場所を取らないマシンを組み上げられる。メモリは最大32GBまで対応。

インテル^® vPro™ テクノロジー第五の謎

「インテル® アイデンティティー・プロテクション・テクノロジー」とは！？

ヒロ妨さんのレビュー

第五の謎

「インテル® アイデンティティー・プロテクション・テクノロジー」とは！？

チームG 代表レビュー

TEAM G MEMBER

「インテル® アイデンティティー・プロテクション・テクノロジー」とは！？

ネット上での本人確認が、簡単確実に行え、尚且つオンライン資産を保護するテクノロジーです。

インテル® アイデンティティー・プロテクション・テクノロジー（インテル® IPT）とは

企業内のネットワークにインターネットから接続するVPNを利用する場合、セキュリティを高めるため、1回限りしか利用できないワンタイムパスワードなどを利用することが多いです。

又、機密性の高い文書やメールを暗号化/復号したり、機密文書やメールに電子署名したりするためにも、セキュリティの高いワンタイムパスワードを利用することがありました。

ワンタイムパスワードの生成には、トークンIDを記録したハードウェアキーを必要とするので、多くの場合は、専用のUSBデバイスが利用されていましたが、専用のデバイスを利用するのはコストもかかるし、利用する手順が面倒でした。

そこで、ワンタイムパスワードの生成機能をプロセッサ側に組み込んでしまおうというモノが、

「インテル® アイデンティティー・プロテクション・テクノロジー」です。

PC のファームウェアに格納されている秘密鍵を使用することで、よりセキュアな方法でユーザー承認を行うことができます。

以下、インテルHPより引用させて頂きました。

http://www.intel.co.jp/content/www/jp/ja/architecture-and-technology/identity-protection/identity-protection-technology-general.html

インテル® アイデンティティー・プロテクション・テクノロジーの仕組み

OTP 対応インテル® IPT

インテル® IPT は、Web サイトやネットワークのアクセスポイントを保護する機能に加え、暗号化に対応した I/O テクノロジーとしてプロテクテッド・トランザクション・ディスプレイもサポートしています。プロテクテッド・トランザクション・ディスプレイは、OTP または PKI に対応したインテル® IPT と連動して動作します。ユーザーの存在確認、トランザクションの検証、さらには資格情報を発行する前にも安全な PIN 入力を行えるようにすることで、マルウェアによるスクレイピングから PC の表示内容を保護します。

プロテクテッド・トランザクション・ディスプレイを備えたインテル® IPT によって入力の保護とユーザーの存在確認が行われる仕組み >

PKI 対応インテル® IPT

インテル® IPT が、アクセスポイントの保護に使用している、もう 1 つの方法は公開鍵基盤 (PKI:Public Key Infrastructure) です。すでに PKI を使用してアクセスポイントを保護している企業では、インテル® IPT を併用することでさらなるメリットが生まれます。インテル® IPT では、OTP の資格証明情報と同様に、PKI 証明書もチップセットに内蔵されます。ハードウェア・レベルの強力なセキュリティーを提供するインテル IPT によって、企業は従来のスマートカードやトークンストレージのための追加コストを削減できます。

PKI 対応インテル® IPT によってマルウェアからの保護が強化される仕組み >

プロテクテッド・トランザクション・ディスプレイ

インテル® IPT は、Web サイトやネットワークのアクセスポイントを保護する機能に加え、暗号化に対応した I/O テクノロジーとしてプロテクテッド・トランザクション・ディスプレイもサポートしています。プロテクテッド・トランザクション・ディスプレイは、OTP または PKI に対応したインテル® IPT と連動して動作します。ユーザーの存在確認、トランザクションの検証、さらには資格情報を発行する前にも安全な PIN 入力を行えるようにすることで、マルウェアによるスクレイピングから PC の表示内容を保護します。

プロテクテッド・トランザクション・ディスプレイを備えたインテル® IPT によって入力の保護とユーザーの存在確認が行われる仕組み >

チームメンバー（hideさん）作の漫画解説を、引用させて頂きました。

インテル^® vPro™ テクノロジー　実施・検証レビュー

結論からゆうと、インテル® IPT対応認証システムが、日本国内利用者向けには、あまり普及していませんでした。

実施検証編

現在私が利用している、ネットバンキングでは、以前からセキュリティー関係は良かったと思っていますので、紹介します。

ジャパンネット銀行

http://www.japannetbank.co.jp/security/security/otp.html

こちらは、以前からトークンによるワンタイムパスワード方式を採用していました。

セキュリティー的には完璧に近い状態だと思いますが、

いかんせん、コンパクト軽量のトークンですが、いちいち携帯していないと、いけません。

三菱東京UFJ銀行

http://direct.bk.mufg.jp/secure/index.html

以前は、契約番号、ダイレクトバンキング専用パスワード（ダイレクトパスワード）やインターネットバンキング専用パスワード（IBログインパスワード）に加えて、「契約カード」を使い、毎回異なった「確認番号」を入力することで、本人確認を行っていましたが、最近では登録した、Eメールアドレスに通知される、使い捨てのパスワード（6桁の数字）の入力が求められるようになっています。

上記の様なセキュリティ対策を、プロセッサ側に組み込んでしまおうというモノが、「インテル® アイデンティティー・プロテクション・テクノロジー」ですので、早速検証してみます。

プログラムのインストール

インテルIPT　のプログラムを使用するには、ドライバーディスクの Software　フォルダーの中の　Applications　フォルダーの中の　Intel_IPT_Installer　フォルダー　内

の　Setup_Intel_IPT_1.1.2.0.exe　を実行します。

インストール完了しましたが、アイコンが出来るわけでもなく、本当にインストール出来たか不安ですので、コントロールパネルのプログラムのアンインストール欄を見て確認しまた。

インテル® IPTを使用する為の要件は、次の3つの条件を満たす必要があります。

１インテル® IPTに対応している第2世代インテル® Core™ プロセッサー・ファミリー搭載PC以上を使用する。

２アクセス対象のWebサイト、VPN、またはSaaSアプリケーションが、サービスに対応している必要があります。（サービスは、SymantecまたはVascoなどによって提供されています。）

３この形式のセキュリティーはオプションサービスとして提供されるため、ユーザーは、アカウントの認証にPCを関連付けることを能動的に選択する必要があります。

ここで、ワンタイムトークンを利用したサービスを利用出来るのは、シマンテックなどのセキュリティー会社のサービスを採用している、ネットバンキング、通販企業のHPをアクセスする場合であり、インテルIPTは単体では機能するわけでは無いので、シマンテックのサービスが使われているサイトでの利用が、現実的です。

VIP　ACCESSの利用可能なサイト

https://idprotect.verisign.co.jp/wheretouse.html

シマンテックのHPのベリサインのVIP　ACCESS　のページへ行ってプログラムをダウンロードし使ってみます。

https://idprotect.verisign.co.jp/

インストールが完了しましたので、早速トークンを表示させてみます。

30秒後に、パスワードが変更になっています。

ここまでは、Windows 8 タブレット（AMD C60搭載）にての確認ですが、一応使えています。

尚、詳細の使い方は、シマンテックの導入方法のページ参照お願いします。

http://www.symantec.com/connect/sites/default/files/video_uploads/IPT%20and%20Symantec%20VIP.mov

それでは、トークン起動し、実際のサイト覗いてみます。

zigsowをみてみましたが、非対応サイトだと、変化ないです。

対応サイトの、 PayPalを選択してみました。

やはり、対応サイトだとトークンの表示が変わりました。

これで、セキュリティは完璧で、簡単にログイン出来るようになると思いす。

ここで、もう一つ、グラウドストレージサービスのサイトに登録してみます。

BAZA ONLINE

http://www.baza.jp/

http://blog.baza.jp/2012/07/20/%E3%82%A4%E3%83%B3%E3%83%86%E3%83%AB%C2%AE-ipt%E3%80%80%E3%80%80symantec%E2%84%A2-vip%E3%81%AB%E3%82%88%E3%82%8B%E3%80%8C%E4%BA%8C%E8%A6%81%E7%B4%A0%E8%AA%8D%E8%A8%BC%E3%80%8D/

ここも、インテルIPT対応サイトのようです。

Windows 8 タブレットと、VPro機での検証結果

まずは、BAZA CLOUD側で設定します。

設定方法
管理者権限を持つIDでBAZA CLOUDにログインし、
右上メニューの「ツール」→「管理コンソール」→「ユーザ」で対象ユーザを選択し「変更」。
変更箇所の下段にある「VIP Credential ID」に、VIP Access トークンの「トークン
ID（12桁）」を入力し「保存」します。
※一度、ログアウトして、再度ログインする際にID/PW入力後にOTP入力画面
が表示されます。
以上で設定は完了です。

管理者権限を持つIDでBAZA CLOUDにログイン

右上メニューの「ツール」→「管理コンソール」→「ユーザ」で対象ユーザを選択し「変更」

変更箇所の下段にある「VIP Credential ID」に、VIP Access トークンの「トークン
ID（12桁）」を入力し「保存」します

一度、ログアウトして、再度ログインする為にBAZAのサイトに行き通常通りのログインします。

ここからはIPT対応と非対応では違うはずですので、比較してみます。

Windows 8タブレットPC

ログインを選択するとOPT入力画面に切り替わります。

二要素認証の形になりますが、OTPを手動入力しなければ、ダメでした。

二要素認証で無事、ログイン出来ました。

インテルIPT対応VPro機

非VPro機でも、此処までは出来ましたが、どう変わるか楽しみです。

それでは、早速みてみましよう。

あれ～？？？？？

インテルIPT使用の自動ログインが、出来ませんでした。

チームメンバーのhideさんの情報によれば、

「PayPalの日本のアカウントは、VIP　ACCESS　に対応していない・・・（アカウントがアメリカの方だけだそうです<(_ _)>・・・PayPalさんにおたずねしました）」

とゆうことで、もしかしたらBAZAさんも、同じではないかと、

サポートに問い合わせしたところ、

以下のような回答がありました。

「自動ログインの機能はOTP認証サービスおよびVIP Access トークンの
提供元である日本ベリサイン社（米国シマンテック社）の事情により
弊社サービスでは実装を外しております。
先方の事情については弊社からの回答は困難となりますので、その旨
ご了承お願い致します。」

ガーン、上記の理由により、自動ログイン機能の検証が、出来ませんでした、誠に申し訳ございません。

上記VIP　ACCESSの利用可能なサイト、NHN Japan、NC JAPAN、サミーネットワークス覗いてみましたが、やはりIPT自動ログイン出来るサイトはありませんでした。

もはや私が知る限りでは、日本国内でのアカウントにて、自動ログイン出来る、サイト等が見つけられませんでした。(;^ω^)

外国語のサイトでしたら、あるんですが、私はどうも外国語が苦手で、躊躇してしまいました。

二要素認証は、非VPro機でも可能ですし、ゲームアカウントに付いても、トークンをスマホ等にインストールし、スマホの画面見ながら、OTPを入力する形でのログインとなりますので、同じでしたので、わざわざVPro機導入の意味が？？？です。

ここで、気をとりなおして、他の機能の検証してみます。

インテルマネージメント・エンジン(インテルME)でのワンタイムパスワード作成

スクリーンキャプチャー技術を悪用したマルウェアに対しても防御に対しての技術として、OS上でパスワード（6桁の数値）を作らないと言う事があげられます。

OSで作らずにインテルマネージメント・エンジン(インテルME)上で作って、直接モニターに出す事で、OS上で動いて画面をキャプチャーするソフトウエアーにキャプチャーさせない様にしているのです。

インテルAMTの検証時に分かったことですが、
リモートアクセスソフト　VNC Free Edition Viewer for Windows　を起動した時、

6桁のパスワードを要求されました。（設定で、パスすることも出来ます。）

この6桁の数値、VPro機のデスクトップに表示されているユーザー同意コードの6桁の数値を入れれば良かったのですが、
離れた場所にある、VPro機のデスクトップを、見れない場合どうしょうもないですが、これがプロテクションです。

この６桁の数値は、WinShotで、画面キャプチャーが出来ないので、仕方なくカメラで
撮影しました。

何故かとゆうと、この数値はOS上の何らかのソフトウエアーで描画しているわけでは無く、インテルMEで直に作っているので、OS上で動いているWinShotで、キャプチャーが出来なかったわけです。

この機能が　スクリーンキャプチャーを悪用したマルウエアーを防止するために必要な技術です。

最近この機能を利用し、キーロガーを防止するためにソフトウエアーキーボードを採用している企業が多くなりましたが、キャプチャーするマルウエアーを使って、パスワードを盗み出す輩がいるので、こうやって防止しているようです。

また、数値もマウスの位置情報から数値を起こしており、直接数値変換しているわけでは無いので、数値の入力のデーターを抜き取ることも困難なシステムになっているようです。

まえでの三菱東京UFJ銀行さんのとこにも、同じような機能が追加されていました。

こちらの機能は

実際のサイト上でのパスワード入力欄

キャプチャーするとパスワードの欄がOS上で作っていないのでキャプチャー出来ない仕様になっています。

まとめ

　

ここまで、検証してきましたが、Web決済を行うには有効なシステムですが、インテルIPTシステムはVProの中でも最も新しい技術で、搭載されているパソコンが少ないのが現状の問題点です。

現在でもVPro対応機しか搭載されておらず、現状はベリサイン社などでは、ソフトウエアートークンなどを併用せざるを得ない現状で、インテルサイドでハードウエアーに必ず搭載して、個人認証を守ると言った舵取りを取る必要があると思います。

インテル® IPT対応認証システムが、日本国内利用者向けには、あまり普及していませんでした

TEAM REVIEW
5人1組のチームで計30人がレビュー

インテル^® vPro™ テクノロジー
その他の謎

第一の謎

「インテル® バーチャライゼーション・テクノロジー」とは！？
第二の謎

「インテル® トラステッド・エグゼキューション・テクノロジー」とは！？
第三の謎

「インテル® アクティブ・マネジメント・テクノロジー」とは！？
第四の謎

「インテル® アンチセフト・テクノロジー」とは！？

≫レビュー公開ページ

Intel Product Review