0. はじめに
これまでのvProレビューでは、仮想化による利便性を向上(Intel VT)とソフトウェア、システムが攻撃された場合の安全性(Intel TXT)、管理の効率化(Inel AMT)を目標にした機能を紹介してきました。
これら機能はマシンが物理的には同じ場所でネットに接続されている状態を想定しています。しかしながら、マシンに対する攻撃はネットワークに関するものだけではありません。
その代表格が物理的な盗難・紛失です。ウィルスなどのニュースとならんで、情報漏えいの代表的要因のひとつが盗難、紛失である現状、対策を考慮しなければならないのは明白です。
1.アンチセフトテクノロジーとは
インテルの説明は下記のとおりです。
インテル® アンチセフト・テクノロジー (インテル® AT) は、紛失 / 盗難時にもノートブック PC を安全かつセキュアに保護します。インテル® AT は、インテル® AT に対応したサービス・プロバイダーからサービスに加入する必要があります。
セキュリティ会社のサービスとアンチセフトテクノロジーを組み合わせることで紛失、盗難を防ぐことができるということです。
盗難防止ソフトウェアはいくつもあるかと思いますが、アンチセフトテクノロジーはソフトウェアだけでは提供できない下記の機能を実現できます。
1. 一定の間隔でサーバーにネットワーク経由の連絡がない場合、システムをロックする。
2. "poison pill"と呼ばれる信号を送ることで、OSを起動しないようにロックする。
3. 3G通信モジュールが内蔵されている場合、SMSによってシステムをロックする。
OS上のソフトではなく、マザーボード上のチップによって実現するため、盗難時も安全にPCを保護することができます。
ロックされた状態だとパスワードを入れるまで立ち上げてもシャットダウンするため、操作できないということです。つまりPCがただの文鎮と化すため、売却目的の盗難には効果てきめんです。
データ保護に関しても、ドライブの暗号化などと組み合わせると効果が高いのではないかと思われます。
2.対応サービス
1で説明した通り、サーバーから停止指令をおくるため、そのサーバーを提供してくれるセキュリティ会社のサービスが必要になります。
サービスなしでも使わせて欲しいとも一瞬思いますが、個人のサーバーが停止指令が出せると悪用されかねないので、合理的です。
現状インテルアンチセフトテクノロジーに対応するソフトウェアは下記のとおりのようです。マカフィーは現在インテルに買収されたため、インテルのサービスと統合されています。
Absolute Software †
Winmagic Data Security †
ノートン・アンチセフト †
PC Theft Defense †
インテル® アンチセフト・サービス
ワンビのTRUSTDELETE AT
3.まとめ
・インテル アンチセフトテクノロジーはセキュリティサーバーとの通信により、マシン盗難時のシステムロックを行う機能である。
・利用には対応マザーボード、CPUに加え、対応サービスが必要である。
アンチセフトによるシステムロック
1.はじめに
アンチセフトテクノロジーは対応サービスを利用することが必要だとわかりました。
今回の検証では、最初ノートンアンチセフトを利用しようと思ったのですが、うまくアクティブ化できなかったため、インテルアンチセフト(マカフィー提供)を利用して検証しました。
これまでの検証ではXenClientとWindowsServer2012を使ったのですが、ノートンがサーバーOSに対応していないため、Windows8 Proをインストールしました。マカフィーの対応状況はわかりません。
2.ノートン アンチセフト
まずは失敗したノートンアンチセフトです。詳しくは同チームの愛生さんがレビューしてくれているので、詰まった画面だけ紹介します。
ノートンアンチセフトのインストールが完了すると、下図のような画面になります。
ここでインテル アンチセフトに対応していると、マシン名の横にアンチセフトマークとアクティブ状況が表示されます。下の写真はアクティブ化できていません。黒塗りのところはデバイスの現在地が表示されます。
”アクティブ化されていません”というテキストをクリックすると、アクティブ化画面になります。
ここでパスワードを設定して、アクティブ化を試したところ、下の画面になりました。
このまま進むかと思ったのですが、1時間待っても進まないので、チームメンバーの方のコメントを参考にIntel MEドライバを最新のものに変更しました。
それでもだめで、再インストール、再起動などをやりましたが、どうあがいてもアクティブ化できませんでした。
3.インテル アンチセフト
ノートンはなぜかダメだったので、次にチーム内で使われたもう一つのソフトであるインテル アンチセフトサービスを試しました。
時間もなかったので、概要のみになります。詳細は他メンバーのものをご参考ください。
インテル アンチセフトサービスはIntel Antitheft discovery appから90日体験版が使えるので、それを利用しました。
インストールが完了すると下記のように保護の確認がはじまります。1から数分で完了します。
完了するとマカフィーの管理画面にアクセスできるようになります。
ここでは解答編で紹介した定期的なサーバーとの通信の間隔などが設定できます。
デフォルトは21日連絡がない場合ロックになります。最短が1日となっています。
レビュー締切なので1日待つことができないため、自動ロックの検証はあきらめます。
自動ロック以外にある機能として"poison pill"の送信によるロックがありましたが、それは管理画面のトップから操作できます。
今回やらないステルスモードは、こちらが見ているのを気取られずにPCの軌跡を追跡するもののようです。
ノートPCなら簡単に検証できたかもしれません。
今回はデバイスをロックするというのを試しました。ロックしたあと、しばらく普通に使えたので再起動したところ、起動しなくなりました。この時の画面はディスプレイの問題で確認できませんでした。
この後、管理画面からロック解除したあとも下の画面がでてOSまでたどり着きません。
(今回ディスプレイにこの画面がうまく映らなかったため、Intel AMTをつかっています。これによりAMTは生きているということもわかりました。)
上の画面で1を選択するとパスワード入力を求められます。
パスワードを入力すると通常通りPCが起動されます。
起動後、一回サーバーと同期するまでは画面に盗難された恐れがある旨が表示され、同期すると通常状態に戻ります。
4.まとめ
今回は検証としてノートンアンチセフト、インテルアンチセフトを試しました。アクティブ化に関してはうまくいかないときがあることが他メンバーの検証からもわかり、今回ノートンはうまくいきませんでした。この辺の条件についてインテルからもう少し詳しい情報が必要と思われます。
ロック画面になると、BIOSにすらたどり着けないので実際かなり強固な保護がかかると実感できました。
また、対応OSがソフトによってはクライアントOSだけなので、サーバーが強奪されるような状況には対応していないと考えられます。
導入検討に肝心なサービスの価格は3000円前後といったところのようです。携帯電話の補償サービスに近い感覚でしょうか。もっとも、ATがあるからといって端末が戻ってくるかは不明なので、データ流出保護が必要な企業ユーザーがメインになるかと思います。
ZIGSOWにログインするとコメントやこのアイテムを持っているユーザー全員に質問できます。