続くパートの話者は、米Intelのセキュリティ・アーキテクトで、Trusted Computing Groupのインフラストラクチャーワーキンググループ議長を務めるネッド・スミス氏。同ワーキンググループが標準化を進めているいくつかの要素の中から、Integrity Management(保守管理)に関する、やや突っ込んだ解説が行われた。
|
|
|
米Intelのセキュリティ・アーキテクトで、Trusted Computing Groupのインフラストラクチャーワーキンググループ議長を務めるネッド・スミス氏 |
かなりピンポイントの解説だったため簡単な紹介にとどめるが、スミス氏はセキュリティの考え方として、ブラックリストによる手法は限界にきていると述べる。ブラックリストに載せるべきソフトウェア(マルウェアなど)が著しく増加し、対応できなくなってきているためだ。そこで、ホワイトリストによる方法……実行してもよいソフトウェアのみ実行を許す方法に切り替える必要があるとする。
Integrity Managementは、ホワイトリストによるシステムの保全を計る方法を提供する。具体的には、システムの安全な起動(Secure Boot)、システム保全スキャン(System Integrity Scan)、そして信頼されたネットワーク接続(Trusted Network Connect)という3つの要素から成り立っている。
|
|
SecureBoot。BootROM(BIOS)、HDDのブートブロック……とシステムは順にメモリにロードして実行していく。この時、それぞれのコンポーネントでTPMに保存されているリファレンスと比較照合して正しいコンポーネントと確認した後、実行を行う |
スライドはSecure Bootの例だが、システムが起動するまでに実行される各ソフトウェアモジュールがマルウェアなどに犯されている可能性もある。
そこで、モジュールを実行する前にMeasurementをTPMのPCRに報告する。TPM内部の不揮発性メモリにはリファレンスとなるMeasurementが保存されており、報告されたMeasurementと不揮発性メモリ内のリファレンスとを比較することで各モジュールが改ざんされていないことが確かめられる、というのがSecureBootだ。なお、ここでいうMeasurementも先と同様、ハッシュ値と考えて良いだろう。
さらに、改ざんされたアプリケーションの実行を防止するシステム保全スキャンや、信頼できるネットワーク接続を確保するTrusted Network Connectといった仕組みを用いることでホワイトリストによるシステムの保全が図れるというわけである。
スミス氏は最後にIntel TXTやTPMを用いたホワイトリストの管理例として、SignaCertが開発したシステムのデモンストレーションを行った。稼働しているサーバー上のソフトウェアの検証を行うというものだ。
|
|
SignaCertが開発したシステムのデモ。サーバー上で動作しているソフトウェア…例ではApache Tomcatのハッシュ値を確認、照合でき、正しいソフトウェアが動作しているかが分かる |
これまで、Intel TXT(LaGrande)やIntel VTは個別に語られることが多く、それぞれの関連性が見えない部分があったが、セキュリティという枠組みで整理されるとIntelの目指すセキュアコンピューティングの姿が、より明確に理解できる。だが、Intel TXTが万全に機能するためにはサードパーティの協力が欠かせない部分もある。もちろん、ユーザー側への浸透も図っていく必要があるだろう。Intel TXTはまだ立ち上がったばかりであり、今後の進展に注目していきたい。
