Surface のセキュリティに関する概要
サイバー脅威が進化するにつれて、それらに対処するための戦略も進化する必要があります。 Microsoft Surfaceでは、ハードウェアからクラウド サービス、製品の概念から使用停止まで、あらゆるレベルで高度なセキュリティ機能を既定で埋め込むことで、新たな脅威に対処するためのプロアクティブな "ゼロ トラスト" アプローチを採用しています。Surface デバイスは、ライフサイクル全体を通じて安全性、適応性、回復性が高いままになります。
チップからクラウドへのセキュリティは、Surface 戦略の中心です。 強力なWindows 11セキュリティ機能を既定で有効にして、強力なプラットフォーム保護を提供します。 AI 対応の将来に向けて移行するにつれて、Surface は、組み込みの保護の基盤を使用して、組織がハードウェア、OS、データ、アプリ、ID のセキュリティ体制を強化するのに役立ちます。
セキュリティで保護された Surface サプライ チェーン
Surface デバイスが "設計によってセキュリティで保護され、既定でセキュリティで保護され、デプロイでセキュリティで保護されている" ことを保証するために、Microsoft は製品ライフサイクル全体にわたって厳格なセキュリティ制御を適用します。 これらのコントロールは、物理ハードウェアコンポーネントとソフトウェアコンポーネントの両方をカバーします。 Surface デバイスは、概念から始まり、設計、開発、生産、配送、メンテナンスを通じて厳格なセキュリティ レビューを受けます。 これらの包括的なセキュリティ レビューでは、デバイス ライフサイクル全体を通じてシームレスな信頼チェーンがサポートされます。
製造レベルでは、ランサムウェア、フィッシング、マルウェアなどの潜在的な脅威を防ぐために、定期的なサプライヤー監査を実施しています。 さらに、Surface デバイスは、 テロリズムに対する税関貿易パートナーシップ (C-TPAT) と 輸送資産保護協会 (TAPA) のセキュリティ プログラムの恩恵を受けています。これにより、世界の貿易をさらに保護し、世界中の Surface デバイスを出荷するための安全な物流がサポートされます。
ソフトウェアの場合、Microsoft は セキュリティで保護された開発ライフサイクル (SDL) を開発し、このフレームワークをすべての製品に適用して、 米国行政命令 14028 (「国家のサイバーセキュリティの向上」) などの変化する脅威の状況と規制の要求に積極的に適応しました。さらに、Microsoft とそのサプライヤーは、ソフトウェア コンポーネントにデジタル署名し、通信にセキュリティで保護されたチャネルとプロトコルを使用し、Surface デバイスにタイムリーかつ定期的な更新を提供して、潜在的な問題に対処する必要があります。 最後に、Surface UEFI 開発パートナーは、Microsoft のオープンソース Project Mu と連携して、すべての Surface デバイスに完全 に Microsoft 所有の統合拡張ファームウェア インターフェイス (UEFI) スタック を提供します。これにより、Microsoft 以外のファームウェア プロバイダーへの依存が減り、デバイスの最も機密性の低いレベルの透明性と保護が提供されます。
ハードウェア設計とファームウェア開発の両方を所有することで、Microsoft はサプライ チェーンのリスクを最小限に抑え、潜在的な脆弱性に対する迅速な対応を可能にします。 これらのプロアクティブなプラクティスにより、Surface デバイスはデジタルと物理的なサプライ チェーンのセキュリティの両方に関する最高の基準を満たすように設計されています。 この統合された社内アプローチにより、工場を離れる前に Surface デバイスのセキュリティが強化されます。
Microsoft は、& 構築されたコンポーネントを設計しました
Microsoft は、あらゆる作業環境で包括的な制御、プロアクティブな保護、安心を提供するために、Surface デバイスを設計および保守しています。 Surface デバイスには、高度な攻撃からユーザーを保護し、デバイス管理を簡素化するための Microsoft の主要なセキュリティ機能が搭載されています。
Surface の組み込みのセキュリティ
電源ボタンを押した瞬間からデバイスをシャットダウンするまで、Surface はライフサイクルのあらゆる段階で最先端の組み込みセキュリティを提供します。
Windows 11をすぐに実行するすべての Surface デバイスは、トラステッド プラットフォーム モジュール (TPM) 2.0 を使用します。これにより、さまざまなセキュリティで保護された操作に対する暗号化キーの改ざんと管理を防ぎ、プラットフォームの整合性を確保できます。 TPM は 、ハードウェア ベースのセキュリティ境界を作成し、デバイスが信頼された状態で起動することを保証する専用モジュールであるハードウェアの信頼のルートをサポートします。 TPM と信頼のルートは、統合された暗号化とセキュリティで保護された操作のセキュリティで保護されたアンカーとして機能し、BitLocker、仮想化ベースのセキュリティ (VBS)、メモリ整合性/HVCI、Windows Hello for Businessの拡張 Sign-In セキュリティ (ESS)、およびその他のセキュリティで保護された操作のセキュリティ基盤を確立します。
VBS と HVCI によって提供される仮想化と整合性チェックを通じて、デバイスのカーネルは、 セキュリティで保護されたカーネルのオペレーティング システムとは別にホストされます。つまり、オペレーティング システムが侵害された場合でも、カーネルは保護されます。 さらに 、カーネル DMA 保護 は、メモリへの不正なアクセスを取得する外部周辺機器に対してカーネルをセキュリティで保護することで、ダイレクト メモリ アクセス (DMA) ドライブバイ攻撃からデバイス メモリを保護するのに役立ちます。
電源オン時のデバイスの起動の整合性をサポートするために、Secure Boot はデバイスの信頼のルートを使用して、未承認のファームウェアが起動時に実行されないようにします。 Microsoft ビルドの UEFI と TPM 2.0 で有効にすると、OS が読み込まれる前に、承認されたファームウェアのみが確実に実行されます。 このファームウェアは、Microsoft、その独立系ハードウェア ベンダー (IHV)、または承認済みのオープン ソース リポジトリから発信され、デバイスへの転送とプロビジョニング中に変更されないようにする必要があります。 このプロセスにより、ブート シーケンスの各段階でファームウェアの整合性が保護されます。電源ボタンを押すから OS を起動する場合までです。 System Guardセキュア起動の一環として、Surface デバイスは動的信頼ルート測定 (DRTM) またはファームウェア攻撃 Surface リダクション (FASR)1 を使用してブートアップを保護します。これは、ブート プロセスの整合性を確保し、ファームウェア レベルの攻撃から保護するように設計されたハードウェア ベースの信頼ルートを確立します。
これらの既定のセキュリティ機能の多くは、ハードウェア、ファームウェア、仮想化を統合して、マルウェア、物理的な所有の問題 (紛失や盗難など) やアクセス攻撃など、さまざまな脅威からデバイスを保護する セキュア コア PC (SCPC) の基盤を形成しています。 SCPC は、デバイスが侵害された場合でもデータを保護するのに役立ちます。
2021 年後半以降、Windows 11実行されているすべての Surface デバイスは Secured-Core PC であり、最高レベルの保護が有効になっています。 次のセキュリティ機能は、すべての SCPC Surface デバイスで既定で有効になっている機能のサブセットです。
機能 | Description | 詳細情報 |
---|---|---|
トラステッド プラットフォーム モジュール (TPM) 2.0 | システム ドライブのロック解除、ディスク暗号化、ブート プロセスの測定、生体認証などの機能の暗号化キーを改ざんを防ぎ、生成および管理するセキュリティ メカニズムを提供することで、プラットフォームの整合性を確保する安全な暗号化プロセッサ。 | トラステッド プラットフォーム モジュール技術概要 |
信頼のハードウェア ルート | デバイスの TPM と root-of-trust 測定機能を適用してファームウェアの脆弱性を軽減することで、信頼されたブート状態を確立するのに役立ちます。 ハードウェアベースのセキュリティ境界を作成し、OS からシステム メモリを分離して重要なサービスと機密データを OS の脆弱性から保護し、構成証明を通じてシステムの整合性をサポートします。 | ハードウェアの root-of-trust |
BitLocker | 紛失、盗難、または不十分な使用停止デバイスからのデータの盗難やデータの漏えいの脅威に対処するための暗号化を提供します。 有効にすると、デバイスが未承認の手に落ちた場合でも、BitLocker はデータにアクセスできないようにします。 | BitLocker の概要 |
仮想化ベースのセキュリティ (VBS) | ハードウェア仮想化を使用して、セキュリティで保護されたメモリ領域を作成し、通常のオペレーティング システムから分離します。 Windows では、この "仮想セキュリティ モード" を使用して多数のセキュリティ ソリューションをホストし、OS の潜在的な脆弱性や悪用からセキュリティで保護された操作を保護できます。 | 仮想化ベースのセキュリティ (VBS) |
メモリ整合性 ハイパーバイザー強制コード整合性 (HVCI) とも呼ばれます。 |
オペレーティング システムの高い特権領域であるカーネルのコード整合性を維持するのに役立ちます。 実行前にすべてのカーネル モード ドライバーとバイナリがチェックされ、署名されていないドライバーまたはシステム ファイルがメモリに読み込まれるのをブロックします。 分離された環境内で動作し、カーネル署名ポリシーに従ってカーネル コードの整合性を検証します。 | コードの整合性に対する仮想化ベースの保護を有効にする |
拡張 Sign-In セキュリティ (ESS) | 認証に生体認証の分離およびセキュリティで保護された通信に VBS と TPM 2.0 を使用して、生体認証パスワードレス サインインでWindows Helloを有効にします。 | Windows Hello 強化されたサインイン セキュリティ |
Windows Hello for Business | エンタープライズ ID に関連付けられているセキュリティで保護された生体認証 (ESS) または PIN とデバイス固有の資格情報に基づいて、2 要素認証を使用してパスワードレス サインインを許可します。 この認証方法により、セキュリティが強化され、ユーザーの利便性が向上します。 | Windows Hello for Business のしくみ |
セキュリティで保護されたカーネル | 仮想化された環境内で動作し、すべてのコード整合性ポリシー チェックが合格することを確認することで、Windows OS から保護します。 潜在的な OS の脆弱性からのカーネル保護のために分離された環境に VBS と HVCI を使用します。 | セキュリティで保護されたカーネル |
カーネル DMA 保護 | 外部周辺機器がメモリに不正にアクセスできないように保護します。 ドライブバイ DMA 攻撃から保護するのに役立ちます。 | カーネル DMA 保護 |
Microsoft ビルド UEFI | デバイスを構成し、Microsoft と Surface が共同で開発した OS を起動するファームウェア。 ファームウェア ランタイム サービスを提供し、Microsoft Intuneを使用すると、クラウドベースまたはオンプレミスの管理によるハードウェアの制御が大幅に向上します。 |
Surface UEFI: 業界をリードするセキュリティで保護された PC を構築するためのブート、セキュリティ & デバイス管理の進化 Surface UEFI の設定の管理 |
セキュア ブート | 次のブート ステージに渡す前に、ブート ソフトウェアの各部分の署名を確認することで、信頼されたソフトウェアのみをデバイスが起動するようにします。 このプロセスでは、UEFI、ブートローダー、カーネル、およびアプリケーション環境の間で署名によって強制されるハンドオフを確立し、ブート シーケンス内のマルウェア攻撃やその他の潜在的な脅威をブロックします。 | セキュア ブート |
動的信頼ルート測定 (DRTM) | システムの整合性をサポートするために、実行時に動的に確立された信頼のハードウェア ルートの既知および測定されたコード パスを CPU に強制的にダウンさせることにより、信頼されていないデバイスから信頼された状態に起動します。 | Windows 10でのセキュア起動によってファームウェア コードの測定と構成証明を強制する |
ファームウェア攻撃面の縮小 (FASR) | ファームウェア環境で実行可能コードを制限することで、潜在的な攻撃に対するファームウェアの露出を最小限に抑える認定ブート パスを確立します。 | ファームウェア攻撃面の縮小 (FASR) |
Surface の商用セキュリティ上の利点
リモート管理
IT 管理者は、Surface デバイスをリモートで管理できます。 Intuneと Windows Autopilot を備えた管理センター Microsoft Intune、Azure Cloud から Surface デバイスの完全なリモート管理を可能にし、起動時に完全に構成されたデバイスをユーザーに提供します。 ワイプ機能と廃止機能を使用すると、IT は新しいリモート ユーザーのデバイスをすばやく再利用したり、盗まれたデバイスをワイプしたりできます。 これらの機能により、迅速かつ安全な応答が可能になり、会社のすべてのデータをリモートで削除し、まったく新しいデバイスとして Surface を再構成できます。
Microsoft Intuneの一環として、デバイス ファームウェア構成インターフェイス (DFCI) は、ハードウェアのリモート無効化や UEFI 設定のロックなど、ファームウェア設定のクラウドベースの管理を可能にします。 同様の方法として、Surface Enterprise Management Mode (SEMM) は、organization内のファームウェア設定をセキュリティで保護および管理するためのもう 1 つの管理ソリューションです。
応答性の高いセキュリティ
急速に進化するデジタル時代において、迅速かつ積極的に対応する能力が最も重要です。 Microsoft Defender for Endpointは、高度な脅威に対する AI 主導のリアルタイム保護を提供し、機密データと通信を保護します。 組織は、ファームウェアと OS アプリケーションの両方の Microsoft が管理するスタックを使用することで、Windows Update for Business の機能を活用できます。 このサービスは、最新のセキュリティ保護を使用してシステムを最新の状態に保ち、既に委託されたデバイスの IT 管理を可能にします。
機能 | Description | 詳細情報 |
---|---|---|
Microsoft Intune | 組織がユーザー アクセス、アプリ、デバイスを管理し、企業リソースへの安全なアクセスを確保するのに役立つクラウドベースのエンドポイント管理ソリューション。 デバイスコンプライアンスの適用、防御サービスとの統合、ID とアプリデータの保護により、ゼロ トラストセキュリティ モデルをサポートします。 | id を安全に管理し、アプリを管理し、デバイスを管理するMicrosoft Intune |
Windows Autopilot | クラウド ベースのセットアップと新しいデバイスの事前構成を有効にして、生産性の高い使用を準備し、IT 管理者への負担を最小限に抑えます。 また、Windows デバイスのライフサイクルを簡略化するために、デバイスのリセット、再利用、または回復にも使用できます。 | Windows Autopilot の概要 |
デバイス ファームウェア構成インターフェイス (DFCI) | Windows Autopilot に登録され、Microsoft Intune経由で管理されているデバイスで UEFI 設定をリモートで管理できます。 これにより、ファームウェア設定のリモート 制御、ハードウェア コンポーネントの無効化、デバイスのセキュリティ強化のために承認された構成の強制が可能になります。 | Surface デバイス上の DFCI の管理 |
Surface エンタープライズ管理モード (SEMM) | オンプレミス、ハイブリッド、クラウド環境全体で UEFI ファームウェア設定を一元的にエンタープライズ管理できるようにします。 IT 管理者が UEFI 構成設定を準備し、Surface デバイスにインストールできるようにします。 | Surface Enterprise 管理モードの概要 |
Microsoft Defender for Endpoint | 高度な脅威を検出、防止、対応するエンタープライズ レベルのセキュリティ プラットフォーム。 マネージド Surface デバイスに堅牢な AI 主導のエンドポイント セキュリティを提供します。 | Microsoft Defender for Endpoint |
Windows Update for Business | IT 管理者は、これらのシステムを Windows Update サービスに直接接続することで、最新のセキュリティ更新プログラムと Windows 機能を使用して、organizationの Windows クライアント デバイスを常に最新の状態に保つことができます。 | Windows Update for Business とは? |
セキュリティのスケーリング
脅威の状況が進むにつれて、Surface は一部のデバイスでより多くのセキュリティ機能を採用し始めます。 これらの機能は、Surface 製品のポートフォリオ全体でまだ統合されていませんが、今後数年間で異なる製品ライン間でスケーリングされています。 製品固有のセキュリティ機能を次に示します。
機能 | Description | 詳細情報 |
---|---|---|
メモリ安全性の拡張 | プログラミング言語 Rust は、従来の C コードと比較して脆弱性の最大 70% を削減できる特定のメモリ安全性保証を保証します。 Surface ソフトウェアとファームウェア内のターゲット コンポーネントは Rust に変換され、UEFI スタックと Mcu ユニット (MCU) スタックの一部から始まり、Rust ドライバー開発用のドライバー フレームワークが作成されています。 |
Project Mu を使用した UEFI 開発の Rust サポート オープンソース Rust ドライバー開発プラットフォーム |
Microsoft Pluton セキュリティ プロセッサ | Microsoft Pluton セキュリティ プロセッサは、デバイス コアのセキュリティのために CPU に組み込まれているセキュリティで保護された暗号化プロセッサです。 | Microsoft Pluton セキュリティ プロセッサ |
Microsoft Pluton TPM | Microsoft Pluton では、機密情報と暗号化キーを保護するための信頼のシリコン ルートに対して TPM 2.0 がサポートされています。 また、Windows Updatesを使用したセキュリティ強化のインジェストもサポートしています。 | 信頼されたプラットフォーム モジュールとしての Microsoft Pluton |
Copilot+ PC | デバイス内の人工知能 (AI) のエクスペリエンスと操作を促進する組み込みのニューラル処理ユニット (NPU) を備えた PC。 | Surface から Copilot+ PC と Windows 11 PC の詳細を確認する |
これらのセキュリティ機能は拡張されますが、より多くの Surface デバイスが既定で製品に統合されます。 たとえば、デバイス内で人工知能 (AI) のエクスペリエンスと操作を高速化するニューラル処理ユニット (NPU) が組み込まれた新しい Windows PC である Copilot+ PC には、このページで説明されている Surface セキュリティ機能の完全なスイートに加えて、既定で有効になっている Microsoft Pluton プロセッサが含まれています。
参考資料
FASR 機能は、Intel が設計した Surface 製品専用です。 FASR は、Qualcomm (QC) または AMD プロセッサを使用して設計された Surface 製品には適用されません。