Surface のセキュリティに関する概要

  • [アーティクル]
  • 適用対象:
    Windows 10, Windows 11

セキュリティ調査の最近の進歩により、OS と接続されたサービスにさらに保護が組み込まれているので、攻撃者は、ファームウェアがトップ ターゲットとして出現する他の悪用手段を探していることを示しています。

現在、デバイス ファームウェアの管理は一貫性のないエクスペリエンスであり、多くの場合、サード パーティのプロバイダーがファームウェアを監視するのが困難であり、保守が複雑になっています。 最終的には、これにより、ハードウェア製造元が脅威に対応してタイムリーな更新プログラムを検出してプッシュする機能が制限される可能性があります。

Microsoft Surface では、ハードウェア設計の完全なエンドツーエンドの所有権、社内ファームウェア開発、デバイスの更新と管理に対する包括的なアプローチを通じて、2015 年からファームウェア保護とデバイス セキュリティに統合されたアプローチを使用してきました。

Surface の場合、統合拡張ファームウェア インターフェイス (UEFI) は社内で維持され、Windows Updateを通じて定期的に更新され、Windows Autopilot を介した管理のためにシームレスに展開され、リスクを最小限に抑え、デバイスが起動する前にファームウェア レベルで制御を最大化します。 Microsoft は、管理センターによって管理されている GitHub のオープン ソース プロジェクト Mu を通じて、UEFI のコードベースの完全な透明性Microsoft Intune提供します。

Microsoft の設計および構築されたコンポーネント

チップからクラウドに至る Surface のすべてのレイヤーは Microsoft によって管理されており、どこからでも作業を行う場合でも、究極の制御、プロアクティブな保護、安心感を提供します。 Surface デバイスには、Microsoft が提供する最強のセキュリティ プロトコルが付属しており、合理化された管理が可能になり、IT の複雑さが軽減され、ユーザーが作業に集中し続けるのに役立ちます。

Surface は、独立した防御サブコンポーネントのレイヤー化を利用して、多層防御アプローチによってセキュリティを推進します。 チップからクラウド、または高度な脅威に対応するために機能する AI 搭載のMicrosoft Defender for Endpointへの信頼のルートを確保する UEFI では、Surface は、Microsoft からの組み込みの方がボルトオンよりも優れた位置を強制します。


機能 説明 詳細情報
Microsoft Built UEFI デバイスを構成し、Windows 10を起動するソフトウェア
デバイスの初期起動とWindows 10を制御し、OS にファームウェア ランタイム サービスを提供します。これにより、SEMM オンプレミス管理と DFCI クラウド ベースの管理を通じて、デバイスのハードウェアを大幅に制御Microsoft Intune管理センターを使用します。		 Surface UEFI の設定の管理
物理 TPM 2.0 トラステッド プラットフォーム モジュール - 統合された暗号化キーを使用してハードウェアをセキュリティで保護するように設計された専用マイクロコントローラー。
キー (BitLocker、Windows Hello、AD 資格情報) を暗号化して格納します
PCR - 測定と関連メトリックをセキュリティで保護し、以前の構成の変更を検出するプラットフォーム構成レジスタ		 トラステッド プラットフォーム モジュール技術概要
Windows Hello for Business パスワードを PC とモバイル デバイスの強力な 2 要素認証に置き換えます。 この生体認証は、デバイスに関連付けられた新しい種類のユーザー資格情報で構成されます。 Windows Hello for Businessのしくみ - Microsoft 365 セキュリティ
統合暗号化 統合暗号化は、BitLocker によってデータをセキュリティで保護および暗号化し、Windows Helloして、物理 TPM と UEFI と組み合わせてパスワードレス ログインを有効にします。 BitLocker (Windows 10) - Microsoft 365 Security
Microsoft Defender for Endpoint ネットワークが高度な脅威を防止、検出、調査、対応できるように設計されたエンタープライズ エンドポイント セキュリティ プラットフォームを提供します。 Microsoft Defender for Endpoint

ファクトリ レベルのセキュリティ プロトコルと検査

最終的なアセンブリの前にファームウェアからオペレーティング システムおよびすべてのハードウェア コンポーネントまで、Surface デバイスは物理的にセキュリティで保護された開発および製造施設のサプライ チェーン攻撃から安全です。

定義上、安全なサプライ チェーンは、品質、パフォーマンス、運用目標を満たす完成品を提供します。 簡単に言えば、安全なサプライ チェーンは、すべてのコンポーネントが正規品であり、不正操作や悪意のある操作や妨害行為がないことを保証します。 UEFI ファームウェアからオペレーティング システムまで、すべてが Microsoft から直接提供される高度にセキュリティで保護された工場でデバイスを製造しています。 サードパーティの BIOS ベンダーは関与しません。 これは、Surface 製品のサプライ チェーン攻撃から保護する方法の強力な部分です。 デバイスに必要のないシステム管理モード SMM 機能など、未使用のコードを削除することで、UEFI の攻撃 Surface を削減しました。

外部のインターネット ベースの攻撃、侵入、その他の脅威から施設を保護するには、次のような重要な領域にわたる継続的な投資が必要です。

  • 最終的なアセンブリの場所のすべての部品の厳密な点検そしてテスト。
  • 工場で高いレベルの物理的なセキュリティを維持する。
  • Microsoft が管理するファームウェア、ドライバー、OS のみを使用します。
  • Surface デバイスの安全な物流と信頼できる運送業者の配送は、Microsoft リセラーに直接送信されます。

工場を出ると、法人向け Surfaceデバイスはライフサイクル全体を通じてWindows Updateを介して保護されます。

Windows の高度なセキュリティ機能

特権攻撃のエスカレーションは悪意のあるアクターの親友であり、多くの場合、メモリに格納されている機密情報を対象とします。 このような攻撃により、ユーザー モードの軽微な侵害が OS とデバイスの完全な侵害に変わる可能性があります。 このような攻撃に対処するために、Microsoft は仮想化ベースのセキュリティ (VBS) とハイパーバイザーで保護されたコード整合性 (HVCI、一般にメモリ整合性とも呼ばれます) を開発しました。 VBS と HVCI は、仮想化などのハードウェア機能の力を使用して、分離された環境で機密性の高いセキュリティ操作を実行することで、一般的で高度なマルウェアに対する保護を強化します。

Surface には、これらの Windows の強化されたハードウェア セキュリティ機能がすぐに有効になっている状態で付属しており、お客様は既定で組み込まれており、さらに堅牢なセキュリティが有効になります。

仮想化ベースのセキュリティ

仮想化ベースのセキュリティ (VBS) は、ハードウェア仮想化機能を使用して、セキュリティで保護されたメモリ領域を作成し、通常のオペレーティング システムから分離します。 Windows では、この "仮想セキュリティ モード" を使用して多数のセキュリティ ソリューションをホストし、オペレーティング システムの脆弱性からの保護を大幅に強化し、保護を破ろうとする悪意のある悪用の使用を防ぐことができます。

Hypervisor-Enforced コード整合性 (HVCI)

HVCI は VBS を使用して、コード整合性ポリシーの適用を大幅に強化します。 カーネル モード コードの整合性は、起動前にすべてのカーネル モード ドライバーとバイナリをチェックし、署名されていないドライバーまたはシステム ファイルがシステム メモリに読み込まれないようにします。 次の図に示すように、HVCI は分離された実行環境で実行され、カーネル署名ポリシーに従ってカーネル コードの整合性を検証します。

VBS と HVCI の両方が、次の Surface デバイスですぐに有効になります。

  • Surface Pro 8
  • Surface Pro 9
  • Surface Pro 9 と 5G
  • Surface Pro 10
  • Surface Laptop Studio
  • Surface Laptop Studio 2
  • Surface Go 3
  • Surface Go 4
  • Surface Laptop 4
  • Surface Laptop 5
  • Surface Laptop 6
  • Surface Pro 7+
  • Surface Book 3
  • Surface Laptop Go
  • Surface Laptop Go 2
  • Surface Pro X
  • Surface Studio 2+

セキュア ブートとブート ガード

Surface デバイスの信頼のルートでは、次のブート フェーズを続行する前に、各ステージがセキュリティで保護され、本物であることを確認するために、署名と測定値がチェックされます。 UEFI と TPM 2.0 で有効になっている Secure Boot では、署名済み、測定済み、および正しく実装されたコードのみが Surface デバイスで実行できるようになります。

次の図に示すように、ファームウェアの整合性は、電源ボタンを押すからオペレーティング システムを実行する各段階で確認されます。

図 1.Surface デバイスのセキュア ブート図 1。Surface デバイスのセキュア ブート


ステップ セキュア ブート フェーズ
1 TPM によって提供される信頼のルートから電源ボタンが押されるたびにセキュリティがインスタンス化されます。 デバイスの電源が初めてオンになると、システムは一連のセキュリティ チェックを実行して、デバイスのファームウェアが改ざんされていないか、破損していないことを確認します。
2 電源をオンにすると、SoC はチップセット ベンダー キーを使用して、認証コード モジュール (ACM) (Intel ベースのデバイス上) を使用してマイクロコードの読み込みを検証し、開始します。
3 ACM は、読み込む前に UEFI コードを測定し、TPM のプラットフォーム構成レジスタ [PCR] の既知の測定値と比較して、UEFI コードが変更されていないことを確認します。
4 UEFI の実行を許可する前に、Boot Guard は UEFI が Surface OEM キーで署名されていることを確認します。 最初にチェックされた UEFI モジュールは SEC セキュリティであり、図に示されている PEI Pre-EFI セクションです。
5 PEI セクションでは、ドライバーの実行環境である DXE モジュールが読み込まれると、Surface 署名がチェックされます。 DXE モジュールには、ブート デバイスの選択フェーズが含まれています。
6 ブート デバイスが選択されると、UEFI はブート デバイスを読み取り、実行を許可する前に OS ブート ローダーの署名を確認します。
7 その後、OS は、OS を起動したときに、そのメイン コンポーネントの署名を確認します。

マルウェア保護

悪意のあるソフトウェア攻撃からデバイスを保護するために、Surface はセキュア ブートを有効にして、本物のバージョンのWindows 10が起動され、ファームウェアが工場を離れたときと同じくらい本物であることを確認します。

Surface 上の SoC デバイスには、他のすべてのコアとは別のセキュリティ プロセッサがあります。 Surface デバイスを初めて起動すると、セキュリティ プロセッサのみが起動してから、他の何かを読み込むことができます。 セキュア ブートは、ドライバーやオペレーティング システムを含むブート プロセス コンポーネントが、有効で既知の署名のデータベースに対して検証されることを確認するために使用されます。 これにより、クローンまたは変更されたシステムからの攻撃を防ぐのに役立ちます。そうしないと、日常的なユーザー エクスペリエンスと思われるものに隠された悪意のあるコードが実行されます。 詳しくは、セキュア ブートの概要を参照してください。

オペレーティング システムが Microsoft から発信されていることを確認し、Surface デバイスがブート プロセスを完了すると、デバイスは実行可能コードを精査します。 オペレーティング システムのセキュリティを確保するための処理には、すべての実行可能ファイルのコード署名を識別することが関係します。それにより、Microsoft の制限に合格したものだけがランタイムに読み込まれるようになります。 このコード署名方法を使用すると、オペレーティング システムは作成者を確認し、デバイスで実行する前にコードが変更されなかったことを確認できます。

AMD デバイスでの DRTM 保護

AMD プロセッサを含む Surface デバイスは、セキュア ブートを同等に実装します。 AMD Ryzen Microsoft Surface Edition プロセッサを搭載した Surface Laptop 4 は、動的信頼ルート測定 (DRTM) を使用して、初期電源投入からファームウェアを保護します。DRTM は、すべての CPU を制御し、測定されたパスに沿って実行を強制し、さまざまな段階で信頼を再確立して、システム ファームウェア/ソフトウェアの整合性を確認します。 この信頼された状態に早期に移行すると、ブート ステージでの潜在的な攻撃に対する保護が強化されます。

DRTM は、合計システム メモリ暗号化 (TSME) を使用して測定値を暗号化することで、測定値を保護します。 TSME を設定すると、システム リセット以外ではクリアできません。 リセットごとに新しい暗号化キーを使用すると、セキュリティのための単一使用暗号化が保証されます。

システム管理モード (SMM) のランタイム呼び出しは最高レベルで実行されます。これは、SMM コードに問題がある場合は危険な場合があります。 AMD Ryzen を使用した Surface Laptop 4 は、システム管理割り込み (SMI) をインターセプトしてシステムを保護し、SMM コードの実行をより低いレベル (ユーザー) にディスパッチして、コードとデータへの無効なアクセスからシステムを保護します。 SMM 保護では、ハードウェア保護を使用して、アクセスできるコード、データ、システム リソースを制限し、不注意または悪意のあるインシデントに対する保護をさらに強制します。

AMD Ryzen を搭載した Surface Laptop 4 では、堅牢なファームウェア更新プログラムのサポートに加えて、 NIST 800-193 プラットフォーム ファームウェア回復性ガイドラインがサポートされています。 ブート ファームウェアの回復性のある更新メカニズムでは、A-B Recovery メカニズムが使用され、ブート シーケンスで起動時にファームウェアの破損したコピーが検出された場合に、ファームウェアのバックアップ コピーに自動回復が提供されます。

DRTM と SMM の詳細については、「Windows Defender System GuardがWindows 10を保護する方法」を参照してください。

リモート デバイス管理コントロール

IT 管理者は、すべてのデバイスに物理的に触れることなく、Surface デバイスをリモートで管理できます。 Intuneと Windows Autopilot を備えた管理センター Microsoft Intune、Azure Cloud から Surface デバイスの完全なリモート管理を可能にし、起動時に完全に構成されたデバイスをユーザーに提供します。 ワイプ機能と廃止機能により、IT は新しいリモート ユーザーのためにデバイスを簡単に再利用し、盗まれたデバイスをワイプできます。 これにより、Surface デバイスの紛失や盗難が発生した場合の迅速かつ安全な応答機能が可能になり、すべての会社のデータをリモートで削除し、Surface をまったく新しいデバイスとして再構成できます。


機能 説明 詳細情報
DCFI (デバイス ファームウェア構成インターフェイス) ゼロタッチ デバイス プロビジョニングを使用して、クラウド規模のリモート ファームウェア管理を提供します。 Microsoft の UEFI により、より強力な DCFI 実装が可能になり、組織はハードウェア要素を無効にし、Intuneを使用して UEFI をリモートでロックできます。 ¹ Surface UEFI 設定における Intune 管理

Surface UEFI の設定の管理
SEMM (Surface Enterprise 管理モード) オンプレミス、ハイブリッド、クラウドの各環境で UEFI ファームウェア設定のエンタープライズ エンゲージメントを一元化できるようにします。¹ Surface エンタープライズ管理モード
Windows Update for Business IT 管理者は、これらのシステムを Windows Update サービスに直接接続することで、Windows 10 デバイスを最新のセキュリティ防御、Windows 機能、Surface ファームウェアで継続的に更新organizationに維持できるようにします。 Microsoft Intuneなどのグループ ポリシーまたは MDM ソリューションを使用して、Surface デバイスの更新方法とタイミングを制御するビジネス設定のWindows Updateを構成できます。 Windows Update for Business

Surface のドライバーおよびファームウェアの更新プログラムを管理および展開する

詳細情報