このページの本文へ

専用チップでOSプロセスまで監視

悪事は見つけてすぐ直す、不正クリックも隔離できる日本HPの新ノート

2018年03月02日 11時00分更新

  • この記事をはてなブックマークに追加
  • 本文印刷

 日本HPは3月2日、ビジネス向けプレミアムノート「EliteBook」とモバイルワークステーション「ZBook」の新モデルを発表した。

 13.3型でFHDの「HP EliteBook 830 G5」、15.6型で4KまたはFHDの「HP EliteBook 850 G5」、14型で4KまたはFHDのモバイルワークステーション「HP ZBook 14u G5」の3シリーズがある。複数モデルがあるが、HP Directplusでの直販価格はそれぞれ14万8000円(税抜)、17万9800円(税抜)、14万8000円(税抜)からになる見込み。出荷開始は850 G5とZBook 14uが4月上旬。830 G5は6月上旬。

HP EliteBook 830 G5
HP EliteBook 850 G5
HP ZBook 14u G5

 いずれも第8世代のインテル Core i7プロセッサーを搭載可能で、最大32GBメモリーを搭載可能。SSDは高速なPCIe接続のタイプ(NVMe、M.2タイプ)となる。3キャリアの主要バンドをサポートするLTE-Advanced(最大450Mbps)対応といった特徴を持つ。GPUとしてEliteBook 850 G5は「Radeon RX」、ZBook 14u G5は「Radeon Pro」をそれぞれ搭載する。

 EliteBookの2機種はともにプレミアムロゴを付けた上級機だが、薄型軽量な1000シリーズに対して、端子類をフル装備したモデルとなっている。

 内蔵ウェブカメラを物理的に隠すシャッターを設けている(HPプライバシーカメラ)。リモートワークやテレワークが進むと、自宅などプライベートな空間からリモート会議に参加する機会が増えるが、音声のみで会議に参加したい場合でも、確実に映像が映らないようにできて安心だ。HP EliteBook 830 G5は、マイクを内側(カメラ近く)だけでなく、外側(天板側)にも用意しており、会議室全体の音声を360度すべて聞き取りやすく届けられる。

 またキーボードに「コラボレーション」キーや「画面シェア」キーがあり、ワンタッチでビデオ会議を開始したり、画面共有ができるようになっている。

モバイルワークを意識して、セキュリティ強化

 HPは以前からBIOSレベルのセキュリティーに力を入れている。一方でセキュリティーリスクは年々増大しており、ゼロディアタックなど対策の難しいものも増えてきた。仮に侵害されても早期の検知ができ、自動復旧でダウンタイムや被害を最小限に減らすことが大切だという。

 特に重視しているのが、BIOSやMBR/GPTの保護といったハードウェアに近いレベルのセキュリティだ。rootkitなどへの対策となる。

 Windows 10は「Secure Boot」(PC起動時に証明書を確認して安全なプログラムだけロードする機能)を持つ。さらにEnterprise版では「Crudential Guard」「Device Guard」といった仮想マシン(VBS)と連携した信頼性も担保する。しかしこれらもBIOSの設定を変え、UEFIブートではなくレガシーモードにするなどすると動作しない。

HP Sure Start Gen4の仕組み

 そこで専用に開発したセキュリティー対策用のチップを別途搭載し、CPUに電源を入れる前に、BIOSの署名を確認。改ざんがないかをチェックする。起動した後もSMMと呼ばれるメモリー内の特権領域を監視する。このBIOS保護機能が「HP Sure Start」だ。仕組みは過去の機種でも取り入れてきた。第4世代となる今回のチップからは「HP Endpoint Security Controller」という名称をつけて、BIOS保護だけでなく、MBR/GPTの保護や後述するOSプロセスの監視などにも利用するようにした。

不正なBIOSコードが実行されていないか、メモリーの特権領域が侵害されていないかを見る

 HP独自のセキュリティー機能としては「HP Sure Start」(BIOS保護と自動復旧、MBR/GPT保護)以外にも、「HP Sure Run」(OSの重要なプロセスの監視)、「HP Sure Recover」(イメージ復旧機能)、「HP Sure Click」(ウェブブラウザーの保護)、「HP Work Wise」(多要素認証)、「HP Sure View」(盗み見防止機能)、「HP Client Security Suite」(管理ソフト)など多岐にわたる。

HP Endpoint Security Controllerと連動して動作する機能

 HP Endpoint Security Controllerと連動して動作するのは「HP Sure Start」「HP Sure Run」「HP Sure Recover」「HP Sure Click」の4つ。OSプロセスを保護する「HP Sure Run」と「HP Sure Recovery」は新たに追加された機能となる。ハードウェアレベルから、OS、アプリケーションレベルまで信頼性を積み上げ、高いセキュリティーを担保するChain of Trustという考え方に沿って設計されている。

 HP Sure Runは、Windows上で動作するセキュリティー上、重要なプロセスを監視するもの。変更/停止があった際に通知し、必要に応じて再起動する。その監視をOS内で行うと、そのプロセス自体が切られる可能性があるが、外付けのチップであるHP Endpoint Security Controllerを利用することで高い信頼性が得られる。

 重要なプロセスとは、Windows セキュリティーセンターで管理しているファイアウォールやマルウェア対策機能、暗号化機能のBitLocker、USBなど外部端子のアクセス制御などが挙げられる。マイクロソフト、HP製品だけでなく、サードパーティ製のウイルス対策ソフトのプロセスなども対象だ。マルウェアの中にはこれらのプロセスを落として、悪事を働くものがあるがその対策になる。

 HP Sure Recoveryは、攻撃があった際のダウンタイムを減らすための復旧機能だ。HP Endpoint Security Controllerと連携し、クラウド上に保管してある証明書付きのOSイメージを再インストールする。定期的に正しいOSイメージに更新する設定にしておけば、マルウェアの居座りを防ぐことができる。見逃しやすい、共有デバイスや専用機の対策にも有効だ。

HP Sure Click

 既存のHP Sure Clickも機能強化した。Internet Explorerのタブを隔離した仮想マシン上で開くことで、不正なサイトにアクセスした場合でもPCの動作に影響を与えない点が特徴。タブを閉じればマルウェアの動作も止まる。標的型メール対策として有効だ。ウェブブラウザーで危険なサイトをクリックした際に保護するものだが、新たにPDFの表示を使った侵害にも対応した。

 MBR/GPT保護はこれまで、「HP BIOSphere」という名称で、専用チップを使わない独立した機能として提供していた。今回からこれをHP Sure Startに統合。HP Endpoint Security Controllerと連動して動作するようになった。

HP Manageability Integration Kitの機能範囲

 管理性という意味では、Windows のシステムセンター(SCCM:System Center Configuration Manager)対応のプラグイン「HP Manageability Integration Kit」を用意している。ここでHPが提供する一連のセキュリティー機能のポリシーや設定を一括管理できる。マイクロソフトと密に協業しており、マイクロソフトが認定した世界唯一のSCCMプラグインだという。Windowsがアップデートされても、継続して機能を利用できる点に安心感がある。

■関連サイト

カテゴリートップへ

ASCII.jp ビジネスヘッドライン

ピックアップ