自ら判断しPCをロック！インテルiATの仕組み （第1回）|企業クライアント戦略|ブログ|Computerworld

▲勝沼の葡萄棚。しっかりワインを堪能してきました

みなさん、こんにちは。夏休みを利用して家族で勝沼に行き、一人で一日中酔っ払ってた小池です。着いた日も帰る日もワイナリーで飲みたい一心で電車で移動したのですが、葡萄畑に囲まれたアップダウンの多い坂道を歩き回ったおかげで、帰宅後二日目にもかかわらず未だに筋肉痛です。

さて、前回はPCを持ち歩く鞄を見直すことでモバイルPCの盗難・紛失を抑止（Prevention）してみようというお話をしました。今回は盗難・紛失に遭ってしまったPCを技術的に保護する仕組みである「インテルAnti-Theftテクノロジー（以下、iAT）」について、特に盗難・紛失状態の検出（Detection）の仕組みをお話ししたいと思います。

iATはコンピュータのチップセットに内蔵された「Management Engine(以下、ME)」というマイクロ・コントローラを使ってシステムを制御することで実現する、盗難・紛失対策の要素技術です。MEはiATだけではなく、主に管理機能を提供する「インテル・アクティブ・マネジメント・テクノロジー(以下、iAMT)」など、vProプラットフォームの要素技術実現には欠かすことのできない主要コンポーネントです。iATでもこのMEとBIOSが協調することで、ソフトウェアのみで実現されたソリューションに、さらに強固なセキュリティ機能を提供します。

まず、iATでPCの保護を行おうとする場合、対象となるPCをiAT対応の管理ソフトウェアのサーバに登録します。多くの場合は管理ソフトウェアの提供するクライアント上で動作するエージェントのインストールを行い、同時にサーバへの登録を行うのですが、iATの場合はこのプロセスの中でさらにサーバとMEの間で鍵の交換を行います。iATに関連したMEに対する指示を行う際、必ずこの鍵が必要になりますので、悪意のあるソフトウェアなど不正なアプリケーションを使ってiATの機能を無効にしたり、ロックを解除したりすることは一切できなくなります。

iAT対応のエージェントが導入されてiATが有効になると、ME自身が持つタイマーのカウントダウンが開始されます。このタイマーの値がゼロになるとシステムは自分自身が盗難・紛失状態にあると見なし、あらかじめ設定されたアクションを取ります。

設定可能なアクションとしては、システムそのものの無効化（OSの起動を不可能にする）とシステム上の特別なデータ領域（iATではブロブと呼びます）の削除・隠匿があります。

例えばこの特別なデータ領域にディスク暗号化ソフトウェアの暗号鍵を保管しておけば、盗難・紛失状態になった時点でディスク内部のデータの復号化は不可能になり、PC内部のデータが外部に漏洩することを防ぐことが可能になります。
PCが正常な状態にある際、PC上のエージェントがサーバと定期通信（iATではランデブーと呼びます）を行い、管理サーバ上に設定されたPCの状態を確認します。仮にシステム管理者が対象PCに対して盗難状態フラグを立てた場合、エージェントはその状態を受け取り、MEに対して盗難状態への移行を指示します。

逆に正常な状態であることが確認できれば、MEに対してタイマーのリセットを指示します。これによってMEの持つタイマーの値はゼロにならず、システムを普通に使い続けることが可能となります。

PCの盗難に利用者が気づいた場合はシステム管理者に連絡して管理サーバ上で盗難フラグを立ててもらうことで、盗まれたPCが次にネットワークに接続された時点でロックされる事になります。さらに、仮に利用者が盗難・紛失に気づかなかった場合でも、一定期間ランデブーが行われなかった時点でMEのタイマーが満了し、ロック状態に入るわけです。特に後者の動作についてはHDDを入れ替えたりOSを再インストールしたとしても無効にすることはできません。

今回はiATにおける盗難・紛失状態の検出(Detection)方法についてお話ししました。次回は盗難・紛失状態になった際の対応(Reaction)についてお話しする予定です。では、また。

追伸→　「ビールのアテにさっと一品」は、著者筋肉痛のため休載いたします。