Intel、よりセキュアな第10世代Core vProプロセッサ …… Comet Lakeだけに対応するvPro。

今日はプロセッサーネタが多い。AMDのRadeon Proの新モデルも出ているが、これらが何故ボロボロと出てくるのかというと、各種イベントが中止されてしまったことで、本来なら3月に基本的な内容が発表され、この時期から来月に掛けて本格的に発表会で示されるはずのものが、準備でき次第順次各社から発表されているからである。

で、これはIntelの新型チップセット(プラットフォーム)との兼ね合いの話であり、厳密にはCPUだけの話ではない。
確かに、CPUの対応あってこそだが、vProのベース制御はチップセットファームであるIntel ME(Intel Management Engine Firmware)の一角(これをIntel AMTという。詳しくは後述する)で行っている。
では、何故CPUとして対応が必要なのかというと、単純だ。現在のvProは、Intel Trusted eXecution Technology(Intel TXT)を必要とするからだ。そして、TXTが使えるのは今のIntelでは厳密に一部のプロセッサーに限定して差別化(高価格化)している。だから、CPUが中心になるわけだ。

ちなみに、これは蛇足だが以前はME自体がvProの特徴だった。これはTPM2.0がWindows 10で標準必須とされたことで、安価にそれを実現するためのfTPM2.0(firmware TPM2.0/intel Platform Trust Technology)に必要とされるようになり全てのインテルチップセット(及びブランド名称はないが同等の技術はAMD)で標準化された。

これら(TXTとME)を利用して、Intel AMT(Active Management Technlogy)と呼ばれるものに準拠したより暗号化済みのME領域をファームウェア(UEFI)上に作成し(基本的にはQ系のマザーボードなら購入時点でAMTファームが搭載されている)、そこでOSより高いレベル(ring-1相当以上)で保護された監視システムを動かすことが出来る。これがvProの最大の特徴である。

AMTが使えるのはQ系のチップセットのみであり、このQ系のチップセットとTXTが使えるCPUを組み合わせたときだけ、vProを名乗ることが出来る。尚、今回の場合、第10世代Core iの10nm製品(Sunny Cove MAのIce Lake、型番にGとつくもの)では、TXTを何らかの理由でDisableに設定しているため、利用できないというわけだ。その説明が、一般向けに開発したからとなっているが……まあ、そうじゃないのは誰でも分かる事だろう。

これは、不具合があったとか最初から搭載していないのではなく、単純に歩留まりが悪く生産数量が確保出来ないからとかそんなところだろうと思われる。

生産量が少ないプロセッサーをビジネス向けに供給することは出来ない。ビジネスの場合は、確実に一定のロットで不具合や性能のばらつきなく安定量産されていなければ、評価を失ってしまうからだ。個人向けなら多少ずれがあっても、自宅に1台入れるぐらいの感覚で使われることが多いので、多くの人は気が付かないので、良いが、これがビジネスになり、AMT監視下に置かれると監視下でばらつきが、14nmのこれまでの製品よりはっきり見える恐れがあるとかそういうのがあるのかもしれない。

まあ、もう一つ理由があるとすれば、脆弱性アップデートのコストだろう。
そもそもIntel AMTはコンピュータの情報を下手をすれば利用者にバレることなく丸ごと引き出せるほど、上位の特権で動かせる技術だ。しかし、近年このAMT関連の機能には脆弱性が多く、少量しか出ない製品世代でTXTを有効にすると保守関連コストが嵩むというのもあるかもしれない。

<よりセキュア……>

というのは、Intelの脆弱性問題の記事が年にいくつ出てくるか知っている人なら、何かの冗談なのかと思うことだろう。確かに、標準である程度の対策が加えられたファームを搭載しているので、今までよりはセキュアだろうが……。Intel Hardware Shieldより、SpectreとMeltdownと言ったサイドチャンネル攻撃の脆弱性を早く何とかして欲しい物だ。何せ、Ice Lakeはその辺りの対応を軽減する対応がComet LakeなどのSkylake系より進んでいたはずなのだから……。

まあ、それ以外の面もvProを本当に運用に使うなら結構大変だ。

vProで使うIntel AMTは管理者が使うには良いのだが、この数年は脆弱性のアップデートが年に何度も行われるので、スタンドアロンで使うことが前提なら、組織であっても、これがないものを敢えて選ぶのも手だったりする。使い分けましょうと言うことだ。AMT使わないならお値段が高いだけだし……。
まあ、ビジネス向けのPCだと、筐体を盗難防止用に固定するための設計になっているモデルが多いとか、そういうところで信頼はあるだろうが、AMTの脆弱性問題が増えている今、vProがあるから全てにおいて信頼が持てて、管理コストが安いとは限らないのが玉に瑕である。


しかし、こうやって書いていくとIntelは○○テクノロジーというブランドが多い。
そして、それで他のメーカー(AMD)にないブランド力を高めたが、その結果、脆弱性に填まったような雰囲気だ。ただ、幸運なのはそのブランドの使い方を知らない人が、脆弱性がどこに結びついているかまで知らないおかげで、それを大量に選んでくれるため付加価値として機能している面もありそうだ。

ただ、本当のところでいうと、Hardware Shieldとかそういう言葉でブランドを売るよりも、もっと根本的な対応を急いで欲しいと感じる。
Software Guard eXtensions(SGX、家庭ではUHD BDの再生時に必要な機能として有名)や、TXTは昨年~今年の脆弱性として出ており、AMTは以前からずっと脆弱性問題がある。

だから、業務用のPCの場合で、メーカー(PC製造販売メーカー)のBIOS/UEFIのアップデート保守が終わり始めたらば、特にAMT機能の利用をBIOS/UEFIから止める措置を講じるのが妥当になるわけで……。(AMTを使っていない端末なら基本的にBIOS上の設定は標準で無効、Disableになっている)

vProの価値をしっかり確認して必要だと思わないなら、ある種Comet Lakeより、Ice Lakeモデルを選んだ方が幸せかも知れない。まあ、急ぎでなければ、Tiger Lakeを待つべきだろう。







ブログ気持玉

クリックして気持ちを伝えよう!

ログインしてクリックすれば、自分のブログへのリンクが付きます。

→ログインへ

なるほど(納得、参考になった、ヘー)
驚いた
面白い
ナイス
ガッツ(がんばれ!)
かわいい

気持玉数 : 0

この記事へのコメント