コールドブート攻撃にも対応！　セキュリティーに優れた AMD Ryzen™ PRO プロセッサーのAMDメモリー・ガード

サーバーからメインストリームまで、今やマルチコアでx86アーキテクチャーCPUをリードする AMD Ryzen™ シリーズ・プロセッサー。実はビジネス向け製品として AMD Ryzen™ PRO プロセッサー (AMD Ryzen™ Threadripper™ PRO プロセッサー含む)が存在することをご存知だろうか。どちらも「Zen」マイクロアーキテクチャをベースとするCPUだが、 AMD Ryzen PRO プロセッサーにはセキュリティー機能がプラスされている。今回は AMD Ryzen PRO プロセッサーのセキュリティー機能の中から、前回の記事で少し触れた「AMDメモリー・ガード」にフォーカスして紹介しよう。

AMD Ryzen™ PROプロセッサーに搭載されるハードウェアベースのセキュリティー機能

現在ではコンシューマーでもセキュリティーは重要視されているが、ビジネスPCにおいてはさらにより高いセキュリティーが求められている。製品や取引に関わる企業内データはもちろん、ECサイトや顧客サポートなどではID、パスワードなど個人情報を扱っており、データ漏えいをしてしまった企業へのダメージは計り知れない。

AMD Ryzen PRO プロセッサーはハードウェアベースのセキュリティー機能を搭載している。セキュリティーと言えばセキュリティー対策ソフトウェアとしてOS上から導入するソフトウェアベースのソリューションをまず一番に思い浮かべるのではないだろうか。しかし実際のPCは、ファームウェアからCPUのようなハードウェア、WindowsのようなOS、その上で動作するアプリケーションといったように複数のレイヤーで構成されている。ソフトウェアベースのセキュリティーは、OSから上のレイヤーで機能するものだ。そこよりも下、ハードウェアではハードウェア本体でセキュリティー機能を実装していることが重要となる。もちろん現在のハードウェアはセキュリティーを考慮した設計(TPMの実装など)がなされている。その上で、ビジネス向けに追加、強化されているのが AMD Ryzen PRO プロセッサーに搭載されている「AMDメモリー・ガード」なのだ。

AMDメモリー・ガードは、その名の通りシステムメモリー(DRAM)上のデータを保護する機能だ。PCにおいて、データはメモリーに格納された上で、CPUなど演算処理が行なわれる。また、PCにログインすればそのログインIDやパスワード、アクセスするドライブの暗号化の鍵など、攻撃者が最初に狙う重要なデータもメモリーに展開される。

DRAMは電荷によって0、1の状態を作り出すが定期的なリフレッシュがなければ電荷が漏れ、正しくデータを読み取れなくなるものという認識が一般的だ。ところが、現在のPCでは電源OFFにする機会は少なくなってきている。休止、あるいはスリープといったように、作業の途中で省電力モードに入り、また作業を再開する際にPCは素早く、直前の状態まで復帰させようとする。業務効率の点でもこれら休止やスリープは有効だ。ただし、直前の作業内容を保持するため、DARMにはわずかながらに電力が供給されている。そして、電力が供給されている間、データはそこに残っているのだ。

スリープ状態のPCからデータを盗むのがコールドブート攻撃

PCをスリープ状態にして席を外したとしよう。DRAM内にはデータが残っているため、この隙をついて悪意を持った者がPCを再起動し、DRAMに直接アクセスできる特殊な機器を繋いだとしたら、データを盗まれてしまう可能性がある。電源が切れた状態から起動することをコールドブートと呼び、この隙を突く攻撃をコールドブート攻撃と呼ぶ。

AMDメモリー・ガードはこのコールドブート攻撃を防ぐ手段だ。 AMD Ryzen PRO プロセッサーにはAMD Secure Processor(ASP) というオンチップ・セキュリティー・コプロセッサーが内蔵されている。AMDメモリー・ガードもこのASPの機能の一つである。そしてその手法は、シンプルにメモリー暗号化テクノロジーだ。

メモリーへのアクセスはCPUを介して行なわれる。メモリー(DRAM)からCPUへの読み取りの経路や、CPUからメモリーへの書き込みの経路で、ASPが128bit鍵のAES暗号化をリアルタイムで行なう。そのため、より上のレイヤーで動作するOSやアプリケーションを問わず利用できる。ハードウェアベースなのでソフトウェアの修正も必要がない。

ただし暗号化を行なうということは、そこにレイテンシーが存在する。レイテンシーがどのくらい大きいか、パフォーマンスにどのくらい影響するのかというのは気になるだろう。しかし、ソフトウェアによる暗号化と違い、ASPはハードウェアベースであり、専用回路だ。MPEGデコーダー、エンコーダーをイメージしていただければソフトウェア処理と専用回路によるハードウェア処理では後者のほうが高パフォーマンスであることは想像できるだろう。実際、AMDの資料によればAMDのメモリー・ガードONとした場合のプロセッサー性能、システム全体の性能の低下率は小さく、ほとんど影響がないと言う。ユーザーはその存在をほとんど意識することなく、よりセキュアなビジネスコンピューティングが可能になるのだ。

これからの時代のリモートワークやモバイルワークを支える AMD Ryzen™ PRO 搭載PC

AMD Ryzen PRO は、主にビジネス向けのデスクトップPC、ノートPCで採用されている。ビジネス向けPCでも、一部はコンシューマー市場でも販売されていたり、直販サイトで購入できたりするものもある。昨今では仕事で使用するPCを個人が選ぶBYOD（Bring Your Own Device）も浸透してきている。自宅でのリモートワークやモバイルワークのセキュリティーを一段引き上げるなら、 AMD Ryzen PRO プロセッサー搭載PCを検討してみてはいかがだろうか。

AMD Ryzen PRO プロセッサー搭載の製品一覧はこちら

AMD Ryzen PRO プロセッサー搭載製品についての詳細や導入検討はこちらからお問い合わせください

脚注：

¹ テストはAMDパフォーマンスラボが2020年3月26日にRyzen 5 PRO 350U（Lenovo T495）を使って実施しました。 実際の結果と異なる場合があります。 PP-23

² テストはAMDパフォーマンスラボが2020年3月26日にRyzen 5 PRO 350U（Lenovo T495）を使って実施しました。 実際の結果と異なる場合があります。 PP-24