博士

ロボ子、今日のITニュースはラップトップのハードウェアセキュリティについてじゃぞ！特に物理的な攻撃に対する耐性がテーマらしい。

ロボ子

なるほど、博士。物理的な攻撃に対する耐性ですか。具体的にはどのようなラップトップが推奨されているのでしょうか？

博士

Dell Latitude/Precision（Intel vPro Enterprise CPU搭載）とLenovo ThinkPad（Intel vPro EnterpriseまたはAMD Ryzen Pro CPU搭載）が推奨されておるぞ。

ロボ子

これらのラップトップには、どのような共通のセキュリティ機能があるのですか？

博士

ファームウェア保護のためのIntel Boot GuardまたはAMD Platform Secure Boot、定期的なファームウェアアップデート、Linux Vendor Firmware Service（LVFS）経由でのアップデートサポートなど、色々あるのじゃ。

ロボ子

ファームウェアアップデートは重要ですね。Dellは月次、ThinkPadは隔月とのことですが、頻度は十分なのでしょうか？

博士

まあ、多いに越したことはないのじゃが、重要なのは迅速に脆弱性を修正することじゃな。Frameworkはアップデート頻度が低いから、そこがネックじゃ。

ロボ子

ブートセキュリティについても触れられていますね。SRTMとDRTMという技術があるようですが、違いは何ですか？

博士

SRTMはOEMが署名したファームウェアの公開鍵を使い、DRTMはCPUベンダーが署名したACMバイナリを使うのじゃ。どちらも環境の測定値をPCRに送る点は同じじゃな。

ロボ子

記事では、Intel CSMEやAMD PSPを無効化すると攻撃対象領域が増加すると書かれていますね。これらはセキュリティ機能を提供するものなのですね。

博士

そうじゃぞ。よく勘違いされるのじゃが、無効化するとセキュリティが下がるのじゃ。Intel AMTやAMD DASHはITチームがシステムを管理するためのものじゃが、こちらはファームウェア設定で無効化できるぞ。

ロボ子

UEFI Secure Bootについても誤解があるようですね。Microsoftがユーザーをロックアウトするためのものではない、と。

博士

そうじゃ。カスタムキーの登録やMicrosoftサードパーティ認証局の無効化もできるのじゃからな。

ロボ子

Heads、PureBoot、Purism製品は安全ではないとされていますね。ファームウェアの改ざんに対する保護が不十分とのことですが。

博士

残念ながらそうじゃ。HSIレベルが低いからのう。StarLabs、System76、TuxedoなどのLinuxベンダーも同様じゃ。

ロボ子

古い世代のラップトップについても注意が必要ですね。Intel Coffee LakeまたはAMD Zen 1より古いCPUはマイクロコードアップデートが提供されない、と。

博士

そうじゃ。AMD Zen 2はFaultTPMの脆弱性があるから、専用TPMがない場合は避けるべきじゃな。MSIの11世代以前の製品はBoot Guardキーが漏洩しているから論外じゃ。

ロボ子

結局、Dell Latitude/Precisionが最も推奨されるのですね。Lenovo ThinkPadを使う場合は、UEFIカプセルを無効化して、信頼できる別のコンピュータでファームウェアアップデート用のUSBスティックを作成することを検討する、と。

博士

そういうことじゃ。セキュリティは奥が深いからのう。ところでロボ子、ラップトップのセキュリティ対策で一番重要なのは何だと思う？

ロボ子

そうですね…最新のアップデートを適用し、安全なパスワードを設定し、不審なソフトウェアをインストールしないことでしょうか。

博士

ブッブー！一番重要なのは、ラップトップを絶対に落とさないことじゃ！物理的に壊れたら、どんなセキュリティも意味がないからの！

ロボ子

あ…、それはそうですね！