Microsoft Pluton セキュリティ プロセッサ

Microsoft Pluton セキュリティ プロセッサは、 ゼロ トラスト の原則を中心に構築された、チップ対クラウドのセキュリティ テクノロジです。 Microsoft Pluton は、ハードウェア ベースの信頼のルート、セキュリティで保護された ID、セキュリティで保護された構成証明、および暗号化サービスを提供します。 Pluton テクノロジは、この統合されたセキュリティで保護されたサブシステムで実行される System on Chip (SoC) と Microsoft が作成したソフトウェアの一部である、セキュリティで保護されたサブシステムの組み合わせです。

Microsoft Pluton は現在、AMD Ryzen® 6000、7000、8000、Ryzen AI、Qualcomm Snapdragon® 8cx Gen 3 および Snapdragon X シリーズ プロセッサを搭載したデバイスで利用できます。 Microsoft Pluton は、Windows 11 バージョン 22H2 以降を実行する Pluton 対応プロセッサを搭載したデバイスで有効にすることができます。

Microsoft Pluton とは

Microsoft によって設計され、シリコン パートナーによって構築された Microsoft Pluton は、コードの整合性を確保し、Windows Update を通じて Microsoft によって提供される更新プログラムによる最新の保護を確保するために、コアのセキュリティのために CPU に組み込まれたセキュリティで保護された暗号プロセッサです。 Pluton は、資格情報、ID、個人データ、暗号化キーを保護します。 攻撃者がマルウェアをインストールしたり、PC を完全に物理的に所有していたりした場合でも、情報を削除することは非常に困難です。

Microsoft Pluton は、トラステッド プラットフォーム モジュール (TPM) の機能を提供し、TPM 2.0 仕様で可能な機能を超える他のセキュリティ機能を提供するように設計されており、他のプルトン ファームウェアと OS 機能を Windows Update 経由で時間の経過と共に配信できるようにします。 詳細については、「 TPM としての Microsoft Pluton」を参照してください。

Pluton は、Xbox と Azure Sphere で使用されている実証済みのテクノロジに基づいて構築されており、主要なシリコン パートナーと連携して、強化された統合セキュリティ機能を Windows 11 デバイスに提供します。 詳細については、「 Microsoft Pluton プロセッサを満たす - Windows PC の将来に向けて設計されたセキュリティ チップ」を参照してください。

プルトンは、お客様にどのように役立ちますか?

Pluton は、エンド ツー エンドのセキュリティ エクスペリエンスを顧客に提供することを目標に構築されています。 これは、次の 3 つのことを行うことで行われます。

1. ゼロ トラストのセキュリティと信頼性: 顧客のセキュリティ シナリオは、多くの場合、デバイスとクラウド サービスにまたがるものです。 Microsoft Entra や Intune などの Windows PC とサービスは、摩擦のないセキュリティを提供するために連携する必要があります。 Pluton は、お客様が高いセキュリティと信頼性の両方を得られるように、Microsoft 全体のチームとの緊密なコラボレーションで設計、構築、保守されています。
2. イノベーション: Pluton プラットフォームとその機能は、お客様のフィードバックと Microsoft の脅威インテリジェンスによって通知されます。 たとえば、2024 AMD と Intel システムの Pluton プラットフォームでは、メモリの安全性の重要性を考えると、Rust ベースのファームウェア基盤の使用が開始されます。
3. 継続的な改善: Pluton プラットフォームは、オペレーティング システムの更新プログラムを通じて提供される新しいファームウェアの読み込みをサポートします。 この機能は、システムの SPI フラッシュに存在し、システムの起動中に読み込まれるプルトン ファームウェアを更新する UEFI カプセル更新プログラムの一般的なメカニズムと共にサポートされています。 オペレーティング システムの更新プログラムを通じて有効な新しいプルトン ファームウェアを動的に読み込むための追加サポートにより、バグ修正と新機能の両方で継続的な改善が容易になります。

実際の例: デバイス ベースの条件付きアクセス ポリシーを使用したゼロ トラスト セキュリティ

ますます重要になるゼロ トラスト ワークフローは、条件付きアクセスです。要求が有効で正常なソースから送信されているかどうかを確認することに基づいて、Sharepoint ドキュメントなどのリソースへのアクセスを制限します。 たとえば、Microsoft Intune では、 デバイス ベースの条件付きアクセス など、条件付きアクセスのさまざまなワークフローがサポートされています。これにより、組織は、組織のアプリとサービスへのアクセスを許可する前に、管理対象デバイスが正常で準拠していることを確認するポリシーを設定できます。

Intune がこれらのポリシーの適用の一環としてデバイスの正常性に関する正確な画像を確実に取得するには、関連するセキュリティ機能の状態に関する改ざん防止ログが理想的です。 これは、デバイス上で実行されている悪意のあるソフトウェアがサービスに誤った信号を提供しようとする可能性があり、ハードウェアセキュリティが重要な場所です。 TPM のようなハードウェア セキュリティ テクノロジの主な利点の 1 つは、システムの状態の改ざん防止ログを備えています。 サービスは、TPM によって報告されたログと関連するシステム状態が、TPM から実際に送信されることを暗号化的に検証できます。

エンドツーエンドのシナリオが実際に大規模に成功するためには、ハードウェア ベースのセキュリティだけでは十分ではありません。 TPM ログによって報告されるセキュリティ設定に基づいて、エンタープライズ資産へのアクセスがゲートされているため、これらのログを確実に使用できることが重要です。 ゼロ トラスト セキュリティでは、基本的に高い信頼性が必要です。

Pluton では、システムの TPM として構成されている場合、条件付きアクセスを使用するお客様は、Pluton と他の Microsoft のコンポーネントとサービスの緊密な統合とコラボレーションから得られる信頼性を備えた Pluton のセキュリティ アーキテクチャと実装の利点を得ることができます。

Microsoft Pluton セキュリティ アーキテクチャの概要

プルトン セキュリティ サブシステムは、次のレイヤーで構成されます。

ファームウェアの読み込みフロー

システムが起動すると、Pluton ハードウェアの初期化は、マザーボードで使用可能なシリアル周辺機器インターフェイス (SPI) フラッシュ ストレージから Pluton ファームウェアを読み込むことによって実行されます。 ただし、Windows の起動時には、最新バージョンの Pluton ファームウェアがオペレーティング システムによって使用されます。 新しいファームウェアを使用できない場合、Windows はハードウェアの初期化中に読み込まれたファームウェアを使用します。 次の図は、このプロセスを示しています。

Windows エディションとライセンスに関する要件

次の表に、Microsoft Pluton をサポートする Windows エディションを示します。

Microsoft Pluton ライセンスの権利は、次のライセンスによって付与されます。

Windows ライセンスの詳細については、「Windows ライセンスの概要」を参照してください。

関連記事

TPM としての Microsoft Pluton