コンピュータに保管した情報は,常に流出の危険性がつきまとう。それは,機密ファイルやクレジット・カード番号などの情報の価値とは関係ない。機密情報を守る保護機能はセキュリティ・ホールの発見で一気にぜい弱になり,流出した際の被害を食い止めるデータの暗号化も役に立たない場合がある。例えば,メモリやハード・ディスクに保存された鍵データごと盗まれてしまえば意味がない。
そこで考えられているのが,ソフトウェアとハードウェアの両面でセキュアなパソコンを作り出そうという計画だ。米Microsoft社が2002年7月に概要を公開した新セキュリティ機構「Palladium(パレイディアム,開発コード名)」がそうである。Palladiumは,「トロイの木馬」で知られる古代都市トロイの守護像のこと。その開発コード名が表すように,データの不正流出を防ぐための防壁として働くセキュリティ機構を目指している。
 |
| 図1●米Microsoft社の新セキュリティ構想「Palladium」のアーキテクチャ ハードウェアとソフトウェアの両面でPalladium対応が必要となる |
機密データの“金庫”を作り出す
Palladium構想では,認証や暗号化に使う暗号鍵の基になる情報(種)を,ハードウェアとしてあらかじめパソコン内に組み込む。Palladium対応のパソコンを購入すると,パソコン固有の暗号鍵が改ざん不能なハードウェア・チップとして書き込まれている。この暗号鍵を基に,Palladium対応のOSが自身の上で動くプログラムを認証し,機密データを暗号化して保存する。具体的には,Palladium対応のOSは許可したプログラムしかアクセスできない保護領域を設ける(図1[拡大表示])。保護領域に書き込むデータは暗号化し,別のパソコンにコピーしても復号化できない。
ハードウェアによるセキュリティ機能について,Microsoftは詳細なアーキテクチャを公表していない。ただPalladiumの基本特許と見られる2001年12月に成立した同社の特許「Digital rights management Operating System」(米国特許番号6330670)によると,CPUに暗号鍵の種を組み込むようだ。物理的に一つのCPU上に集積するのではなく,CPUと専用インタフェースで結ばれた専用チップに埋め込む可能性もある。
オプション仕様として周辺機器とやり取りするデータの暗号化機能も用意する。機密データが盗まれる経路としてキーボードやディスプレイがある。Palladium対応のパソコンと周辺機器を組み合わせれば,キー・ストロークや画像データを暗号化して情報漏えいを防止する機能を追加できるという。
ハードウェアとOSだけでなく,アプリケーションの対応も欠かせない。Palladiumが作る保護領域を読み書きするには,PalladiumのAPIを使って「Trusted Operating Root(TOR)」と呼ぶPalladiumの管理プログラムを経由する必要がある。Palladiumに対応しない既存のアプリケーションは,保護領域にアクセスできない。メモリ上の保護領域データは,TORがPalladium非対応のアプリケーションの実行時に退避させる。
Longhornで実装か?
以上のように,Palladium構想の実現には,ハードウェアとソフトウェアの両面でPalladium対応の製品が必要となる。Palladium構想のアーキテクチャがサード・パーティの信頼を得なければ実現はおぼつかない。
Palladiumの賛同を得るための推進策は二つある。一つはPalladiumの基幹プログラムとなるTORのソース・コードを,同社がパートナ企業向けに提供しているソースコード開示プログラムの「Shared Source Initiative」を通じて公開すること。もう一つは,第三者機関の監査によってPalladiumアーキテクチャを試験することである。すでにハードウェア面について,Microsoftは米Intel社と米Advanced Micro Devices(AMD)社のそれぞれと共同でPalladium対応ハードウェアの仕様について協議しているという。
 |
| 図2●Microsoft主導のPalladium構想とハードウェア・メーカ主体のTCPAの違い Windowsのみを対象としたPalladiumに対して,TCPAはOSを問わないハードウェア主体のセキュリティ機構である |
実際にPalladium機能を備えたOSが登場するのは,早ければ2004年になりそうだ。Microsoftは.NET普及に向けたセキュリティ強化策「To trust .NET」の中核技術にPalladiumを据えている。To trust .NETについて「向こう3年をめどに実現を目指す」(Microsoft Corporation Platform Strategy Group副社長のSanjay Parthasarathy氏)としていることから,2004年後半に出荷を始める予定の次期Windows「Longhorn(開発コード名)」がPalladium対応OSとなる公算が大きい。
Win以外に門戸を開く別仕様も
Palladium以外にも,ハードウェア・レベルでセキュリティ機構を構築しようとする試みがある。パソコンの標準となるセキュリティ機構を策定する業界団体「TCPA(Trusted Computing Platform Alliance)」が定めるセキュアなパソコンの仕様だ(図2[拡大表示])。
TCPAは,1999年10月に米Compaq Computer社,米Hewlett-Packard(HP)社,米IBM社,Intel,Microsoftが共同で設立した。2002年7月時点で180社以上のハードウェア/ソフトウェア・メーカがTCPAの会員として名を連ねている。MicrosoftはTCPAに設立メンバの一員として参加する一方で,Palladium構想を推進する立場にある。
 |
| 写真1●米IBM社が同社のパソコンに組み込んでいるセキュリティ・チップ 暗号/復号化のアクセラレータ機能や暗号鍵の種を基に暗号鍵を生成する機能を備える。チップはTCPAが定める仕様に準拠した米Atmel社製のもの(写真提供:日本IBM) |
TCPAが策定した「TCPA Main Specification」は,「Trusted Platform Module(TPM)」と呼ぶハードウェア・レベルのセキュリティ機構を定めた仕様である。IBMが開発したセキュリティ技術を基に,TCPAが2001年1月にバージョン1.0仕様を公開した。TPMは,暗号鍵を生成する種を備えるほか,データの暗号/復号化を高速に処理する。また,BIOSやOSが改ざんされていないことを保証するサブプロセサとしても働く。すでにIBMが先行する形で,鍵データと暗号処理機能を組み込んだTCPA仕様準拠のTPMチップを「セキュリティ・チップ」として同社製のパソコンに組み込んで出荷している(写真1[拡大表示])。
TCPAとPalladiumの違いは,(1)TCPAが策定する仕様はパソコンのOSが起動するまでのセキュリティを守る仕組みであるのに対し,PalladiumはOSの起動プロセスと起動後の動作に重きを置く,(2)TCPAはWindows以外のOSにも門戸を開いている,という点が挙げられる。
現在のところ,TCPAはTPMを前提としたOSやアプリケーションのセキュア仕様を規定していない。現在策定中のTCPA Main Specificationバージョン1.2では,ソフトウェアに関する取り決めを追加するという。
TCPAについてMicrosoftは「PallodiumはTCPAの活動と競合する仕様ではなく,TCPAを補完するもの」(Microsoft “Palladium” Business Unit General ManagerのJohn Manferdelli氏)だとしている。
