WEBVTT

00:00.000 --> 00:01.560
インストラクター：このレッスンでは､

00:01.560 --> 00:05.100
BIOSとUEFIのセキュリティ機能のいくつかを探っていきます｡

00:05.100 --> 00:07.200
ネットワークやオペレーティング・システム環境での保護に加え､

00:07.200 --> 00:13.320
オペレーティング・システム以前の環境のセキュリティも考慮する必要がある｡

00:13.320 --> 00:16.560
この領域はコンピュータの起動段階で攻撃される可能性があるため､

00:16.560 --> 00:18.720
BIOS や UEFI パスワード､ セキュアブートプロセス､

00:18.720 --> 00:27.030
マザーボードの USB ポートの権限設定など､ ブートローダの保護を考慮する必要があります｡

00:27.030 --> 00:29.700
BIOSとUEFIは2つの異なるタイプのファームウェアで､

00:29.700 --> 00:35.730
オペレーティングシステムのロードと起動をサポートするためにコンピュータで使用されていることを覚えておいてください｡

00:35.730 --> 00:38.610
各コンピュータにはBIOSかUEFIのどちらかを入れることはできるが､

00:38.610 --> 00:39.870
両方を入れることはできない｡

00:39.870 --> 00:47.790
BIOSは基本的な入出力システムで､ OSが起動するためにハードウェアを初期化するファームウェア・インターフェースです｡

00:47.790 --> 00:49.980
BIOSに依存するコンピューターは､ マスターブートレコード（MBR）を使ってブート情報を保持し､

00:49.980 --> 00:58.320
ロードするオペレーティングシステムを含むハードディスクドライブのパーティションを特定する｡

00:58.320 --> 01:01.980
BIOSは､ より古く､ よりレガシーなタイプのファームウェアである｡ 

01:01.980 --> 01:04.560
一方､ UEFI（unified extensible firmware

01:04.560 --> 01:07.170
initiative）は新しいタイプのファームウェアである｡

01:07.170 --> 01:09.660
UEFIはシステムファームウェアの一種で､ ブート時の64ビットCPU操作のサポート､

01:09.660 --> 01:12.690
ブート時の完全なグラフィカルユーザーインターフェイスとマウス操作､

01:12.690 --> 01:17.520
より優れたブートセキュリティを提供します｡

01:17.520 --> 01:24.120
UEFIに依存するコンピュータは､ GPTとして知られるGUIDパーティションテーブルを使ってブート情報を保持する｡

01:24.120 --> 01:26.160
UEFIは､ 2テラバイトを超えるサイズのディスクにアクセスし､

01:26.160 --> 01:36.840
そこからブートする機能を提供し､ CPUに依存しないアーキテクチャとドライバ､ ネットワーク機能とウェブブラウジングアクセスを含むことができるプレOS環境を提供する｡

01:36.840 --> 01:39.900
全体的に､ UEFIはBIOSよりも新しく先進的で､

01:39.900 --> 01:45.540
セキュアブートを含むブートプロセス中の追加セキュリティと整合性チェックを提供します｡

01:45.540 --> 01:50.700
現在､ BIOSとUEFIは数種類のパスワードを使って保護することもできる｡

01:50.700 --> 01:52.740
これには､ スーパーバイザー､ アドミニストレーター､

01:52.740 --> 01:58.470
またはセットアップのパスワード､ ユーザーまたはシステムのパスワード､ およびストレージまたはハードドライブのパスワードが含まれます｡

01:58.470 --> 02:00.930
スーパーバイザーパスワード､ 管理者パスワード､ またはセットアップパスワードは､

02:00.930 --> 02:05.400
BIOSやUEFIを使用する際に最初に見つかるパスワードのタイプです｡

02:05.400 --> 02:10.050
このパスワードはBIOSまたはUEFI設定プログラムへのアクセスを保護するために使用され､

02:10.050 --> 02:14.220
権限のないユーザーがこの機密設定ツールにアクセスするのを防ぎます｡

02:14.220 --> 02:17.190
このパスワードを設定すると､ 誰かがBIOSやUEFIに入ろうとしたときに､

02:17.190 --> 02:28.710
アクセスを許可する前にパスワードの入力が必要になりますが､ 誰かがコンピュータの電源を入れて通常のオペレーティングシステム環境で起動するのを防ぐことはできません｡

02:28.710 --> 02:31.590
このパスワードは､ ほとんどの場合､ 企業や企業ネットワーク内のコンピュータに設定され､

02:31.590 --> 02:33.570
エンドユーザーはBIOSやUEFIにアクセスできないが､

02:33.570 --> 02:41.550
システム管理者や技術者は正しいパスワードを持っていればアクセスできるようになっている｡

02:41.550 --> 02:43.830
ユーザーパスワードまたはシステムパスワードは､

02:43.830 --> 02:47.430
BIOSまたはUEFIで設定できる2番目のタイプのパスワードです｡

02:47.430 --> 02:51.270
このパスワードは､ コンピューター全体へのアクセスをロックするために使用されます｡ 

02:51.270 --> 02:55.530
コンピュータの電源が入ると､ 必ず停止してパスワードを要求してくる｡

02:55.530 --> 02:58.380
エンドユーザーが正しいパスワードを入力すれば､ コンピューターはオペレーティング・システムをロードし､

02:58.380 --> 03:01.320
起動し続ける｡

03:01.320 --> 03:07.380
というのも､ このパスワードは､ そのコンピューターにアクセスするすべてのユーザーと共有しなければならず､

03:07.380 --> 03:09.300
この共有パスワードによって､

03:09.300 --> 03:16.170
私たちが得ようとしているセキュリティの一部が否定されてしまうからだ｡

03:16.170 --> 03:19.290
その代わり､ 通常､ ユーザー・パスワードやシステム・パスワードは､

03:19.290 --> 03:23.160
その人のコンピューターにその人しかユーザーがいない場合にのみ使用されます｡

03:23.160 --> 03:25.200
これは､ Windows､ Linux､

03:25.200 --> 03:30.570
MacOSシステムにアクセスするために使用されるユーザーパスワードとは別のものであり､ その代わりに､

03:30.570 --> 03:35.820
ユーザーにその動作前のシステム環境でのアクセスを許可するものである｡

03:35.820 --> 03:40.050
3つ目のタイプのパスワードは､ ストレージまたはハードドライブのパスワードとして知られています｡

03:40.050 --> 03:45.000
このタイプのパスワードは､ 最近のコンピュータにトラステッド・プラットフォーム・モジュールやハードウェア・セキュリティ・モジュールが搭載される以前は､

03:45.000 --> 03:48.180
非常によく使われていた｡

03:48.180 --> 03:50.550
このパスワードは､ システムに接続されたハードディスクへのアクセスをロックするもので､

03:50.550 --> 03:58.530
ハードディスクを読み込んでオペレーティング・システムをロードするためには､ エンドユーザーがパスワードを入力する必要がある｡

03:58.530 --> 04:03.420
適切なパスワードが入力されるまでシステム全体からユーザーを締め出すユーザー・パスワードやシステム・パスワードとは異なり､

04:03.420 --> 04:05.820
ストレージ・パスワードやハードディスク・パスワードは､

04:05.820 --> 04:10.769
ハードディスク・ドライブと､ そこからオペレーティング・システムを起動する機能だけを締め出す｡

04:10.769 --> 04:14.550
次に取り上げるべきセキュリティ機能は､ セキュア・ブートと呼ばれるものだ｡

04:14.550 --> 04:17.130
セキュアブートはUEFIインターフェースと設定で有効にすることができ､

04:17.130 --> 04:20.370
BIOSではサポートされていません｡

04:20.370 --> 04:25.620
有効にすると､ Windowsやこの機能をサポートする他のオペレーティング・システムの起動プロセス中に3つの異なる検証を実行し､

04:25.620 --> 04:34.590
コンピュータがオペレーティング・システムに注入された何らかの悪意のあるコードに乗っ取られていないことを確認する｡

04:34.590 --> 04:38.550
通常のウィンドウズ・システムのフル起動プロセスを見てみよう｡

04:38.550 --> 04:41.100
プロセスの最初のステップは､ Windowsコンピュータが起動し､

04:41.100 --> 04:45.870
ファームウェアのブートコンポーネントがロードされ､ ブートマネージャが起動するときに発生する｡

04:45.870 --> 04:48.120
次に､ ウィンドウズローダーが開始され､

04:48.120 --> 04:49.830
ウィンドウズカーネルが開始され､

04:49.830 --> 04:53.130
ブートに不可欠なドライバーのインストールが行われる｡

04:53.130 --> 04:55.710
次に､ オペレーティング・システムの初期化が行われ､

04:55.710 --> 05:00.420
最後にWindowsのログイン画面が表示される｡

05:00.420 --> 05:02.610
さて､ セキュアブート中にファームウェアのブートコンポーネントがロードされると､

05:02.610 --> 05:13.320
ファームウェアはまず､ すべてのUV実行ファイルとOSローダー自体の完全性が損なわれておらず､ マルウェアによって侵害されていないことを確認する｡

05:13.320 --> 05:15.810
つまり､ 安全に積み込めるということだ｡ 

05:15.810 --> 05:18.300
次に､ Windowsブート・コンポーネントは､ 各コンポーネントをロードする前に､

05:18.300 --> 05:21.750
各コンポーネントのデジタル署名を検証する｡

05:21.750 --> 05:23.910
このシグネチャ・チェックに失敗したコンポーネントはロードされず､

05:23.910 --> 05:27.450
エンドユーザーに警告が発せられる｡

05:27.450 --> 05:30.060
最後に､ ブートクリティカルドライバは､ 既知の良好なハッシュと照合され､

05:30.060 --> 05:37.110
このチェックに合格すれば､ セキュアブートプロセスの最後の部分としてロードされます｡

05:37.110 --> 05:39.780
さて､ セキュアブートに関して覚えておいてほしいのは､

05:39.780 --> 05:42.210
これはオペレーティングシステム自体が信頼でき､

05:42.210 --> 05:49.410
ルートキットと呼ばれる特殊なマルウェアの犠牲になっていないことを確認するための手順だということだ｡

05:49.410 --> 05:51.690
セキュアブートが機能するためには､ UEFIシステム内部で有効にする必要があり､

05:51.690 --> 05:56.670
オペレーティングシステムもそれをサポートする必要がある｡

05:56.670 --> 05:59.070
BIOSまたはUEFIでカバーする必要がある最後のセキュリティ機能は､

05:59.070 --> 06:03.300
マザーボード上のUSBポートのパーミッションの設定です｡

06:03.300 --> 06:08.700
最近のシステムの多くは､ マザーボード上のUSBポートを有効または無効に設定できるようになっており､

06:08.700 --> 06:13.380
中にはUSBポートを制限して､ 特定の種類のUSBデバイスをサポートしないようにしながら､

06:13.380 --> 06:16.590
他のUSBデバイスは使用できるようにできるものもある｡

06:16.590 --> 06:18.660
さて､ ここで懸念されるのは､

06:18.660 --> 06:20.940
マルウェアやデータ損失である｡

06:20.940 --> 06:27.270
マルウェアという点では､ USBポートはシステムに侵入しようとする者にとって格好の攻撃手段となる｡

06:27.270 --> 06:29.700
例えば､ USBメモリにマルウェアを仕込んでおけば､

06:29.700 --> 06:34.950
オフィスビルの外の駐車場に落として､ 誰かが興味を持ってそれを拾って自分のマシンに差し込めば､

06:34.950 --> 06:39.900
システムにマルウェアをインストールすることができる｡

06:39.900 --> 06:42.810
そこで､ USBのマスストレージ・デバイスからの読み書き機能を無効にすることで､

06:42.810 --> 06:46.320
これを防ぎたい｡

06:46.320 --> 06:49.110
USBを完全にブロックすることもできるが､

06:49.110 --> 06:51.630
そうするとヘッドフォンやウェブカメラ､

06:51.630 --> 06:55.050
マウスやキーボードなどが使えなくなる｡

06:55.050 --> 06:58.020
USBメモリやフラッシュドライブ､

06:58.020 --> 07:06.870
外付けハードドライブなどをシステムに接続できないようにするのだ｡

07:06.870 --> 07:10.110
これにより､ マルウェアの侵入を防ぐことができる｡

07:10.110 --> 07:14.880
それに加えて､ データの流出を防ぐこともできる｡

07:14.880 --> 07:19.110
例えば､ あなたが政府内の極秘組織で働いているとしよう｡

07:19.110 --> 07:20.760
誰かが小さなUSBメモリーを持って入ってきて､

07:20.760 --> 07:23.700
それをコンピューターに接続し､ あなたの情報をすべてダウンロードして､

07:23.700 --> 07:27.540
それを持って玄関から出て行くことができたら困るだろう｡

07:27.540 --> 07:34.560
これを防ぐには､ USBポートをブロックしたり､

07:34.560 --> 07:45.120
大容量記憶デバイスとして使用できないようにUEFIを設定すればよい｡

07:45.120 --> 07:51.270
セキュリティに関して言えば､ BIOSやUEFIが提供できるものは主に3つあることを覚えておいてほしい｡

07:51.270 --> 07:56.910
1つ目は､ システムのさまざまな部分へのアクセスを制御するためのパスワードを設定する機能だ｡

07:56.910 --> 08:03.180
もうひとつは､ セキュアブートを有効にして､ オペレーティングシステムがロードされる前に危険にさらされていないことを確認する機能だ｡

08:03.180 --> 08:08.850
そして3つ目は､ マルウェアがシステムに侵入したり､ データがシステムから流出したりするのを防ぐために､

08:08.850 --> 08:13.083
マザーボード上のUSBポートを制限したり無効にしたりする機能だ｡