この規格 プレビューページの目次
※一部、英文及び仏文を自動翻訳した日本語訳を使用しています。
序章
現代のコンピュータは、ハードウェアの初期化プロセスとオペレーティング システムへの移行制御を容易にするために、一般にシステムの基本入出力システム (BIOS) として知られる基本的なシステム ファームウェアに依存しています。BIOS は通常、相手先商標製造会社 (OEM) と独立した BIOS ベンダーによって提供され、マザーボードまたはコンピューターの製造元によってエンド ユーザーに配布されます。メーカーは、システム ファームウェアを頻繁に更新して、バグを修正し、脆弱性にパッチを当て、新しいハードウェアをサポートしています。この国際規格は、PC クライアント システム上の BIOS ファームウェアの不正な変更を防止するためのセキュリティ要件とガイダンスを提供します。
BIOS は PC アーキテクチャ内で独自の特権的な位置にあるため、悪意のあるソフトウェアによる BIOS ファームウェアの無許可の変更は重大な脅威となります。悪意のある BIOS の変更は、組織に対する巧妙な標的型攻撃の一部である可能性があります。つまり、永続的なサービス拒否 (BIOS が破損している場合) または永続的なマルウェアの存在 (BIOS にマルウェアが埋め込まれている場合) のいずれかです。従来の BIOS 実装から Unified Extensible Firmware Interface (UEFI) に基づく実装への移行により、これらの BIOS 実装は共通の仕様に基づいているため、マルウェアが広範な方法で BIOS を標的にすることが容易になる可能性があります。
この国際規格は、現在および将来の x86 および x64 デスクトップおよびラップトップ システムに焦点を当てていますが、管理と手順はあらゆるシステム設計に適用される可能性があります。同様に、このガイドはエンタープライズ クラスのプラットフォームを対象としていますが、必要なテクノロジは時間の経過とともにコンシューマー グレードのシステムに移行することが期待されています。セキュリティ要件は、サプライ チェーン、BIOS チップの物理的な交換、または安全なローカル更新手順を通じて、非正規の BIOS のインストールを防止しようとするものではありません。
この国際規格の対象読者には、BIOS およびプラットフォーム ベンダー、ならびにエンドポイント プラットフォームのセキュリティ、セキュア ブート プロセス、およびハードウェア セキュリティ モジュールの管理を担当する情報システム セキュリティの専門家が含まれます。この資料は、企業全体の調達戦略と展開を開発する際にも役立つ場合があります。
この国際規格の内容は技術的なものであり、読者はシステムとネットワークのセキュリティについて少なくとも基本的な知識を持っていることを前提としています。国際規格は、そのような読者が議論されているトピックを理解するのに役立つ背景情報を提供します。読者は、より詳細な情報について、他のリソース (この規格にリストされているものを含む) を利用することをお勧めします。
Introduction
Modern computers rely on fundamental system firmware, commonly known as the system Basic Input/Output System (BIOS), to facilitate the hardware initialization process and transition control to the operating system. The BIOS is typically developed by both original equipment manufacturers (OEMs) and independent BIOS vendors, and is distributed to end-users by motherboard or computer manufacturers. Manufacturers frequently update system firmware to fix bugs, patch vulnerabilities, and support new hardware. This International Standard provides security requirements and guidance for preventing the unauthorized modification of BIOS firmware on PC client systems.
Unauthorized modification of BIOS firmware by malicious software constitutes a significant threat because of the BIOS’s unique and privileged position within the PC architecture. A malicious BIOS modification could be part of a sophisticated, targeted attack on an organization—either a permanent denial of service (if the BIOS is corrupted) or a persistent malware presence (if the BIOS is implanted with malware). The move from conventional BIOS implementations to implementations based on the Unified Extensible Firmware Interface (UEFI) may make it easier for malware to target the BIOS in a widespread fashion, as these BIOS implementations are based on a common specification.
This International Standard focuses on current and future x86 and x64 desktop and laptop systems, although the controls and procedures could potentially apply to any system design. Likewise, although the guide is oriented toward enterprise-class platforms, the necessary technologies are expected to migrate to consumer-grade systems over time. The security requirements do not attempt to prevent installation of unauthentic BIOSs through the supply chain, by physical replacement of the BIOS chip, or through secure local update procedures.
The intended audience for this International Standard includes BIOS and platform vendors, and information system security professionals who are responsible for managing the endpoint platforms’ security, secure boot processes, and hardware security modules. The material may also be of use when developing enterprise-wide procurement strategies and deployment.
The material in this International Standard is technically oriented, and it is assumed that readers have at least a basic understanding of system and network security. The International Standard provides background information to help such readers understand the topics that are discussed. Readers are encouraged to take advantage of other resources (including those listed in this International Standard) for more detailed information.