Microsoftは、Copalt+ PCS向けに設計されたリコール機能のセキュリティおよびプライバシーアーキテクチャに関する新しい詳細と保証を共有しています。
この機能は、ユーザーが以前にPCで見たコンテンツを簡単に見つけるのを支援することを目的としており、画面上のコンテンツを管理するシームレスなエクスペリエンスを提供します。ただし、その強力な能力により、リコールは潜在的なセキュリティリスクをめぐる精査に直面しています。
リコールはそうでした懸念に会いましたその開発の早い段階で、特に地元のデータストレージと機密情報の露出のリスクをめぐる。セキュリティ研究者ケビン・ボーモントはリスクを強調したローカルストレージの復号化、データ抽出の容易さ、ユーザー制御の欠如、および機密データ露出の可能性に関連付けられています。 Microsoft'sオプトインデザイン、強化されたユーザーコントロール、および暗号化に焦点を当てたセキュリティ対策が、不正なデータアクセスと大規模な侵害を防ぐことを目的とした、この批判に対する直接的な対応として導入されました。
Recallのデザイン原則
デビッド・ウェストンによると、MicrosoftのEnterprise and OS Securityの副社長と、ユーザーデータを保護するための4つのコア原則でリコールが開発されています。
ユーザーコントロール:リコールは完全にオプトイン機能です。ユーザーは、Copilot+セットアッププロセス中に積極的に有効にする必要があり、デフォルトではオフのままです。さらに、ユーザーは、任意の時点でリコールを削除、一時停止、またはオフにすることを完全に制御できます。
暗号化と重要な保護:画面上で表示されるものを表すリコールによって保存されたスナップショットは暗号化され、その復号化キーは信頼できるプラットフォームモジュール(TPM)内で保護されています。さらに、これらのキーを含む操作は、安全な仮想化ベースのセキュリティエンクレーブ(VBSエンクレーブ)内で発生し、不正アクセスを防ぎます。
サービス分離:スナップショットデータを処理および復号化する操作は、VBSエンクレーブ内で分離されます。この分離により、不正なコードまたはユーザーがリコール内に保存されている機密情報にアクセスすることができなくなります。
ユーザーの意図と承認:設定の変更やユーザーインターフェイスへのアクセスなど、リコールのユーザーアクションには、Windows Hello Enhanced Signin Security(ESS)を介した明示的な承認が必要です。 ESSには、指紋や顔の認識などの生体認証が含まれ、セキュリティの追加層を追加します。
強化されたセキュリティアーキテクチャ
Recallは、Azureと同じハイパーバイザーテクノロジーを使用して、システムのメモリ内に孤立した安全な領域を作成するVBSエンクレーブのパワーを活用します。このアーキテクチャは、ゼロトラストの原則に従います。つまり、スナップショット処理のような機密操作が実行される前に、環境を安全に証明する必要があります。
スナップショットとその関連データは、Windows Hello Credentialsを使用してユーザーを認証した後にのみアクセスできます。この保護は、許可されていないアクセスだけでなく、マルウェアのリコールデータを活用しようとする試みも、レート制限やハンマーのメカニズムなどの機能を介して保護されています。
Recallの安全なアーキテクチャは、次のようないくつかの重要なコンポーネントに基づいています。
- リコール用のセキュリティ構成は、VBSエンクレーブ内の保護データストアに保存されます。これらの設定を変更しようとするには、ユーザーの承認が必要です。
- ユーザーがスナップショットを効果的に検索できるようにするには、コンテンツをベクターに変換し、VBSエンクレーブ内に暗号化および保存されます。すべての検索およびクエリ操作は、この飛び地内で安全に実行されます。
- タイムスタンプやアプリの詳細などのスナップショットやメタデータは、デバイスにローカルに保存され、個別に暗号化されます。暗号化キーは、VBSエンクレーブによって保護されています。
- スナップショットを検索および表示するためのユーザーインターフェイスは、セキュアエンクレーブの外で動作しますが、スナップショットサービスはデータの保存、クエリ、処理を安全に担当します。
詳細な監査
Microsoftは、さまざまな搾取シナリオに対するRecallのセキュリティを検証するために、広範なセキュリティレビューを実施したと言います。これらの中で最も重要なことは、次のように強調表示されます。
- Microsoft Offensive Research&Security Engineering(MORSE)チームは、数か月にわたって設計レビューと浸透テストを実施しました。
- 独立したセキュリティベンダーは、Recallのアーキテクチャを評価するためにセキュリティレビューと浸透テストを実施しました。
- リコールは、Microsoftの公平性、プライバシー、セキュリティの原則に沿った潜在的なリスク、害、および緩和戦略に対処するために、責任あるAI影響評価を受けました。
最後に、「安全なコア」標準を満たすCopilot+ PCのみがRecallを利用できることに注意することが重要です。したがって、コンピューターがこのカテゴリに属していない場合、機能は利用できません。これらのデバイスには、BitLocker暗号化、ハードウェアルートセキュリティ用のTPM 2.0、仮想化ベースのセキュリティ(VBS)、カーネルDMA保護、および測定ブートやシステムガードセキュアローンチなどのダイナミックルートオブトラスト測定などの高度なセキュリティ対策が装備されています。