AMDが消費者向けRyzen CPUからメモリ暗号化機能を無告知で削除した。ファーム更新だけで企業の機密データ保護レベルが静かに低下する事態は、端末調達基準と監査体制の見直しを迫る。経営者は「ハード性能」ではなく「ハード信頼性」をROIに織り込むべき局面に入った。
何が起きたか
AMDが消費者向けRyzen CPUから、メモリ暗号化機能(SME: Secure Memory Encryption)を密かに削除した。新しいAGESAファームウェアの更新後、これまで利用可能だった機能が説明なく消滅し、AMDの技術者は質問に対して沈黙を貫いている。Hacker Newsでは400ポイント超の議論が立ち上がり、エンジニアコミュニティの不信感が表面化した。
メモリ暗号化とは、PCのDRAM上に展開される平文データを丸ごと暗号化し、物理的にメモリモジュールを引き抜かれても中身を読み取れなくする仕組みである。コールドブート攻撃や、盗難ノートPCからの情報窃取に対する最後の砦であり、機密情報を扱う企業にとっては「あって当然」のセキュリティ機能だった。それが、ユーザーへの通知なくファーム更新一発で消えた——これが今回の事案の核である。
なぜこのニュースが重要か
経営者として注視すべきは、AMD単体の不祥事ではなく「ハードウェア前提が一夜で変わるリスク」が顕在化したことだ。
企業のセキュリティ投資は、CPU・OS・ソフトの三層スタックを前提に積み上げられている。エンドポイントDLP、ディスク暗号化、ゼロトラスト——すべてはハードウェアが約束する基礎機能の上に成立する。その土台がベンダー都合で無告知に変更されれば、上に積み上げた投資のROIは根底から揺らぐ。
特に問題なのは「監査対応の盲点」である。ISO27001、SOC2、各種業界規制において「メモリ暗号化を実装している」と回答してきた企業は、ファーム更新後にその前提が崩れていることに気付かないまま監査を通過しているリスクがある。情報漏洩が発生した際、「ベンダーが黙って外した」は免責理由にならない。賠償と信用毀損のコストは、CPU調達コストの数百倍に膨れ上がる。
現場には「大半のユーザーには不要で消費電力が増えるだけ、ビジネス判断として妥当」という冷静な見方もある。確かに技術的合理性はある。だが、無告知で削るという「コミュニケーションの欠如」こそが、BtoB顧客の信頼を毀損する最大の論点だ。
経営判断への含意
蛙田の視点で踏み込みたいのは、「コンシューマー製品を業務に流用する時代の終わり」である。
多くの中堅企業は、コスト最適化のために業務PCに消費者向けRyzen搭載モデルを採用してきた。Ryzen 7や9はXeonやRyzen Proに比べて2〜4割安く、性能も遜色ない——という調達判断は、過去5年の定石だった。しかし今回の件で、その方程式に「セキュリティ機能の継続性」という新変数が加わる。
検索ボリューム月間49,000を誇る「AMD」というブランドは、ゲーミング・クリエイティブ用途では依然強力だが、エンタープライズ調達基準においては「Ryzen Pro」「EPYC」「Intel vPro」という、機能保証付きのSKUに収斂すべきだ。価格差は1台あたり1〜3万円。500台規模の企業で年間1,500万円の追加コストになるが、漏洩1件あたりの平均損害額(IPA推定で数千万〜数億円)と比較すれば、明確に投資すべきポイントである。
さらに本質的な問いは、「ベンダーが沈黙する文化」をどう評価するかだ。AMD技術者の説明拒否は、AI時代に企業が依存するインフラベンダーの透明性を測る試金石になる。NVIDIA、Intel、AMD、Armの中で誰がエンタープライズの信頼に値するのか——CIOは調達基準に「ベンダー透明性スコア」を加える時期に来ている。
経営者として次に取るべき動き
第一に、自社の業務PC資産の棚卸しを今週中に実施すること。Ryzen搭載モデルが何台、どの部署で、どのAGESAバージョンで稼働しているかを把握する。把握できない時点で、それ自体がガバナンス課題である。
第二に、機密情報取扱端末の調達基準を即時改定すること。「メモリ暗号化機能を恒久的に保証するSKU」をスペック要件に明記し、Ryzen Pro、Intel vPro、EPYCなど業務向けラインに限定する。価格差は保険料と捉えるべきだ。
第三に、主要ハードベンダーとの調達契約に「セキュリティ機能の事前告知義務条項」を盛り込む交渉を開始すること。500台以上の調達規模があれば交渉力は十分にある。今回のAMD案件を引き合いに、業界標準を引き上げる側に回ることが、長期のリスクヘッジになる。沈黙するベンダーには、契約で語らせるしかない。