「仮想化ベースのセキュリティ(VBS)」は、Windows Server 2016およびWindows 10 Enterpriseに搭載されるセキュリティのための分離環境です。今回は、仮想化ベースのセキュリティが提供する「デバイスガード」と「資格情報ガード」について説明します。
Windows Server 2016、64ビット版Windows 10 Enterprise(Enterprise LTSBを含む)、64ビット版Windows 10 Educationには、「デバイスガード(Device Guard)」と「資格情報ガード(Credential Guard)」という新しいセキュリティ機能が搭載されます。この新しいセキュリティ機能の詳細は、以下のマイクロソフトのドキュメントで説明されています。
デバイスガードは「コードの整合性(Code Integrity)」を検証することでWindowsをマルウエアなどの脅威から保護するセキュリティ機能、資格情報ガードはWindows認証ユーザーの資格情報を保護するセキュリティ機能です。これらのセキュリティ機能は「仮想化ベースのセキュリティ(Virtualization-Based Security:VBS)」という、Hyper-Vベースの分離環境に依存しています。
仮想化ベースのセキュリティはHyper-Vの仮想化機能を利用し、Windowsのセキュリティコンポーネントの一部をWindows 10のオペレーティングシステムから分離して、アクセスが厳しく制限されるセキュアなマイクロカーネル上のプロセスとして動作させます(図1)。
仮想化ベースのセキュリティ機能を利用するには、ハードウエアが以下の要件を満たしている必要があります。簡単にいうと、UEFIセキュアブートとHyper-Vが有効なPCです。
また、以下の要件は必須ではありませんが、利用可能であればセキュリティをさらに強化できます。
Windows 10 Enterprise/Educationはすでに正式リリースされており、ハードウエア要件を満たしたPCであれば、新しいセキュリティ機能を有効化できます。
早速、64ビット版Windows 10 EnterpriseのPCで新しいセキュリティ機能を試してみました。
Copyright © ITmedia, Inc. All Rights Reserved.