物理マシンとユーザーのための「デバイスガード」と「資格情報ガード」――仮想化ベースのセキュリティ(その1):vNextに備えよ! 次期Windows Serverのココに注目(34)(1/2 ページ)
「仮想化ベースのセキュリティ(VBS)」は、Windows Server 2016およびWindows 10 Enterpriseに搭載されるセキュリティのための分離環境です。今回は、仮想化ベースのセキュリティが提供する「デバイスガード」と「資格情報ガード」について説明します。
デバイスガード/資格情報ガードと仮想化ベースのセキュリティ(VBS)との関係は?
Windows Server 2016、64ビット版Windows 10 Enterprise(Enterprise LTSBを含む)、64ビット版Windows 10 Educationには、「デバイスガード(Device Guard)」と「資格情報ガード(Credential Guard)」という新しいセキュリティ機能が搭載されます。この新しいセキュリティ機能の詳細は、以下のマイクロソフトのドキュメントで説明されています。
- Device Guard overview[英語](Microsoft TechNet)
- Protect domain credentials with Credential Guard[英語](Microsoft TechNet)
デバイスガードは「コードの整合性(Code Integrity)」を検証することでWindowsをマルウエアなどの脅威から保護するセキュリティ機能、資格情報ガードはWindows認証ユーザーの資格情報を保護するセキュリティ機能です。これらのセキュリティ機能は「仮想化ベースのセキュリティ(Virtualization-Based Security:VBS)」という、Hyper-Vベースの分離環境に依存しています。
仮想化ベースのセキュリティはHyper-Vの仮想化機能を利用し、Windowsのセキュリティコンポーネントの一部をWindows 10のオペレーティングシステムから分離して、アクセスが厳しく制限されるセキュアなマイクロカーネル上のプロセスとして動作させます(図1)。
仮想化ベースのセキュリティのハードウエア要件
仮想化ベースのセキュリティ機能を利用するには、ハードウエアが以下の要件を満たしている必要があります。簡単にいうと、UEFIセキュアブートとHyper-Vが有効なPCです。
- UEFI(Unified Extensible Firmware Interface)2.3.1以降のファームウエア:UEFIセキュアブートが有効になっていること
- ハードウエア仮想化支援:Hyper-Vのシステム要件、Intel VT-xまたはAMD-V
- 第二レベルアドレス変換拡張(Second Level Address Translation:SLAT):Hyper-Vのシステム要件、Intel EPTまたはAMD RVI(NRP、NP)
また、以下の要件は必須ではありませんが、利用可能であればセキュリティをさらに強化できます。
- IOMMU(Input/Output Memory Management Unit):DMA(Direct Memory Access)保護のサポート、Intel VT-dまたはAMD-Vi
- TPM(Trusted Platform Module)2.0:資格情報ガードの暗号化キーをTPMに格納して保護。TPM 1.2やTPMなしのPCでも資格情報ガードの有効化は可能
Windows 10 Enterprise/Educationはすでに正式リリースされており、ハードウエア要件を満たしたPCであれば、新しいセキュリティ機能を有効化できます。
早速、64ビット版Windows 10 EnterpriseのPCで新しいセキュリティ機能を試してみました。
Copyright © ITmedia, Inc. All Rights Reserved.
ITmediaはアイティメディア株式会社の登録商標です。