仮想マシンのための「仮想TPM」――仮想化ベースのセキュリティ（その2）：vNextに備えよ！ 次期Windows Serverのココに注目（35）

「仮想化ベースのセキュリティ（VBS）」は、Windows Server 2016およびWindows 10 Enterpriseに搭載されるセキュリティのための分離環境です。今回は、仮想化ベースのセキュリティが提供する「仮想TPM（Virtual TPM）」について説明します。

[山市良，テクニカルライター]

連載目次

Host Guardian Serviceの仮想マシン保護にも使われる仮想TPM

　「仮想化ベースのセキュリティ（Virtualization-Based Security：VBS）」は、Windows Server 2016、Windows 10 EnterpriseおよびEducationでサポートされる新しいセキュリティ機能です。仮想化ベースのセキュリティはHyper-Vを利用した分離環境を利用して、前回説明した「デバイスガード（Device Guard）」と「資格情報ガード（Credential Guard）」、そして今回説明する「仮想TPM（Virtual Trusted Platform Module：Virtual TPM）」という機能を提供します。

• 物理マシンとユーザーのための「デバイスガード」と「資格情報ガード」――仮想化ベースのセキュリティ（その1）（本連載 第34回）

図1　「仮想TPM（Virtual TPM）」は、仮想化ベースのセキュリティがHyper-V仮想マシンに対して提供する仮想デバイス

　仮想TPMは、Hyper-V上の仮想マシンに割り当てることができる“新しい仮想デバイスの一つ”です。本連載で以前説明した「Host Guardian Service（HGS）」では、仮想マシンのシールドに仮想TPMを利用します。

• Windows Server 2016世代のクラウド基盤の守護者、Host Guardian Serviceとは（本連載 第17回）

　Windows Server 2016 Technical Preview 2（TP2）／Technical Preview 3（TP3）では、仮想TPMはWindows PowerShellの「Add-VMTPM」および「Set-VMTPM」コマンドレットを使用して仮想マシンに追加し、構成する必要がありました。

　Windows 10 Insider Preview ビルド10565以降では、「Hyper-Vマネージャー」のGUI（グラフィカルユーザーインターフェース）で構成できるように改善されています。本稿ではWindows 10 Insider Preview ビルド10565を使って説明しますが、より新しいビルドであるWindows 10の「November Update」として知られるWindows 10 バージョン1511 ビルド10586や、つい先日リリースされたばかりのWindows Server 2016 Technical Preview 4（TP4）でも同様に、Hyper-VマネージャーのGUIを使用して構成することができます（画面1）。

画面1　「Hyper-Vマネージャー」の仮想マシンの設定画面で仮想TPMを構成できるようになった（画面はWindows 10 Insider Preview ビルド10565）

　Hyper-Vマネージャーから構成できるようになっても、「仮想化ベースのセキュリティ」が有効になっていなければ、この機能は利用できません。仮想TPMの有効化は失敗します。

　「仮想化ベースのセキュリティ」を有効化するには、前回説明したようにWindows 10やWindows Server 2016に「Hyper-V」と「分離ユーザーモード」の機能をインストールして、ローカルコンピューターポリシーで「仮想化ベースのセキュリティを有効化にする」ポリシーを構成する必要があります（画面2）。

画面2　仮想TPMを利用するには「Hyper-V」と「分離ユーザーモード」のインストールとポリシーによる有効化が必要

仮想TPMはTPM 2.0として認識、Hyper-Vホストに物理TPMは不要

　仮想TPMは、Hyper-Vの“第2世代仮想マシン”でサポートされます。仮想TPMを有効化した仮想マシンを起動すると、仮想マシンのゲストOSはセキュリティデバイスとして「トラステッドプラットフォームモジュール 2.0」（TPM 2.0）を認識します（画面3）。

画面3　仮想TPMを有効化した仮想マシンのゲストOSは、TPM 2.0デバイスとして認識する

　仮想マシンのゲストOSは、TPM 2.0デバイス（仮想TPM）を使用してOSディスクの「BitLockerドライブ暗号化」機能を有効化したり、「TPM仮想スマートカード」を作成したりできます。TPM仮想スマートカードは、Windows 8で初めてサポートされた機能であり、ユーザーの証明書を格納したスマートカードによる認証などに利用できます（画面4）。

画面4　仮想TPMを利用して「TPM仮想スマートカード」を作成しているところ

　なお、仮想マシンに対して仮想TPMを提供するために「仮想化ベースのセキュリティ」は、自己署名証明書を自動的に作成して、仮想TPMのデータを保護しているようです。確認はしていませんが、仮想TPMが有効になっている仮想マシンを別のHyper-Vホストに移動しても、仮想TPMを初期化できずに起動に失敗するはずです。

　つまり、仮想マシンのOSディスクが仮想TPMを使ってBitLockerドライブ暗号化で暗号化されていれば、他のHyper-Vホスト上ではOSディスクの暗号化ロックを解除できないので、意図せず流出してしまった仮想マシンのイメージとその内容を保護できるということです。

　Host Guardian Serviceの場合は、「Key Protection Server」から取得した証明書で仮想TPMを実現し、仮想マシンのシールドに使用します。これにより、シールド作業に使用したHyper-Vホスト以外には、Host Guardian Serviceで検証された信頼されるHyper-Vホストだけが、この仮想TPMを持つ仮想マシンを実行できることになります。

　最後に仮想TPMについて重要な点を一つ。仮想TPMを利用するために、Hyper-Vホストのハードウエアは物理的なTPMチップを備えている必要はありません。仮想化ベースのセキュリティにおいてTPM（しかもTPM 2.0の必要がある）は、資格情報ガードを強化するオプションです。仮想TPMには関係していないのです。

「vNextに備えよ！ 次期Windows Serverのココに注目」バックナンバー

• 「パスワードのない世界」を実現する「Windows Hello for Business」のオンプレ展開をリアルレポート（その6）
• 「パスワードのない世界」を実現する「Windows Hello for Business」のオンプレ展開をリアルレポート（その5）
• 「パスワードのない世界」を実現する「Windows Hello for Business」のオンプレ展開をリアルレポート（その4）
• 「パスワードのない世界」を実現する「Windows Hello for Business」のオンプレ展開をリアルレポート（その3）
• 「パスワードのない世界」を実現する「Windows Hello for Business」のオンプレ展開をリアルレポート（その2）
• 「パスワードのない世界」を実現する「Windows Hello for Business」のオンプレ展開をリアルレポート（その1）
• ついに完成、Windows Server 2016 評価版をインストールしてみた
• Windows Server 2016の「サーバー管理ツール」に追加された4つの新機能
• 小規模ビジネス専用エディション、Windows Server 2016 Essentialsの機能と役割
• 管理者権限をコントロールする2つのアプローチ――必要最低限の管理（JEA）と特権アクセス管理（PAM）
• Hyper-Vホストクラスタの新機能（2）──仮想マシンの開始順序
• 速報！ Windows Server 2016の正式リリースは2016年9月末に
• Hyper-Vホストクラスタの新機能──仮想マシンのノードフェアネス
• Dockerとの相互運用性が向上したWindowsコンテナ［後編］
• Dockerとの相互運用性が向上したWindowsコンテナ［前編］
• いつでも、どこからでも使える、Windows Server 2016向けリモート管理ツール「サーバー管理ツール」
• Windows Server 2016 TP5の「サーバーの役割と機能」、TP4からの変更点まとめ
• Windows Server 2016 Technical Preview 5の評価方法と注意点
• Hyper-V上のLinux仮想マシンで新たにサポートされる機能
• 実録：Windows ServerコンテナでSQL Serverを動かしてみた
• Windows Server 2016で大きく変わるライセンスモデル
• Windows 10の「ワークプレース参加」はどうなる？［後編］
• Windows 10の「ワークプレース参加」はどうなる？［前編］
• 意外と賢くなったWindows Server 2016のWindows Defender
• パブリッククラウドでDaaSを可能にするWindows Server 2016の新機能
• 実運用への道に近づいた、新しい「Nano Server」［後編］
• 実運用への道に近づいた、新しい「Nano Server」［前編］
• 明らかになった「Hyper-Vコンテナー」の正体（2）――コンテナーホストのセットアップ方法
• 明らかになった「Hyper-Vコンテナー」の正体（1）――その仕組みと管理方法
• ついに日本語版が登場、Windows Server 2016テクニカルプレビューこれまでのまとめ
• 仮想マシンのための「仮想TPM」――仮想化ベースのセキュリティ（その2）
• 物理マシンとユーザーのための「デバイスガード」と「資格情報ガード」――仮想化ベースのセキュリティ（その1）
• “Hyper-Vの中のHyper-V”で仮想マシンを動かす
• ADドメインはもう不要？ ワークグループでクラスター作成が可能に――フェイルオーバークラスターの新機能（その3）
• 可用性をさらに高めるクォーラム監視オプション「クラウド監視」――フェイルオーバークラスターの新機能（その2）
• 短時間のノード障害に耐える仮想マシン――フェイルオーバークラスターの新機能（その1）
• WindowsコンテナーをDockerから操作するには？――あなたの知らないコンテナーの世界（その4）
• IISコンテナーの作成で理解するコンテナーのネットワーク機能――あなたの知らないコンテナーの世界（その3）
• 所要時間は1分未満！ 今すぐできるWindows Serverコンテナーの作り方――あなたの知らないコンテナーの世界（その2）
• Windows ServerのDockerサポートとは？――あなたの知らないコンテナーの世界（その1）
• 注目のDockerサポートは？ Nano Serverは？――Windows Server 2016 Technical Preview 3登場！ 新機能ピックアップ
• 「Webアプリケーションプロキシ」はマルチデバイス環境におけるリモートアクセスの“要”
• クラウド時代のセキュリティ担保にはActive Directoryフェデレーションサービスが必須となる？
• 4ステップで理解する「ストレージレプリカ」のセットアップと構成方法
• 低コストでデータの災害復旧対策を実現する新たなSDS「ストレージレプリカ」とは
• 記憶域スペースの新機能「記憶域スペースダイレクト」を理解する（後編）
• 記憶域スペースの新機能「記憶域スペースダイレクト」を理解する（前編）
• Hyper-Vホストから仮想マシンゲストの操作を可能にするPowerShell Directとは
• Windows Server 2016世代のクラウド基盤の守護者、Host Guardian Serviceとは
• 注目のNano Server、その謎に迫る――コンテナー技術との関係はいかに？

筆者紹介

山市 良（やまいち りょう）

岩手県花巻市在住。Microsoft MVP：Hyper-V（Oct 2008 - Sep 2016）。SIer、IT出版社、中堅企業のシステム管理者を経て、フリーのテクニカルライターに。マイクロソフト製品、テクノロジを中心に、IT雑誌、Webサイトへの記事の寄稿、ドキュメント作成、事例取材などを手がける。個人ブログは『山市良のえぬなんとかわーるど』。