仮想マシンのための「仮想TPM」――仮想化ベースのセキュリティ(その2)vNextに備えよ! 次期Windows Serverのココに注目(35)

「仮想化ベースのセキュリティ(VBS)」は、Windows Server 2016およびWindows 10 Enterpriseに搭載されるセキュリティのための分離環境です。今回は、仮想化ベースのセキュリティが提供する「仮想TPM(Virtual TPM)」について説明します。

» 2015年12月01日 05時00分 公開
[山市良テクニカルライター]
「vNextに備えよ! 次期Windows Serverのココに注目」のインデックス

連載目次

Host Guardian Serviceの仮想マシン保護にも使われる仮想TPM

 「仮想化ベースのセキュリティ(Virtualization-Based Security:VBS)」は、Windows Server 2016、Windows 10 EnterpriseおよびEducationでサポートされる新しいセキュリティ機能です。仮想化ベースのセキュリティはHyper-Vを利用した分離環境を利用して、前回説明した「デバイスガード(Device Guard)」と「資格情報ガード(Credential Guard)」、そして今回説明する「仮想TPM(Virtual Trusted Platform Module:Virtual TPM)」という機能を提供します。

図1 図1 「仮想TPM(Virtual TPM)」は、仮想化ベースのセキュリティがHyper-V仮想マシンに対して提供する仮想デバイス

 仮想TPMは、Hyper-V上の仮想マシンに割り当てることができる“新しい仮想デバイスの一つ”です。本連載で以前説明した「Host Guardian Service(HGS)」では、仮想マシンのシールドに仮想TPMを利用します。

 Windows Server 2016 Technical Preview 2(TP2)/Technical Preview 3(TP3)では、仮想TPMはWindows PowerShellの「Add-VMTPM」および「Set-VMTPM」コマンドレットを使用して仮想マシンに追加し、構成する必要がありました。

 Windows 10 Insider Preview ビルド10565以降では、「Hyper-Vマネージャー」のGUI(グラフィカルユーザーインターフェース)で構成できるように改善されています。本稿ではWindows 10 Insider Preview ビルド10565を使って説明しますが、より新しいビルドであるWindows 10の「November Update」として知られるWindows 10 バージョン1511 ビルド10586や、つい先日リリースされたばかりのWindows Server 2016 Technical Preview 4(TP4)でも同様に、Hyper-VマネージャーのGUIを使用して構成することができます(画面1)。

画面1 画面1 「Hyper-Vマネージャー」の仮想マシンの設定画面で仮想TPMを構成できるようになった(画面はWindows 10 Insider Preview ビルド10565)

 Hyper-Vマネージャーから構成できるようになっても、「仮想化ベースのセキュリティ」が有効になっていなければ、この機能は利用できません。仮想TPMの有効化は失敗します。

 「仮想化ベースのセキュリティ」を有効化するには、前回説明したようにWindows 10やWindows Server 2016に「Hyper-V」と「分離ユーザーモード」の機能をインストールして、ローカルコンピューターポリシーで「仮想化ベースのセキュリティを有効化にする」ポリシーを構成する必要があります(画面2)。

画面2 画面2 仮想TPMを利用するには「Hyper-V」と「分離ユーザーモード」のインストールとポリシーによる有効化が必要

仮想TPMはTPM 2.0として認識、Hyper-Vホストに物理TPMは不要

 仮想TPMは、Hyper-Vの“第2世代仮想マシン”でサポートされます。仮想TPMを有効化した仮想マシンを起動すると、仮想マシンのゲストOSはセキュリティデバイスとして「トラステッドプラットフォームモジュール 2.0」(TPM 2.0)を認識します(画面3)。

画面3 画面3 仮想TPMを有効化した仮想マシンのゲストOSは、TPM 2.0デバイスとして認識する

 仮想マシンのゲストOSは、TPM 2.0デバイス(仮想TPM)を使用してOSディスクの「BitLockerドライブ暗号化」機能を有効化したり、「TPM仮想スマートカード」を作成したりできます。TPM仮想スマートカードは、Windows 8で初めてサポートされた機能であり、ユーザーの証明書を格納したスマートカードによる認証などに利用できます(画面4)。

画面4 画面4 仮想TPMを利用して「TPM仮想スマートカード」を作成しているところ

 なお、仮想マシンに対して仮想TPMを提供するために「仮想化ベースのセキュリティ」は、自己署名証明書を自動的に作成して、仮想TPMのデータを保護しているようです。確認はしていませんが、仮想TPMが有効になっている仮想マシンを別のHyper-Vホストに移動しても、仮想TPMを初期化できずに起動に失敗するはずです。

 つまり、仮想マシンのOSディスクが仮想TPMを使ってBitLockerドライブ暗号化で暗号化されていれば、他のHyper-Vホスト上ではOSディスクの暗号化ロックを解除できないので、意図せず流出してしまった仮想マシンのイメージとその内容を保護できるということです。

 Host Guardian Serviceの場合は、「Key Protection Server」から取得した証明書で仮想TPMを実現し、仮想マシンのシールドに使用します。これにより、シールド作業に使用したHyper-Vホスト以外には、Host Guardian Serviceで検証された信頼されるHyper-Vホストだけが、この仮想TPMを持つ仮想マシンを実行できることになります。

 最後に仮想TPMについて重要な点を一つ。仮想TPMを利用するために、Hyper-Vホストのハードウエアは物理的なTPMチップを備えている必要はありません。仮想化ベースのセキュリティにおいてTPM(しかもTPM 2.0の必要がある)は、資格情報ガードを強化するオプションです。仮想TPMには関係していないのです。

「vNextに備えよ! 次期Windows Serverのココに注目」バックナンバー

筆者紹介

山市 良(やまいち りょう)

岩手県花巻市在住。Microsoft MVP:Hyper-V(Oct 2008 - Sep 2016)。SIer、IT出版社、中堅企業のシステム管理者を経て、フリーのテクニカルライターに。マイクロソフト製品、テクノロジを中心に、IT雑誌、Webサイトへの記事の寄稿、ドキュメント作成、事例取材などを手がける。個人ブログは『山市良のえぬなんとかわーるど』。


Copyright © ITmedia, Inc. All Rights Reserved.

スポンサーからのお知らせPR

注目のテーマ

AI for エンジニアリング
「サプライチェーン攻撃」対策
1P情シスのための脆弱性管理/対策の現実解
OSSのサプライチェーン管理、取るべきアクションとは
Microsoft & Windows最前線2024
システム開発ノウハウ 【発注ナビ】PR
あなたにおすすめの記事PR

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。