Windows 10に組み込まれた多層かつ高度なマルウェア対策機能:企業ユーザーに贈るWindows 10への乗り換え案内(10)(2/2 ページ)
Windowsのセキュリティ機能は、バージョンを経るごとに強化されてきました。「マルウェア対策」という点に絞っても、ユーザーには見えないWindowsのコア部分から、ユーザーと対話する機能まで、さまざまなセキュリティ機能を備えています。最新のWindows 10、特にEnterpriseエディションは最高レベルのマルウェア対策機能を提供します。
デバイスガード(Device Guard)
Windows 10(およびWindows Server 2016)は、「コード整合性(Code Integrity)」(Windows 10 バージョン1709では「Windows Defenderアプリケーション制御」と表現される場合もあります)を使用して、ポリシーベースで未署名のドライバや許可されていないWindowsアプリケーション/ストアアプリの実行をブロックする機能を標準搭載しています。未署名のドライバから保護するコード整合性ポリシーは、「カーネルモードのコード整合性(KMCI)」と呼ばれ、以前のWindowsにも搭載されていました。
Windows 10(およびWindows Server 2016)では、ユーザーモードアプリケーションについてもコード整合性ポリシーを作成、配布して強制することができる「ユーザーモードのコード整合性(UMCI)」を搭載しています。ちなみに、ストアアプリ(および一部を除くWindows標準搭載のプログラム)以外のアプリの実行が許可されない、教育機関向けの「Windows 10 S」は、このコード整合性を利用してWindows 10 Proをロックダウンしたものです。
「デバイスガード(Device Guard)」は、後述するVBSというハードウェアのセキュリティ機能と組み合わせて、カーネルやメモリに対する攻撃に対して、コード整合性のセキュリティレベルを一段と高めます(画面2)。デバイスガードは、Windows 10 Enterprise(およびEducation)エディションおよびWindows Server 2016でのみサポートされる企業向けのセキュリティ機能です。
Windows Defender Exploit Protection
前述したように、Windowsのコア部分にはマルウェアに対するさまざまな軽減策が次々に追加されてきましたが、システムの動作やアプリケーションとの互換性の関係で、既定で無効化されているものも少なくありません。軽減策を有効化するには、レジストリの編集が必要な場合もあります。
全体の設定とアプリケーションごとの設定を支援するために、これまでMicrosoftは「Enhanced Migration Experience Toolkit(EMET)」を提供してきました。EMETを導入することで、Windowsが備える緩和策を有効化し、未修正あるいは未知の脆弱(ぜいじゃく)性に対するゼロデイ攻撃のリスクを軽減することができました。EMETは、新たな軽減策を、それに対応していない旧バージョンのWindowsに提供することもありました。
EMETの開発終了は既に決まっており、現行バージョン(EMET 5.5x)のサポートは2018年7月末に終了します。
- Enhanced Mitigation Experience Toolkit(Microsoft TechNet)
Windows 10 バージョン1607まではEMETをサポートしていましたが、Windows 10 バージョン1703ではEMETはテストされておらず、使用が推奨されていません。また、Windows 10 バージョン1709では、EMETのインストール自体ができなくなります。
ただし、EMETに頼らなくても、Windows 10は既定の状態で、以前のWindowsよりも高いレベルでマルウェアから保護されています。Windows 10 バージョン1709からは、Windows Defenderセキュリティセンターに「Exploit Protection」の設定が加わり、EMETと同等の設定インタフェースが提供されるようになりました(画面3)。
仮想化ベースのセキュリティ(VBS)とは?
Windowsは「リング(Ring)」と呼ばれるプロセッサの特権レベル(動作モード)を利用して、特権の高い(リング0)カーネルモードと、特権の低い(リング3)ユーザーモードを分け、カーネルモードで動作するOSのカーネルやデバイスドライバを、ユーザーモードのアプリケーションやサービスから保護しています。
これはWindowsを含むx86系OSの一般的なアーキテクチャであるため、ご存じの方も多いでしょう。そして、Hyper-Vのようなハイパーバイザー型の仮想化技術は、これらのリングの外にあるより高い特権レベル(リング1)で動作することで、同じハードウェア上で複数のOS(リング0)を同時に実行できるようにしています。
Windows 10 Enterprise(およびEducation)エディションおよびWindows Server 2016でのみサポートされる「仮想化ベースのセキュリティ(VBS)」は、この垂直方向のリングによる特権レベルの分割と、水平方向で交わる「仮想信頼レベル(Virtual Trust Level:VTL)」という新しい分離の概念を導入します(図1)。
VBSはHyper-Vの仮想化技術を利用して、通常のWindowsカーネル(%Windir%\System32\ntoskrnl.exe)とは別のパーティションで「セキュアカーネル」(%Windir%\System32\securekernel.exe)を稼働させ、保護のレベルを拡張します(画面4)。
画面4 VBS、デバイスガード、資格情報ガードが有効になっているWindows 10 バージョン1607の「タスクマネージャー」と「システム情報(Msinfo32.exe)」。プロセス一覧にセキュアカーネルの存在を示す「Secure System」という疑似プロセスが見える
VBSを有効にした場合、通常のWindowsカーネルはVTL 0で動作し、通常のユーザーモードアプリケーションを実行できます。一方、セキュアカーネルはVTL 1で動作し、その上に「分離ユーザーモード(Isolated User Mode:IUM)」が提供されます。VTL 0からVTL 1へのアクセスは、セキュアカーネルを介して行われる制限された操作に限られ、VTL 0からVTL 1の分離ユーザーモードに直接的にアクセスすることはできません。VTL 1の分離ユーザーモードからVTL 0への直接的なアクセスもできません。
資格情報ガードとデバイスガードは、このVBSの新しい分離環境を利用して、高度に保護されます。例えば、通常のWindowsでは「ローカルセキュリティ機関(Lsass.exe)」がWindowsの認証を担当しますが、VBSが有効な場合、認証要求はセキュアカーネルを介して分離ユーザーモードで動作する「分離されたローカルセキュリティ機関(Lsaiso.exe)」に渡され、VTL 1内で処理されます。これにより、資格情報マネージャーと資格情報が悪意のある攻撃から保護されます。
VBSのハードウェア要件は機種選定のポイント
資格情報ガードおよびデバイスガードは、VBSの機能に依存します。そして、VBSの機能はHyper-Vの機能に依存します。そのため、これらの機能を利用するには、Hyper-Vのシステム要件(x64プロセッサ、Intel VTまたはAMD-V、第二レベルアドレス変換拡張機能:SLAT)を満たすことが必須です。また、UEFIセキュアブートが利用可能で、有効になっていることも必須です。オプションで、TPM 2.0とDMA(Direct Memory Access)に対応したIOMMU(入出力メモリ管理ユニット)が使用可能であることが推奨されます。
Windows 10 Enterpriseに備わっているこれらセキュリティ機能の利用を検討している場合は、既に導入済みのコンピュータが対応しているかどうかを確認してください。また、新規導入する場合は、ハードウェア選定の重要な判断材料になります。
なお、Windows 10のバージョンによって、システム要件や構成方法が異なることにも注意してください。詳しくは、以下のドキュメントに説明されています。
- Windows Defender Credential Guardの要件(Microsoft Windows IT Center)
- Windows Defender Device Guardの概要:仮想化ベースのセキュリティとコードの整合性ポリシー(Microsoft Windows IT Center)
筆者紹介
山市 良(やまいち りょう)
岩手県花巻市在住。Microsoft MVP:Cloud and Datacenter Management(Oct 2008 - Sep 2016)。SIer、IT出版社、中堅企業のシステム管理者を経て、フリーのテクニカルライターに。Microsoft製品、テクノロジーを中心に、IT雑誌、Webサイトへの記事の寄稿、ドキュメント作成、事例取材などを手掛ける。個人ブログは『山市良のえぬなんとかわーるど』。近著は『Windows Server 2016テクノロジ入門−完全版』(日経BP社)。
Copyright © ITmedia, Inc. All Rights Reserved.
関連記事
Microsoft、業務PC自動セットアップツール「Windows AutoPilot」を提供
Microsoftは「Windows 10 Fall Creators Update」で、IT管理者向けに組織内へのPC展開と管理を容易にする一連の新機能「Windows AutoPilot」を提供する。
Windows 10 Fall Creators Updateに搭載される「次世代」のセキュリティ機能
Microsoftが「Windows 10 Fall Creators Update」に搭載する次世代セキュリティ機能を紹介。「Windows Defender ATP」に含まれるツールを大幅に拡充することを明らかにした。
「Windows 10 Fall Creators Update」に搭載される新機能まとめ
マイクロソフトはWindowsの次期大型アップデート「Windows 10 Fall Creators Update」を2017年後半にリリースすると発表。Windows MRやiOS/Androidも包括したマルチプラットフォーム対応など、コンシューマー/技術者それぞれに向けた新機能を多数リリースする。
Windows 10 Creators Updateがやってきた!――確実にアップグレードする方法を再確認
2017年4月6日(日本時間、以下同)、Windows 10の最新バージョンである「Windows 10 Creators Update」が正式にリリースされ、利用可能になりました。4月12日からはWindows Updateを通じた配布が段階的に始まります。