Windows 10 Enterpriseエディションには、企業で使うPCやユーザーID、データが直面している新たなセキュリティ脅威に対抗する、これまでのWindowsにはない新しいセキュリティ機能が搭載されている。今回は、Windows 10 Enterprise(およびEducation)エディション限定のセキュリティ機能である「資格情報ガード(Credential Guard)」と「デバイスガード(Device Guard)」を紹介する。
仮想化技術でセキュリティレイヤーを分離する「仮想化ベースのセキュリティ」
最初に、資格情報ガードとデバイスガードの概要を押さえておこう。資格情報ガードは、ウイルスなどの悪質なプログラムまたは不正アクセスからPC内に保存された資格情報(IDとパスワード)を守る機能。そしてデバイスガードは、悪質なプログラムまたは企業が使用を認めていないプログラムが勝手に動作できないようにする機能である。
Windows 10には、同様の目的を持つセキュリティ機能がほかにもある。例えば、ウイルスへの対抗策としては、Windows Defenderが搭載されている。悪質なプログラムや企業が認めていないプログラムの動作をコントロールしたり、不正アクセスを防いだりする機能としては、Windowsファイアウォールが既にある。ただしそれらと資格情報ガードおよびデバイスガードでは、防御の手法が異なる。手法が異なる複数の防御策を併用すれば、それだけセキュリティを高くすることができるわけだ。
資格情報ガードとデバイスガードは、どちらも「仮想化ベースのセキュリティ(Virtualization-Based Security:VBS)」と呼ばれる技術に基づいている。これは、Windows 10 ProおよびHomeエディションでは提供されない、企業向けの高度なセキュリティ機能である。
仮想化ベースのセキュリティは、64ビット版Windows 10が備えるハイパーバイザー「Hyper-V」※の仮想化技術を利用して、セキュリティコンポーネント(OSに含まれる、セキュリティ機能を提供するプログラム群のこと)をOSから分離する。実行中のOSとは別の領域で動作するセキュリティコンポーネントは、実行中のOSから管理者権限を用いてもアクセスできないため、厳重に保護される。
資格情報ガードとデバイスガードを利用するには、以下のソフトウエア要件とハードウエア要件を満たしている必要がある。簡単に言うと、Hyper-Vに対応したUEFI※ベースのPCで、64ビット版Windows 10 Enterpriseが動作している場合に有効化できる。
●OS(必須要件):
・64ビット版Windows 10 Enterprise(およびEducation)
●ファームウエア(必須要件):
・UEFI 2.3.1以降のファームウエアを備え、セキュアブートが有効なPC
●ハードウエア仮想化(必須要件):
・Intel VT-xまたはAMD-V
・第二レベルアドレス変換拡張機能
●その他のハードウエア要件(オプション):
・メモリーへの攻撃を軽減するIntel VT-dまたはAMD-Vi IOMMU(Input/Output Memory Management Unit)
・資格情報ガードのキーを格納するTPM 2.0または1.2(TPM 1.2のサポートはWindows 10バージョン1511から)
