連載
» 2015年11月25日 05時00分 公開

vNextに備えよ! 次期Windows Serverのココに注目(34):物理マシンとユーザーのための「デバイスガード」と「資格情報ガード」――仮想化ベースのセキュリティ(その1) (1/2)

「仮想化ベースのセキュリティ(VBS)」は、Windows Server 2016およびWindows 10 Enterpriseに搭載されるセキュリティのための分離環境です。今回は、仮想化ベースのセキュリティが提供する「デバイスガード」と「資格情報ガード」について説明します。

[山市良,テクニカルライター]
「vNextに備えよ! 次期Windows Serverのココに注目」のインデックス

連載目次

デバイスガード/資格情報ガードと仮想化ベースのセキュリティ(VBS)との関係は?

 Windows Server 2016、64ビット版Windows 10 Enterprise(Enterprise LTSBを含む)、64ビット版Windows 10 Educationには、「デバイスガード(Device Guard)」と「資格情報ガード(Credential Guard)」という新しいセキュリティ機能が搭載されます。この新しいセキュリティ機能の詳細は、以下のマイクロソフトのドキュメントで説明されています。

 デバイスガードは「コードの整合性(Code Integrity)」を検証することでWindowsをマルウエアなどの脅威から保護するセキュリティ機能、資格情報ガードはWindows認証ユーザーの資格情報を保護するセキュリティ機能です。これらのセキュリティ機能は「仮想化ベースのセキュリティ(Virtualization-Based Security:VBS)」という、Hyper-Vベースの分離環境に依存しています。

 仮想化ベースのセキュリティはHyper-Vの仮想化機能を利用し、Windowsのセキュリティコンポーネントの一部をWindows 10のオペレーティングシステムから分離して、アクセスが厳しく制限されるセキュアなマイクロカーネル上のプロセスとして動作させます(図1)。

図1 図1 「仮想化ベースのセキュリティ(VBS)」が提供するデバイスガードと資格情報ガードの二つのセキュリティ機能。もう一つのセキュリティ機能「仮想TPM(Virtual TPM)」については次回に解説

仮想化ベースのセキュリティのハードウエア要件

 仮想化ベースのセキュリティ機能を利用するには、ハードウエアが以下の要件を満たしている必要があります。簡単にいうと、UEFIセキュアブートとHyper-Vが有効なPCです。

  • UEFI(Unified Extensible Firmware Interface)2.3.1以降のファームウエア:UEFIセキュアブートが有効になっていること
  • ハードウエア仮想化支援:Hyper-Vのシステム要件、Intel VT-xまたはAMD-V
  • 第二レベルアドレス変換拡張(Second Level Address Translation:SLAT):Hyper-Vのシステム要件、Intel EPTまたはAMD RVI(NRP、NP)

 また、以下の要件は必須ではありませんが、利用可能であればセキュリティをさらに強化できます。

  • IOMMU(Input/Output Memory Management Unit):DMA(Direct Memory Access)保護のサポート、Intel VT-dまたはAMD-Vi
  • TPM(Trusted Platform Module)2.0:資格情報ガードの暗号化キーをTPMに格納して保護。TPM 1.2やTPMなしのPCでも資格情報ガードの有効化は可能

 Windows 10 Enterprise/Educationはすでに正式リリースされており、ハードウエア要件を満たしたPCであれば、新しいセキュリティ機能を有効化できます。

 早速、64ビット版Windows 10 EnterpriseのPCで新しいセキュリティ機能を試してみました。

       1|2 次のページへ

Copyright© 2017 ITmedia, Inc. All Rights Reserved.

@IT Special

- PR -

TechTargetジャパン

この記事に関連するホワイトペーパー

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。