連載
» 2018年11月13日 05時00分 公開

山市良のうぃんどうず日記(140):未承認のワクチンですけど試してみませんか?――Windows Defenderのサンドボックス化の話 (2/2)

[山市良,テクニカルライター]
前のページへ 1|2       

目指しているのは「保護されたプロセスによる保護」+「サンドボックス化」

 Windows Defender Antivirusのマルウェア対策エンジンとネットワーク検査エンジンは、そもそも「保護されたプロセス(Protected Process)」、より細かく言えば「Protected Process Light(PPL)」という、Windowsの通常のユーザープロセスとは別の種類のプロセスとして実行されます。

 保護されたプロセスは、Windows Mediaデジタル著作権保護を目的とし、Windows Vistaで初めて実装されました。Windows 8.1ではそれを拡張したPPLにより、システムプロセスやマルウェア対策エンジンなど、セキュリティ上重要なプロセスが保護されるようになりました。保護されたプロセスは、外部からのアクセスが保護レベルに応じて厳しく制限されます。

 例えば、保護されたプロセスとして実行されるマルウェア対策エンジンは、外部からの強制終了(PROCESS_TERMINATE)が禁止されます。なお、マルウェア対策エンジンを保護されたプロセスとして実行するには、「早期起動マルウェア対策(Early-Launch Antimalware、ELAM)」に対応している必要があります。

 保護されたプロセスは、Process Explorerの「Protection」列と、ピンクの背景色(既定では表示がオフ、「Options」メニューの「Configure Colors」で「Protected Process」をオンにすることで表示)で確認できます。また、保護レベルは、プロセスのプロパティにある「Security」タブで確認できます(前出の画面3の「Protected: PsProtectedSignerAntimalware-Light」)。

 Windows Defender Antivirusは、Windows 8.1以降、保護されたプロセスとして実行されるようになりました。この機能はサードベンダーにも公開されており、以下のブログ記事で説明されているように、Windows 10 バージョン1809(October 2018 Update)からは、マルウェア対策製品の必須要件になる予定でした。しかし、筆者が使用しているサードベンダーのマルウェア対策製品は、Windows 10 バージョン1803以前も以降も、保護されたプロセスとしては実行されていません。

 完成したWindows 10 バージョン1809の既定の設定(新規インストールおよびアップグレード)を見る限り、「保護されたプロセスで実行」という要件の強制は見送られたようです(既定で「HKLM\SOFTWARE\Microsoft\Security Center\Feature」キーの「DisableAvCheck」値により無効化されています)。

 サードベンダーの対応が遅れているからなのかどうかは分かりませんが、Windows Defender Antivirusはサンドボックス化という新しい機能でさらに一歩先を行こうとしているわけです。OSの提供元という強みともいえますが、何かずるい感じもします。

Windows Defender Application Guardのサンドボックスとの明らかな違い

 Microsoft Edgeには、「Windows Defender Application Guard(WDAG)」というサンドボックス環境があります。WDAGは、Windows 10 Enterprise バージョン1709以降と、Windows 10 Pro バージョン1803以降(いずれも64bit版のみ)で有効化できます。

訂正(2019年1月28日)

 記事公開当初、Windows Defender Application Guard(WDAG)は「Windows 10 Enterprise/Education バージョン1709以降」で有効化できると表現していましたが、正しくは「Windows 10 Enterprise バージョン1709以降」です。

 Windows 10 バージョン1803で利用可能なエディションがProエディションにまで拡大されました。Windows10 バージョン1903(予定、通称19H1)では、Educationエディションにも拡大される予定です。


 Microsoft Edge自身、アプリコンテナというサンドボックス環境で動いているわけですが、WDAGはハードウェアで分離されたサンドボックス環境を用いて、システムとWDAGのMicrosoft Edgeとの隔離性を高めています。

 Microsoft Edgeがアプリコンテナで実行されることに変わりはありませんが、WDAG用の別のOSインスタンスがHyper-Vで分離された仮想化環境で動いていて、おそらくリモートデスクトッププロトコル(RDP)の技術を用いてアプリの表示と対話を可能にしています(画面5)。このサンドボックス環境を提供するために、既定で8GBのメモリ、4コアのCPU、5GBの空きディスク容量を必要とします。

画面5 画面5 WDAGはハードウェアで分離されたOSインスタンス上のMicrosoft Edgeウィンドウに、RDPの技術を利用して接続しているようなもの

 Windows Defender Antivirusのサンドボックス化と聞いて、WDAGのようなイメージを持った人がいると思いますが、両者のサンドボックス環境は全く違うものです。Windows Defender Antivirusのサンドボックス環境が「幼稚園の年少さん専用の小さな砂場」だとしたら、WDAGは「セレブなお子様向けのボディーガード付きプライベートビーチ」って感じですかね。

筆者紹介

山市 良(やまいち りょう)

岩手県花巻市在住。Microsoft MVP:Cloud and Datacenter Management(Oct 2008 - Sep 2016)。SIer、IT出版社、中堅企業のシステム管理者を経て、フリーのテクニカルライターに。Microsoft製品、テクノロジーを中心に、IT雑誌、Webサイトへの記事の寄稿、ドキュメント作成、事例取材などを手掛ける。個人ブログは『山市良のえぬなんとかわーるど』。近著は『Windows Server 2016テクノロジ入門−完全版』(日経BP社)。


前のページへ 1|2       

Copyright © ITmedia, Inc. All Rights Reserved.

「Windows 7」サポート終了 対策ナビ

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。