Windows 10に組み込まれた多層かつ高度なマルウェア対策機能：企業ユーザーに贈るWindows 10への乗り換え案内（10）（2/2 ページ）

画面2　デバイスガードのコード整合性ポリシーを使用した、ポリシーで許可されていないアプリケーションのブロック

Windows Defender Exploit Protection

　前述したように、Windowsのコア部分にはマルウェアに対するさまざまな軽減策が次々に追加されてきましたが、システムの動作やアプリケーションとの互換性の関係で、既定で無効化されているものも少なくありません。軽減策を有効化するには、レジストリの編集が必要な場合もあります。

　全体の設定とアプリケーションごとの設定を支援するために、これまでMicrosoftは「Enhanced Migration Experience Toolkit（EMET）」を提供してきました。EMETを導入することで、Windowsが備える緩和策を有効化し、未修正あるいは未知の脆弱（ぜいじゃく）性に対するゼロデイ攻撃のリスクを軽減することができました。EMETは、新たな軽減策を、それに対応していない旧バージョンのWindowsに提供することもありました。

　EMETの開発終了は既に決まっており、現行バージョン（EMET 5.5x）のサポートは2018年7月末に終了します。

• Enhanced Mitigation Experience Toolkit（Microsoft TechNet）

　Windows 10 バージョン1607まではEMETをサポートしていましたが、Windows 10 バージョン1703ではEMETはテストされておらず、使用が推奨されていません。また、Windows 10 バージョン1709では、EMETのインストール自体ができなくなります。

　ただし、EMETに頼らなくても、Windows 10は既定の状態で、以前のWindowsよりも高いレベルでマルウェアから保護されています。Windows 10 バージョン1709からは、Windows Defenderセキュリティセンターに「Exploit Protection」の設定が加わり、EMETと同等の設定インタフェースが提供されるようになりました（画面3）。

画面3　Windows 10 バージョン1709の「Exploit Protection」機能の設定。EMETで使い慣れた設定が再現されている

仮想化ベースのセキュリティ（VBS）とは？

　Windowsは「リング（Ring）」と呼ばれるプロセッサの特権レベル（動作モード）を利用して、特権の高い（リング0）カーネルモードと、特権の低い（リング3）ユーザーモードを分け、カーネルモードで動作するOSのカーネルやデバイスドライバを、ユーザーモードのアプリケーションやサービスから保護しています。

　これはWindowsを含むx86系OSの一般的なアーキテクチャであるため、ご存じの方も多いでしょう。そして、Hyper-Vのようなハイパーバイザー型の仮想化技術は、これらのリングの外にあるより高い特権レベル（リング1）で動作することで、同じハードウェア上で複数のOS（リング0）を同時に実行できるようにしています。

　Windows 10 Enterprise（およびEducation）エディションおよびWindows Server 2016でのみサポートされる「仮想化ベースのセキュリティ（VBS）」は、この垂直方向のリングによる特権レベルの分割と、水平方向で交わる「仮想信頼レベル（Virtual Trust Level：VTL）」という新しい分離の概念を導入します（図1）。

図1　仮想化ベースのセキュリティ（VBS）の動作イメージ

　VBSはHyper-Vの仮想化技術を利用して、通常のWindowsカーネル（%Windir%\System32\ntoskrnl.exe）とは別のパーティションで「セキュアカーネル」（%Windir%\System32\securekernel.exe）を稼働させ、保護のレベルを拡張します（画面4）。

画面4　VBS、デバイスガード、資格情報ガードが有効になっているWindows 10 バージョン1607の「タスクマネージャー」と「システム情報（Msinfo32.exe）」。プロセス一覧にセキュアカーネルの存在を示す「Secure System」という疑似プロセスが見える

　VBSを有効にした場合、通常のWindowsカーネルはVTL 0で動作し、通常のユーザーモードアプリケーションを実行できます。一方、セキュアカーネルはVTL 1で動作し、その上に「分離ユーザーモード（Isolated User Mode：IUM）」が提供されます。VTL 0からVTL 1へのアクセスは、セキュアカーネルを介して行われる制限された操作に限られ、VTL 0からVTL 1の分離ユーザーモードに直接的にアクセスすることはできません。VTL 1の分離ユーザーモードからVTL 0への直接的なアクセスもできません。

　資格情報ガードとデバイスガードは、このVBSの新しい分離環境を利用して、高度に保護されます。例えば、通常のWindowsでは「ローカルセキュリティ機関（Lsass.exe）」がWindowsの認証を担当しますが、VBSが有効な場合、認証要求はセキュアカーネルを介して分離ユーザーモードで動作する「分離されたローカルセキュリティ機関（Lsaiso.exe）」に渡され、VTL 1内で処理されます。これにより、資格情報マネージャーと資格情報が悪意のある攻撃から保護されます。

VBSのハードウェア要件は機種選定のポイント

　資格情報ガードおよびデバイスガードは、VBSの機能に依存します。そして、VBSの機能はHyper-Vの機能に依存します。そのため、これらの機能を利用するには、Hyper-Vのシステム要件（x64プロセッサ、Intel VTまたはAMD-V、第二レベルアドレス変換拡張機能：SLAT）を満たすことが必須です。また、UEFIセキュアブートが利用可能で、有効になっていることも必須です。オプションで、TPM 2.0とDMA（Direct Memory Access）に対応したIOMMU（入出力メモリ管理ユニット）が使用可能であることが推奨されます。

　Windows 10 Enterpriseに備わっているこれらセキュリティ機能の利用を検討している場合は、既に導入済みのコンピュータが対応しているかどうかを確認してください。また、新規導入する場合は、ハードウェア選定の重要な判断材料になります。

　なお、Windows 10のバージョンによって、システム要件や構成方法が異なることにも注意してください。詳しくは、以下のドキュメントに説明されています。

• Windows Defender Credential Guardの要件（Microsoft Windows IT Center）
• Windows Defender Device Guardの概要：仮想化ベースのセキュリティとコードの整合性ポリシー（Microsoft Windows IT Center）