Device Guard による証明と法令遵守
Device Guard は、ハードウェアとソフトウェアのセキュリティ機能の組み合わせです。これらをまとめて構成した場合、デバイスがロックダウンされ、信頼されているアプリケーション以外は実行できなくなります。信頼されていないアプリは、いずれも実行できません。また、攻撃者が Windows カーネルの制御を取得できた場合でも、実行できるコードと実行時間が決定されるしくみが機能するため、コンピューターの再起動後に悪意のある実行可能コードを実行できる可能性がはるかに低くなります。
Device Guard は、Windows 10 の新しい仮想化ベースのセキュリティを使用して、Windows カーネル自体のコード整合性サービスを分離します。これにより、このサービスで、企業が管理するポリシーで定義された署名を使用できるため、信頼できるものを特定するのに役立ちます。 実際には、コード整合性サービスは、Windows ハイパーバイザーで保護されているコンテナーでカーネルと並行して動作します。
Device Guard を実装する方法について詳しくは、「Device Guard 展開ガイド」をご覧ください。
Device Guard を使用する理由
毎日、数千もの悪意のあるファイルが新しく作成されているため、署名ベースの検出のような従来の方法を使用したマルウェア対策では、新しい攻撃に対する十分な保護を提供できません。Windows 10 の Device Guard は、ウイルス対策ソフトウェアやその他のセキュリティ ソリューションでブロックされない限り、アプリが信頼されるモードを、オペレーティング システムが、企業によって承認されたアプリのみを信頼するモードに変更します。
Device Guard は、ゼロ デイ攻撃からの保護に役立ち、多様な形式のウイルスという課題への取り組みに使用できます。
Device Guard を使用する利点
次に示すように、どのようなメリットを有効にして使用するかに基づいて、Device Guard を活用することができます。
- 企業での管理が容易で強力なマルウェア対策の提供に役立つ
- これまでに Windows プラットフォームで提供された最も高度なマルウェア対策の提供に役立つ
- 改ざんに対する耐性の向上
Device Guard のしくみ
Device Guard は、Windows 10 オペレーティング システムで、信頼できる署名者が署名したコードのみが実行されるよう制限します。これは、特定のハードウェアとセキュリティで構成された、次のようなコード整合性ポリシーで定義されています。
ユーザー モード コード整合性 (UMCI)
新しいカーネル コード整合性規則 (新しい Windows Hardware Quality Labs (WHQL) の署名制約を含む)
データベースによるセキュア ブート (db/dbx) の制限
システム メモリ、およびカーネル モードのアプリやドライバーを、考えられる改ざんから保護するための仮想化ベースのセキュリティ
省略可能: トラステッド プラットフォーム モジュール (TPM) 1.2 または 2.0
Device Guard はイメージ ビルド プロセスで動作するため、対応デバイスに対して仮想化ベースのセキュリティ機能を有効にし、コード整合性ポリシーを構成し、Windows 10 に必要なその他のオペレーティング システム設定を指定することができます。その後、Device Guard が機能して、デバイスの保護に役立ちます。
デバイスは、Universal Extensible Firmware Interface (UEFI) セキュア ブートを使って起動します。これにより、ブート キットが動作できなくなり、他のすべての項目の前に Windows 10 が起動します。
Windows ブート コンポーネントが安全を起動した後、Windows 10 は、カーネル モード コード整合性などの Hyper-V 仮想化ベース セキュリティ サービスを開始できます。これらのサービスは、起動プロセスの初期段階、または起動後のカーネルでのマルウェアの動作を防ぐことによって、システムのコア (カーネル)、特権ドライバー、およびマルウェア対策ソリューションなどのシステム防御を保護するために役立ちます。
Device Guard は、UMCI を使って、サービス、ユニバーサル Windows プラットフォーム (UWP) アプリ、または従来の Windows アプリケーションなど、ユーザー モードで実行されるものがすべて信頼できることを確認し、信頼されているバイナリだけが実行されるようにします。
Windows 10 の起動と同時に、トラステッド プラットフォーム モジュール (TPM) も起動します。TPM は、ユーザーの資格情報や証明書などの機密情報の保護に役立つ、分離されたハードウェア コンポーネントを提供します。
必要なハードウェアおよびソフトウェア
Device Guard を実装するためにインストールして構成する必要のあるハードウェアとソフトウェアを次の表に示します。
要件 | 説明 |
---|---|
Windows 10 Enterprise |
PC では、Windows 10 Enterprise が実行されている必要があります。 |
UEFI ファームウェア バージョン 2.3.1 以上とセキュア ブート |
ファームウェアが UEFI バージョン 2.3.1 以上とセキュア ブートを使用していることを確認するには、Windows ハードウェア互換性プログラムの要件 System.Fundamentals.Firmware.CS.UEFISecureBoot.ConnectedStandby を使って検証します。 |
仮想化拡張機能 |
仮想化ベースのセキュリティをサポートするには、次の仮想化拡張機能が必要です。
|
ファームウェアのロック |
ファームウェアのセットアップは、他のオペレーティング システムが起動しないように、また、UEFI の設定が変更されないようにするために、ロックする必要があります。また、ハード ドライブからの起動以外の起動方法を無効にする必要があります。 |
x64 アーキテクチャ |
Windows ハイパーバイザー上で仮想化ベースのセキュリティが使用する機能は、64 ビット PC でのみ実行できます。 |
VT-d または AMD-Vi IOMMU (入出力メモリ管理ユニット) |
Windows 10 では、IOMMU によって、メモリ攻撃からのシステムの回復性を強化します。¹ |
安全なファームウェア更新プロセス |
ファームウェアが安全なファームウェア更新プロセスに準拠していることを確認するには、Windows ハードウェア互換性プログラムの要件 System.Fundamentals.Firmware.UEFISecureBoot を使って検証します。 |