ゼロ トラストと Windows デバイスの正常性
組織には、最新の作業環境の複雑さに対してより効果的に適応するセキュリティ モデルが必要です。 IT 管理者は、場所を問わず、人、デバイス、アプリ、データを保護しながら、ハイブリッド ワークプレースを採用する必要があります。 セキュリティ用のゼロ トラスト モデルを実装すると、今日の複雑な環境に対処するのに役立ちます。
ゼロ トラスト原則は次のとおりです。
- 明示的に確認します。 ユーザー ID、場所、デバイスの正常性、サービスまたはワークロード、データ分類、異常の監視など、使用可能なすべてのデータ ポイントに基づいて常に認証と承認を行う
- 最小特権アクセスを使用します。 Just-In-Time と Just-Enough-Access、リスクベースのアダプティブ ポリシー、データ保護を使用してユーザー アクセスを制限し、データのセキュリティ保護と生産性の維持を支援する
- 侵害を想定します。 攻撃者がアクセスを取得できないようにして、データとシステムへの潜在的な損傷を最小限に抑えます。 特権ロールを保護し、エンドツーエンドの暗号化を検証し、分析を使用して可視性を取得し、脅威検出を促進して防御を改善する
検証のゼロ トラスト概念は、デバイスとユーザーの両方によって発生するリスクに明示的に適用されます。 Windows では、 デバイスの正常性構成証明 と 条件付きアクセス 機能が有効になります。これは、企業リソースへのアクセスを許可するために使用されます。
条件付きアクセス は、ID シグナルを評価して、ユーザーが会社のリソースへのアクセスを許可される前に、ユーザーが自分のユーザーであることを確認します。
Windows 11は、デバイスの正常性構成証明をサポートし、デバイスが良好な状態にあり、改ざんされていないことを確認するのに役立ちます。 この機能は、ユーザーがオフィスにいるか、自宅にいるか、旅行中か、会社のリソースにアクセスするのに役立ちます。
構成証明は、重要なコンポーネントの ID と状態を確認し、デバイス、ファームウェア、ブート プロセスが変更されていないことを確認するのに役立ちます。 ファームウェア、ブート プロセス、ソフトウェアに関する情報は、デバイスのセキュリティ状態を検証するために使用されます。 この情報は、セキュリティ共同プロセッサトラステッド プラットフォーム モジュール (TPM) に暗号化されて格納されます。 デバイスが構成証明されると、リソースへのアクセスを許可できます。
Windows でのデバイス正常性構成証明
このプロセスはシステム全体の中で最も特権のあるコンポーネントになる可能性があります。ブート プロセス中に多くのセキュリティ リスクが発生する可能性があります。 検証プロセスでは、リモート構成証明をセキュリティで保護されたチャネルとして使用して、デバイスの正常性を判断して提示します。 リモート構成証明によって、次が決定されます。
- デバイスを信頼できる場合
- オペレーティング システムが正しく起動した場合
- OS で適切なセキュリティ機能セットが有効になっている場合
これらの決定は、トラステッド プラットフォーム モジュール (TPM) を使用して、信頼のセキュリティで保護されたルートの助けを借りて行われます。 デバイスは、TPM が有効であり、デバイスが改ざんされていないことを証明できます。
Windows には、マルウェアや攻撃からユーザーを保護するのに役立つ多くのセキュリティ機能が含まれています。 ただし、Windows セキュリティ コンポーネントの信頼は、プラットフォームが想定どおりに起動し、改ざんされていない場合にのみ実現できます。 Windows は、統合拡張ファームウェア インターフェイス (UEFI) セキュア ブート、早期起動マルウェア対策 (ELAM)、測定の動的ルート (DRTM)、トラステッド ブート、およびその他の低レベルのハードウェアとファームウェアのセキュリティ機能に依存しています。 マルウェア対策が開始されるまで PC の電源を入れると、安全を保つために適切なハードウェア構成が Windows にサポートされます。 ブートローダーと BIOS によって実装された測定および信頼されたブートは、ブートの各ステップをチェーンされた方法で検証し、暗号化的に記録します。 これらのイベントは、信頼のルートとして機能するセキュリティ コプロセッサ (TPM) にバインドされます。 リモート構成証明は、検証可能で偏りのない改ざんの回復性のあるレポートを提供するために、これらのイベントをサービスによって読み取り、検証するメカニズムです。 リモート構成証明は、システムのブートの信頼された監査者であり、特定のエンティティがデバイスを信頼できるようにします。
デバイス側の構成証明とゼロ トラストに関連する手順の概要を次に示します。
ファイルの読み込み、特別な変数の更新など、ブート プロセスの各手順では、ファイル ハッシュや署名などの情報が TPM PCR で測定されます。 測定値は、記録できるイベントと各イベントの形式を決定する トラステッド コンピューティング グループ仕様 (TCG) によってバインドされます
Windows が起動すると、構成証明/検証ツールは、TCG ログと共にプラットフォーム構成レジスタ (PCR) に格納されている測定値をフェッチするように TPM に要求します。 これらの両方のコンポーネントの測定値は、構成証明の証拠を形成し、構成証明サービスに送信されます
TPM は、Azure Certificate Service でチップセットで利用可能なキー/暗号化資料を使用して検証されます
この情報は、デバイスが安全であることを確認するために、クラウドの構成証明サービスに送信されます。 Microsoft Endpoint Manger は Microsoft Azure Attestation と統合され、デバイスの正常性を包括的に確認し、この情報をMicrosoft Entra条件付きアクセスに接続します。 この統合は、信頼されていないデバイスへの信頼のバインドに役立つゼロ トラスト ソリューションの重要な要素です
構成証明サービスは、次のタスクを実行します。
- 証拠の整合性を確認します。 この検証は、TCG ログを再生することによって再計算された値に一致する PCR を検証することによって行われます
- TPM に、認証された TPM によって発行された有効な構成証明 ID キーがあることを確認します
- セキュリティ機能が想定された状態であることを確認する
構成証明サービスは、構成証明サービスで構成されたポリシーに基づくセキュリティ機能に関する情報を含む構成証明レポートを返します
その後、デバイスはレポートをMicrosoft Intune クラウドに送信し、管理者が構成したデバイス コンプライアンス規則に従ってプラットフォームの信頼性を評価します
条件付きアクセスとデバイスコンプライアンスの状態は、アクセスを許可または拒否することを決定します
その他のリソース
Microsoft ゼロ トラスト ソリューションの詳細については、ゼロ トラスト ガイダンス センターを参照してください。
フィードバック
以下は間もなく提供いたします。2024 年を通じて、コンテンツのフィードバック メカニズムとして GitHub の issue を段階的に廃止し、新しいフィードバック システムに置き換えます。 詳細については、「https://aka.ms/ContentUserFeedback」を参照してください。
フィードバックの送信と表示