Device Guard による証明と法令遵守

Device Guard は、ハードウェアとソフトウェアのセキュリティ機能の組み合わせです。これらをまとめて構成した場合、デバイスがロックダウンされ、信頼されているアプリケーション以外は実行できなくなります。信頼されていないアプリは、いずれも実行できません。また、攻撃者が Windows カーネルの制御を取得できた場合でも、実行できるコードと実行時間が決定されるしくみが機能するため、コンピューターの再起動後に悪意のある実行可能コードを実行できる可能性がはるかに低くなります。

Device Guard は、Windows 10 の新しい仮想化ベースのセキュリティを使用して、Windows カーネル自体のコード整合性サービスを分離します。これにより、このサービスで、企業が管理するポリシーで定義された署名を使用できるため、信頼できるものを特定するのに役立ちます。 実際には、コード整合性サービスは、Windows ハイパーバイザーで保護されているコンテナーでカーネルと並行して動作します。

Device Guard を実装する方法について詳しくは、「Device Guard 展開ガイド」をご覧ください。

Device Guard を使用する理由

毎日、数千もの悪意のあるファイルが新しく作成されているため、署名ベースの検出のような従来の方法を使用したマルウェア対策では、新しい攻撃に対する十分な保護を提供できません。Windows 10 の Device Guard は、ウイルス対策ソフトウェアやその他のセキュリティ ソリューションでブロックされない限り、アプリが信頼されるモードを、オペレーティング システムが、企業によって承認されたアプリのみを信頼するモードに変更します。

Device Guard は、ゼロ デイ攻撃からの保護に役立ち、多様な形式のウイルスという課題への取り組みに使用できます。

Device Guard を使用する利点

次に示すように、どのようなメリットを有効にして使用するかに基づいて、Device Guard を活用することができます。

  • 企業での管理が容易で強力なマルウェア対策の提供に役立つ
  • これまでに Windows プラットフォームで提供された最も高度なマルウェア対策の提供に役立つ
  • 改ざんに対する耐性の向上

Device Guard のしくみ

Device Guard は、Windows 10 オペレーティング システムで、信頼できる署名者が署名したコードのみが実行されるよう制限します。これは、特定のハードウェアとセキュリティで構成された、次のようなコード整合性ポリシーで定義されています。

  • ユーザー モード コード整合性 (UMCI)

  • 新しいカーネル コード整合性規則 (新しい Windows Hardware Quality Labs (WHQL) の署名制約を含む)

  • データベースによるセキュア ブート (db/dbx) の制限

  • システム メモリ、およびカーネル モードのアプリやドライバーを、考えられる改ざんから保護するための仮想化ベースのセキュリティ

  • 省略可能: トラステッド プラットフォーム モジュール (TPM) 1.2 または 2.0

Device Guard はイメージ ビルド プロセスで動作するため、対応デバイスに対して仮想化ベースのセキュリティ機能を有効にし、コード整合性ポリシーを構成し、Windows 10 に必要なその他のオペレーティング システム設定を指定することができます。その後、Device Guard が機能して、デバイスの保護に役立ちます。

  1. デバイスは、Universal Extensible Firmware Interface (UEFI) セキュア ブートを使って起動します。これにより、ブート キットが動作できなくなり、他のすべての項目の前に Windows 10 が起動します。

  2. Windows ブート コンポーネントが安全を起動した後、Windows 10 は、カーネル モード コード整合性などの Hyper-V 仮想化ベース セキュリティ サービスを開始できます。これらのサービスは、起動プロセスの初期段階、または起動後のカーネルでのマルウェアの動作を防ぐことによって、システムのコア (カーネル)、特権ドライバー、およびマルウェア対策ソリューションなどのシステム防御を保護するために役立ちます。

  3. Device Guard は、UMCI を使って、サービス、ユニバーサル Windows プラットフォーム (UWP) アプリ、または従来の Windows アプリケーションなど、ユーザー モードで実行されるものがすべて信頼できることを確認し、信頼されているバイナリだけが実行されるようにします。

  4. Windows 10 の起動と同時に、トラステッド プラットフォーム モジュール (TPM) も起動します。TPM は、ユーザーの資格情報や証明書などの機密情報の保護に役立つ、分離されたハードウェア コンポーネントを提供します。

必要なハードウェアおよびソフトウェア

Device Guard を実装するためにインストールして構成する必要のあるハードウェアとソフトウェアを次の表に示します。

要件説明

Windows 10 Enterprise

PC では、Windows 10 Enterprise が実行されている必要があります。

UEFI ファームウェア バージョン 2.3.1 以上とセキュア ブート

ファームウェアが UEFI バージョン 2.3.1 以上とセキュア ブートを使用していることを確認するには、Windows ハードウェア互換性プログラムの要件 System.Fundamentals.Firmware.CS.UEFISecureBoot.ConnectedStandby を使って検証します。

仮想化拡張機能

仮想化ベースのセキュリティをサポートするには、次の仮想化拡張機能が必要です。

  • Intel VT-x または AMD-V
  • Second Level Address Translation

ファームウェアのロック

ファームウェアのセットアップは、他のオペレーティング システムが起動しないように、また、UEFI の設定が変更されないようにするために、ロックする必要があります。また、ハード ドライブからの起動以外の起動方法を無効にする必要があります。

x64 アーキテクチャ

Windows ハイパーバイザー上で仮想化ベースのセキュリティが使用する機能は、64 ビット PC でのみ実行できます。

VT-d または AMD-Vi IOMMU (入出力メモリ管理ユニット)

Windows 10 では、IOMMU によって、メモリ攻撃からのシステムの回復性を強化します。¹

安全なファームウェア更新プロセス

ファームウェアが安全なファームウェア更新プロセスに準拠していることを確認するには、Windows ハードウェア互換性プログラムの要件 System.Fundamentals.Firmware.UEFISecureBoot を使って検証します。

 

関連トピック

Device Guard で保護されているデバイスでのアプリの実行
参照デバイスに基づく、Device Guard のコード整合性ポリシーの作成

 

 

表示: