「Windows 10」法人導入の手引き

標的型攻撃を防ぐ!「Windows 10」で強化されたセキュリティ機能のつかいどころ - (page 3)

胡口敬郎

2016-06-28 07:30

守るべき情報はOSの外へ!「Credential Guard」

 標的型攻撃への対策にあたり、防御すべき対象を守ろうとするアプローチはどうしても攻撃者とのイタチごっこの様相を呈しやすい。Windows 10では、防御すべき対象をOSから分離して完全に独立した空間に置くことで、Windows 10の中で動作する悪意のあるアプリケーションからの干渉を受けないような環境を実現する。完全に独立した空間とは、Hyper-Vで実装されるHyper Visor上にVirtual Secure ModeというWindows OSとは独立した形で処理を行う仮想化ベースの環境のことだ。

 具体的に、Credential Guardは以下の機能と解決策を提供する。

  • ハードウェアセキュリティ
    せキュアブートや仮想化を含むプラットフォームのセキュリティ機能を活用して、ドメインアカウントの資格情報のセキュリティを向上させる
  • 仮想化ベースのセキュリティ
    実行中のオペレーティングシステムから分離された保護環境で、ドメインアカウントの資格情報およびその他の機密情報を管理するWindowsサービスを実行する
  • さまざまな管理機能
    グループポリシー、WMI(Windows Management Instrumentation)、コマンドプロンプト、Windows PowerShellを使って、Credential Guardを管理できる

 Credential Guardが有効化されている構成は下図のようになる。悪意のあるアプリケーションから守るべき情報や機能を隔離し干渉を受けないセキュアな状態を維持できることになる。


Credential Guardが有効化されている状態の構成

 Credential Guardはハードウェアの機能を用いて実装されるため、機能を有効化するためにいくつかの要件が存在する。必要な機能は下記の通りだ。この機能の実装を検討する前段階として展開対象のデバイスが要件を満たしているかどうかをチェックしてほしい。

Credential Guardを有効化するための要件
UEFIファームウェアバージョン2.3.1以上とセキュアブート
仮想化拡張機能:
・Intel VT-xまたはAMD-V
・Second Level Address Translation
ファームウェアのロック:
・他のオペレーティングシステムの起動やUEFIの設定変更を禁止に設定
・ハードドライブからの起動以外の起動方法を無効化
x64アーキテクチャ
VT-dまたはAMD-Vi IOMMU(入出力メモリ管理ユニット)
安全なファームウェア更新プロセス

 ハードウェアの要件がクリアできれば、あとはCredential Guardを有効化だ。こちらにも前提条件があり、コントロールパネルの「Windowsの機能の有効化または無効化」より、「Hyper-V」および「分離ユーザーモード」を有効化する。


コントロールパネルの「Windowsの機能の有効化または無効化」から「Hyper-V」および「分離ユーザーモード」を有効化

 機能の有効後にGPOで以下の項目を有効化することでCredential Guardが有効となる。

  • 「コンピューターの構成」→ 「管理用テンプレート」 → 「システム」 → 「デバイスガード」 の 「仮想化ベースのセキュリティを有効にする」

  • GPOで「仮想化ベースのセキュリティを有効にする」を有効化

     セキュリティレベルの設定でDMA保護を有効化する場合には、対応したハードウェア上での実装かどうかで選択の可否が異なるので注意が必要だ。また、システムのデバイスドライバーがCredential Guardとの互換性がない場合にはシステムのクラッシュなどの恐れがあるので、事前に検証をおこなってから展開をしてほしい。


    仮想化ベースのセキュリティを有効にする

     Credential Guardの機能は、有効化するだけで認証情報の保護やDevice Guardとの連携がスタートする。ユーザーや管理者が特に操作や設定の必要はない。機能が正常に有効化されているかどうかは「msinfo32」コマンドで確認することが可能だ。


    システム情報を確認

ZDNET Japan 記事を毎朝メールでまとめ読み(登録無料)

ホワイトペーパー

新着

ランキング

  1. セキュリティ

    ChatGPTに関連する詐欺が大幅に増加、パロアルトの調査結果に見るマルウェアの現状

  2. セキュリティ

    迫るISMS新規格への移行期限--ISO/IEC27001改訂の意味と求められる対応策とは

  3. セキュリティ

    警察把握分だけで年間4000件発生、IPA10大脅威の常連「標的型攻撃」を正しく知る用語集

  4. セキュリティ

    いま製造業がランサムウェアに狙われている!その被害の実態と実施すべき対策について知る

  5. セキュリティ

    ランサムウェア攻撃に狙われる医療機関、今すぐ実践すべきセキュリティ対策とは?

ZDNET Japan クイックポール

所属する組織のデータ活用状況はどの段階にありますか?

NEWSLETTERS

エンタープライズコンピューティングの最前線を配信

ZDNET Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]