OSレベルで脅威を防ぐWindows10のDevice Guardとは?Enterprise IT Kaleidoscope(1/3 ページ)

Windows 10 Th2から新たに搭載されたマルウェアや高度なサイバー攻撃などをOSレベル防ぐ仕組みを解説しよう。

» 2015年12月08日 07時30分 公開
[山本雅史ITmedia]

 Windows 10の「November 2015 Update」(Windows 10 Th2)は、企業ユーザーのセキュリティを高めるため、「Device Guard」という機能が追加された。Device Guardを使えば、企業内部ではIT管理者が指定したアプリケーションしか動作しなくなる。

 この機能を使えば、社員が業務に関係ないソフトウェアを動かしてウイルスに感染するリスクを限りなくゼロに近づけられる。また、メールの添付ファイルやメール内のURLからダウンロードしたアプリケーションも起動しないようにできるため、外部からのサイバー攻撃やウイルスに対しても高いレベルのセキュリティを確立できる。

Device Guard Windows 10では多層に渡るセキュリティ機能を提供している

Device Guardの動作要件は?

 Device Guardの利用にはWindows 10 Enterprise(LTSBを含む)やWindows 10 Education(学校向け)が必要だ。企業なら、「SA」(Software Assurance)を契約して社内のPCにWindows 10 Enterpriseを導入する必要がある。

 また、Device Guardでは「Credential Guard」というセキュリティフレームワークを使用するので、64ビット版 OSの使用が前提だ。さらに、ハードウェアではBIOSにUEFI 2.3.1、仮想化機能のVT-x、AMD-V、SLAT、I/O仮想化のVT-d、AMD-V、セキュリティチップのTPM 2.0、BIOSロックダウン機能、セキュアブート機能などが必要になる。

 これらの機能は、Device Guardが動作するベースとなるCredential Guardの要件だ。幾つかの要件は省くことができるが、セキュリティレベルは低下するため、セキュリティレベルを高めたいならこれだけの要件を満たさないといけない。

 ただし、ここに上げたハードウェア要件は、最新の企業向けPCにとってそれほど高い要件ではない。一部のエントリー向けPCなどにはTPMが搭載されていなかったり、仮想化機能やI/O仮想化などの機能を持っていなかったりするプロセッサを採用していることがあるので、注意が必要だ。

 Device GuardとCredential Guardを組み合わせで使えば、OSを起動する時から高いレベルのセキュリティを保つことができる。ウイルスなどで問題になったrootkitやOSのシステムレベルで潜伏するウイルスを排除できる。さらに、PCのシステムメモリに潜伏するウイルスやデバイスドライバを改ざんするウイルスなども排除できるだろう。アンチウイルスソフトだけではウイルスの侵入を防げなかったが、Device GuardとCredential Guardを使えばウイルス侵入を限りなく防ぐことができる。

Device Guard Device Guardは仮想化拡張機能を無効にもできる、セキュリティレベルが低下する
Device Guard Device GuardとCredential Guardを利用するためには、セキュアブートをBIOSレベルで有効にしておく必要がある
       1|2|3 次のページへ

Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ