OSレベルで脅威を防ぐWindows10のDevice Guardとは?Enterprise IT Kaleidoscope(3/3 ページ)

» 2015年12月08日 07時30分 公開
[山本雅史ITmedia]
前のページへ 1|2|3       

Device Guardの機能は?

 Device Guardではアプリケーションやデバイスドライバに署名情報をチェックして、動作を決めている。つまり、デバイスドライバなどでは適切な署名情報が無かったり、違法な証明所局から発行された署名情報が付与されたりしているドライバなどは、Windows 10が起動する前にドライバの動作が停止される(ウイルスなどで改ざんされたドライバなども対象)。

 さらにアプリケーションに関しても、署名がされているモノしか動作しない。設定によって、警告のみ、もしくは完全に動作を停止させるといった選択ができる。

Device Guard Device Guardは、許可されたアプリだけしか動作しなくすることができる

 アプリケーションの署名に関しては、Windows Storeで配布されているアプリケーションに関しては署名が必須だ。社内に公開鍵基盤(PKI)を用意して、既存のアプリケーションには社内で署名を行うことができる。

Device Guard 社内で作成したユニバーサルアプリ、既存のデスクトップアプリなども署名を行えば、Device Guardで利用できる

 なお、Device Guardは署名さえ行われていればどんなアプリケーションでも動作するっわけではなく、グループポリシーの「コードの整合性ポリシーを展開する」を使って、あらかじめ指定したアプリケーションだけしか動作しないように設定ができる。このような機能を使えば、社内では指定したアプリケーションしか動作できないため、ユーザーの勝手な行為を防止できるだろう。

Device Guard Device Guardは、グループポリシーで動作を有効化する
Device Guard Device Guardで動作が認証されるアプリは、「コードの整合性ポリシーを展開する」で設定する。ここでは、整合性ポリシー(XMLファイル)のパスを指定する

 ただ、「コードの整合性ポリシー」の作成には手間がかかることから、このあたりはもっと簡単にできるようなツールがMicrosoftからリリースされることを期待したい。

Device Guard Device Guardを利用すれば、インターネットからダウンロードしたアプリケーションの動作もブロックすることができる(日本マイクロソフトのイベント「FEST」の資料から)

 Device GuardとCredential Guardは、アンチウイルスソフトだけでは防げない情報漏えいをハードウェア、OSのレベルから防ごうという試みだ。今までに無かった仕組みだけに、まだ周辺サービスやツールなどがそろっていないが、今後が注目される

前のページへ 1|2|3       

Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ