第4回 「Windows 10」は情報漏えいをどう防ぐ？：変わるWindows、変わる情シス（2/2 ページ）

[武藤健史，ITmedia]

マルウェア感染を防ぐ「Device Guard」

　近年、収益化を目的としたサイバー攻撃が増え続けており、その手口も多様化しています。場合によっては、1つの攻撃で1425倍の費用対効果をもたらすともいわれており、最近では、テロ組織や国家が民間企業に標的型攻撃を行うケースも増えています。

　標的型攻撃は、攻撃者が実在する人物に成りすまし、受信者の業務に関する偽装メールを送ってくるのが一般的です。ユーザーの不注意で、そのメールに添付したファイルを実行してしまう、または文中にあるリンクを開いてしまうことで、マルウェアが実行されてしまうわけです。

　「自分に限って、こんな手口にだまされるはずがない」と思われるかもしれませんが、例えば次のようなメールが来た場合、これは標的型攻撃だと認識し、リンクをクリックしないという判断ができるでしょうか。

標的型攻撃のメールの例。多くの人はこのメールにだまされ、リンクをクリックしてマルウェアを実行させてしまう可能性が高いです（クリックで拡大）

　このような標的型攻撃だけではなく、ユーザーが訪れたWebサイトで悪質なアプリケーションをダウンロードして実行した際に、マルウェアに感染してしまうケースも考えられます。

　Windows 10 Enterpriseではさまざまな脅威からユーザーを守る「Device Guard」という機能が実装されました。簡潔に言うと、企業側が実行可能なアプリケーションをコード署名で管理する“ホワイトリスト”です。コード署名がないアプリケーションは動きません。

　このDevice Guardは、「Credential Guard」と呼ばれる機能と組み合わせるとよりセキュリティが強固になります。Credential Guardとは、認証サービスや資格情報を「Virtual Secure Mode」と呼ばれるOSと異なる仮想化カーネルに移行することで認証情報の盗難や改ざんを防ぐ機能です。

Device GuardとCredential Guardの仕組み。Credential Guardでは、コード整合性サービスをHyper-Visor Code IntegrityとしてVirtual Secure Modeに格納している

　というのも、Device Guardのコード整合性サービス（実行しても良いアプリ、実行してはいけないアプリを判断するもの）が仮に改ざんされてしまえば、端末上で動かせるアプリケーションを自由に操られてしまいます。そのため、コード整合性サービスをVirtual Secure Modeという、攻撃者の手の届かない位置に格納する必要があるのです。

　端末内で実行できるアプリケーションを Device Guardで制限することで、標的型攻撃やユーザーの不注意によるマルウェア感染を抑止することができるのです。詳しく知りたい方はこちらにDevice Guardのデモ動画があるので、こちらも合わせてどうぞ。

　次回はWindows 10で情報を端末に残さないように設定できる「ロックダウン機能」について紹介します。お楽しみに。