Credential Guardは、Windows 10のハイパーバイザのHyper-Vを使用する。Hyper-V上に認証情報だけを管理する「VSM」(Virtual Secure Mode)という仮想マシンを用意する。Windows 10 Enterprise/Educationではハイパーバイザ上で仮想マシンとして動作することになる。
仮想マシンでの動作といえば、「グラフィックやサウンドなどのハードウェアが動作しなくなるのでは」と心配しがちではあるものの、Credential GuardはI/O仮想化機能をサポートすることで、仮想マシン上でも直接グラフィックやサウンドなどのハードウェアが利用できるようになっている(この他に外付けのスマートカードリーダーなどもサポートしている)。
Credential Guardでは、単にOSを仮想マシンで動作させるだけでなく、VSMによって仮想マシンで動かしているOS自体の正当性をチェックするので、仮想マシン上で動作するOSでも高いセキュリティレベルを得られる。
VSMのカーネルに関する詳しい情報は無いが、Windows 10カーネルを非常にコンパクトにまとめ、認証情報などを管理するための機能だけを入れたモノのようだ。また、VSMと仮想マシンのWindows 10との間は、プロセス間通信のみで認証情報をやりとりすることから、VSMにウイルスが侵入して認証情報を抜き取られる可能性も少ない。
ハイパーバイザに関しても、セキュアブートなど機能を利用することで、ハイパーバイザ自体にウイルスなどが侵入しない構造となっている。
Copyright © ITmedia, Inc. All Rights Reserved.