OSレベルで脅威を防ぐWindows10のDevice Guardとは？：Enterprise IT Kaleidoscope（2/3 ページ）

[山本雅史，ITmedia]

仮想化機能を使うCredential Guard

　Credential Guardは、Windows 10のハイパーバイザのHyper-Vを使用する。Hyper-V上に認証情報だけを管理する「VSM」（Virtual Secure Mode）という仮想マシンを用意する。Windows 10 Enterprise／Educationではハイパーバイザ上で仮想マシンとして動作することになる。

　仮想マシンでの動作といえば、「グラフィックやサウンドなどのハードウェアが動作しなくなるのでは」と心配しがちではあるものの、Credential GuardはI/O仮想化機能をサポートすることで、仮想マシン上でも直接グラフィックやサウンドなどのハードウェアが利用できるようになっている（この他に外付けのスマートカードリーダーなどもサポートしている）。

　Credential Guardでは、単にOSを仮想マシンで動作させるだけでなく、VSMによって仮想マシンで動かしているOS自体の正当性をチェックするので、仮想マシン上で動作するOSでも高いセキュリティレベルを得られる。

　VSMのカーネルに関する詳しい情報は無いが、Windows 10カーネルを非常にコンパクトにまとめ、認証情報などを管理するための機能だけを入れたモノのようだ。また、VSMと仮想マシンのWindows 10との間は、プロセス間通信のみで認証情報をやりとりすることから、VSMにウイルスが侵入して認証情報を抜き取られる可能性も少ない。

　ハイパーバイザに関しても、セキュアブートなど機能を利用することで、ハイパーバイザ自体にウイルスなどが侵入しない構造となっている。

Credential Guardは、ハイパーバイザのHyper-VとVSMを使うことで認証情報を強固に守る

Device GuardとCredential Guardを利用するには、Windowsの機能の有効化で、Hyper-Vと分離ユーザーモードをインストールする必要がある。