セキュリティ レスポンス チームのモリスです! 本日は Windows 10 Enterprise のセキュリティ機能「デバイス ガード」を紹介します。大まかに言うと、デバイス ガードは実行可能なアプリやドライバーを制御できるいくつかの機能の総称です。巧妙な標的型攻撃(APT)、新種・亜種のウイルス、ゼロデイ攻撃などが流行っている現代にて、企業にとって有効な対抗措置の1つです。
背景
近年、企業が対応しなくてはならない攻撃はより巧妙、より現実的になりつつあることはもう耳にたこができるほどよく聞かされている話だと思います。新種・亜種のウイルスが毎日 30 万個以上増えていると言われます。話題のスタートアップでも有名な大手企業でも情報漏えいが報道されています。それに加えて、予算がほぼ無尽蔵である犯罪組織や諜報機関の台頭。
上記のような進歩した脅威に対抗するため、デバイス ガードは定番のウイルス対策ソフトのアプローチを覆します。次々に現れるウイルスやマルウェアに1つずつ対処する代わり、デバイス ガードは企業の信頼されているソフトウェアのみ実行を許可します。カーネルモード ドライバーであれ、ユーザーモードのアプリケーションであれ、信頼されていないアプリケーションは基本的に実行しません。(Windows Script HostというVBScriptやJscriptなどのスクリプトの実行環境は署名されたスクリプトのみ実行します。MSIも署名が必要です。PowerShellは「ConstrainedLanguage」モードで実行されます。.batと.cmdのスクリプトの実行は制限されませんが、.batや.cmdなどは AppLockerによって制御できます。)この制限により、デバイス ガードはポリモルフィック コードを使用しているウイルスやゼロデイ攻撃の予防に役立ちます。
デバイス ガードの 5 本の柱
ハードウェアのセキュリティ
UEFI のセキュア ブートを活かして、電源を入れたら Windows 10 が起動します。悪意あるブートキットを含め、署名が無効なコードは実行されません。仮想化技術による OS コアの防護 (Virtualization Based Security = VBS)
Windows のカーネルやコア サービス (Local Security Auth Service、Virtual TPM (サーバーのみ)、HVCI = Hypervisor Code Integrity など) は Hyper-V の仮想化と同様の Type 1 ハイパーバイザーの技術によって VSM=Virtual Secure Mode に隔離されています。このように、ローカル管理者でもローカル管理者権限を乗っ取ったマルウェアでもコア サービスの改ざんがし難くなります。Pass-the-Hash 攻撃の対抗にも役立っています。![]()
スマートフォンのように、信頼されたアプリやドライバーのみ実行可能
Kernel Mode Code Integrity = KMCI と User Mode Code Integrity = UMCI によって、信頼されたアプリケーションとドライバーのみ実行できます。KMCI によって信頼された証明書に署名されたドライバーのみ実行できます。UMCI によって信頼された証明書に署名されたアプリケーション (Universal Windows Platform = UWP のアプリ、Classic Windows のアプリケーション) のみ実行できます。信頼される証明書は管理者によって設定できます。TPM で機密情報の防護
TPMがある場合、Windows 10 Enterprise の起動とともに TPM は起動されます。TPM はユーザー認証情報や資格証明書などの機密情報を隔離されたハードウェアのコンポーネントを提供しています。
GP、MDM、または PowerShell で簡単な管理
OEM または企業の IT 部門が設定: グループ ポリシー (GP)、モバイル デバイス管理 (MDM)、または PowerShell で管理できます。
注意事項
デバイス ガードを利用するには、Windows 10 Enterprise が必要です。
ハードウェアの要件については Device Guard overview (英語) をご参照ください。
デバイス ガードは OEM や企業の IT 部門が設定するものです。
ユニバーサル アプリケーションだけでなく、Classic Windows (Win32 のデスクトップ アプリケーション) でも利用可能です。アプリケーションの署名方法は 4 つあります:
Windows Store による署名
PKI や企業の証明書による署名
マイクロソフト以外の署名機関による署名
マイクロソフトによるウェブ サービスによる署名 (後日公開予定)
開発者の署名の有無にかかわらず、既存の社内のアプリケーションは署名できます。社内アプリの署名方法の詳細情報はこちら (英語情報)。
デバイス ガードは厳格なツールとして、適用は慎重に検討する必要があります。企業によって完全に管理されたデバイスや特定のアプリケーションのみ実行されているデバイス向けであり、BYOD の環境やユーザーが管理されていないアプリケーションを自由にインストールできる必要がある環境などは向いていない技術です。
最後に
Windows 10 Enterprise の デバイス ガードによってシステムで実行可能なコードをモバイル デバイスのように制限できます。適した環境で導入すれば、標的型攻撃や新種・亜種のウイルスの対抗手段として役立ちます。企業にとって、攻撃者とのパワー バランスを逆転できるツールとなります。技術の詳細と導入の仕方については、下記リンクを是非ご参照ください。
参考リンク
Windows 10 のセキュリティ イノベーション: Device Guard、Windows Hello、Microsoft Passport を RSA で発表
Channel 9: A New Era of Threat Resistance for the Windows 10 Platform (英語情報)
Channel 9: Dropping the Hammer Down on Malware Threats with Windows 10's Device Guard (英語情報)
Device Guard overview (英語情報)
Windows 10 関連ブログ
Windows 10: 問題を起こした更新プログラムやドライバーを Windows Update で一時的にインストールされないようにするツールの紹介 (2015/07/31)
Windows 10、Microsoft Edge、初めての月例セキュリティ リリース – 読み解き (2015/08/12)
Windows 10: Wi-Fi センサー (Wi-Fi Sense) とは? 正しく理解して使用してみよう (2015/08/21)
Windows 10: Windows Update の主な変更点 (2015/08/27)
Windows 10: Microsoft Passport: パスワードのない時代の幕開け (2015/09/11)
Windows 10: さようならパスワード、こんにちは Windows Hello (2015/9/18)
Windows 10: 強化された脆弱性緩和技術で攻撃のコストを上げる (2015/09/23)