日本マイクロソフトは11月16日、「Windows 10 Enterprise」が搭載するセキュリティ機能「デバイスガード」についてブログで解説した。

デバイスガードとは、実行可能なアプリやドライバーを制御し、巧妙な標的型攻撃(APT)、新種・亜種のウイルス、ゼロデイ攻撃などからWindows端末を守れるセキュリティ機能。従来のウイルス対策ソフトのアプローチとは異なり、信頼されているソフトウェアのみ実行を許可する仕組みを採用し、信頼されていないアプリケーションは基本的に実行しない。

制御できるアプリは、ユニバーサルアプリケーションのほか、Classic Windows(Win32のデスクトップアプリケーション)の双方となる。アプリケーションの署名方法は「Windows Storeによる署名」「PKIや企業の証明書による署名」「マイクロソフト以外の署名機関による署名」「マイクロソフトによるウェブサービスによる署名(後日公開予定)」の4種類がある。開発者の署名の有無にかかわらず、既存の社内のアプリケーションは署名できる。

デバイスガードの採用については、企業のIT管理者が「適用は慎重に検討する必要がある」としている。その理由は、「企業によって完全に管理されたデバイスや特定のアプリケーションのみ実行されているデバイス向けであり、BYOD環境やユーザーが管理されていないアプリケーションを自由にインストールできる必要がある環境などは向いていない」と説明している。

例えば、EFIのセキュアブートを活かすことで、端末の電源を入れた際にWindows 10が起動するが、悪意あるブートキットを含めた署名が無効なコードは実行されない。

また、WindowsのカーネルやコアサービスであるLocal Security Auth Service、Virtual TPM、Hypervisor Code IntegrityなどはHyper-Vの仮想化と同様のType 1ハイパーバイザーの技術によってVirtual Secure Modeに隔離される。ローカル管理者でもローカル管理者権限を乗っ取ったマルウェアでもコアサービスの改ざんが困難にするほか、Pass-the-Hash攻撃の対抗にも役立つ。

さらに、Kernel Mode Code Integrityによって信頼された証明書に署名されたドライバーのみ実行できるようにするほか、User Mode Code Integrityによって信頼された証明書に署名されたアプリケーション であるUniversal Windows Platformのアプリ、Classic Windows のアプリケーションのみ実行できるようにする。信頼される証明書は管理者が設定できる。

そのほか、TPMがある場合、Windows 10 Enterpriseの起動とともにTPMが起動される。TPMはユーザー認証情報や資格証明書などの機密情報を隔離されたハードウェアのコンポーネントを提供する。企業のグループポリシー、モバイルデバイス管理は、PowerShell上で管理できる。