仮想化ベースのセキュリティ (VBS):分離された仮想環境でシステムを保護する

仮想化ベースのセキュリティ (VBS) は、基盤となるオペレーティング システム (OS)、および場合によってはハードウェアからコンピューター プロセスを抽象化するテクノロジです。オペレーティング システムとデバイスをマルウェアやその他の攻撃から保護することを目的として、これらのプロセスを相互に分離します。

VBS は、システム リソースとセキュリティ ソリューション (ユーザー ログイン資格情報など) を OS の脆弱性やマルウェアなどのエクスプロイトから保護するために、分離された仮想環境を作成し、特定の制限を適用するという概念です。分離環境は、OS の残りの部分から分離されたメイン メモリのセクションです。これは、OS の「信頼のルート」でもあります。

VBS は、Windows ハイパーバイザーに依存して分離環境を作成します。ハイパーバイザーは、Windows が悪意のあるコードなどによって侵害される可能性があることを想定しています。この前提に基づいて、主要なシステム リソースを保護することを目的としています。これを行うために、ハードウェア仮想化を有効にし、コンピューターのオペレーティング システム上でプロセスを直接実行するのではなく、ホスト システムがデータを処理して保存する仮想マシン (VM) を作成します。 VBS の前提は、分離されたプロセスまたはアプリケーションが攻撃された場合、攻撃が VM の外部に広がることはできないということです。攻撃者は、あるプロセスの脆弱性を悪用して、別のアプリケーションからデータを盗んだり、ランサムウェアでコンピュータ全体を占拠したりすることはできません。

仮想化ベースのセキュリティは、Windows ハイパーバイザーに依存して分離環境を作成します。

Windows の仮想化ベースのセキュリティとは何ですか?

Microsoft は、Windows Defender Device Guard および Credential Guard 機能の導入により、初めて仮想化ベースのセキュリティを Windows 10 に組み込みました。 Device Guard と Credential Guard は、Windows 10 の仮想化ベースのセキュリティの特定の機能である仮想セキュア モード (VSM) を利用します。VSM は、コンピューターのハードウェアに直接インストールされた Microsoft Hyper-V ハイパーバイザーを使用して、オペレーティング システムとは独立して特定のプロセスを実行し、そのデータを保存します。

Device Guard は、信頼できないコードが Windows 10 マシン上で実行されるのを防ぐ 3 つの機能 (構成可能なコードの整合性、VSM で保護されたコードの整合性とプラットフォーム、UEFI セキュア ブート) のセットです。これらの機能により、信頼できるコードと署名済みの検証済みファームウェアのみがコンピューター上で実行できることが保証され、IT 管理者は特定のプロセスを分離して保護層を追加できます。 Credential Guard は、VSM を使用してユーザー ログイン、パスワード、その他の認証データを隔離して保護し、マシンや他のシステムへの不正アクセスを防ぎます。

VBS は、Windows 10 および Windows Server 2016 以降のすべてのバージョンの Windows でサポートされています。Windows 11 も VBS をサポートします。 Windows 11 では、VBS とその主要なセキュリティ機能 (メモリ整合性など) がデフォルトで有効になっています。 Windows 10 と同様に、Windows 11 の VBS は、さまざまなセキュリティ ソリューションを安全に保存できるメモリの分離セクションを作成します。そうすることで、環境は OS の信頼のルートとして機能します。 VBS は、この環境内に存在するリソースのみが信頼されることを保証します。

従来のアーキテクチャと仮想アーキテクチャを並べて表示。

VBS によって保護されたリソースとセキュリティ ソリューション

VBS と Windows ハイパーバイザーは、いくつかのシステム、OS リソース、およびセキュリティ ソリューションを保護することを目的としています。このようなリソースの 1 つはモデル固有レジスタ (MSR) です。 MSR はプロセッサ内の制御レジスタで、デバッグ、パフォーマンスの監視、およびプロセッサの動作の特定の側面の制御に一般的に使用されます。

MSR が侵害され、MSR が制御する設定が変更されると、システム全体が侵害される可能性があります。これが発生すると、システムの動作が望ましくない方向に変化したり、攻撃者がシステムまたはそのセキュリティ資産に不正にアクセスしたりする可能性があります。

このような問題を防ぐために、ハイパーバイザーは VBS を使用します。 VBS を使用すると、ハイパーバイザーは次のことを行うことで MSR を悪意のあるカーネル モード コードから保護し、悪用を防ぎます。

• すべての MSR へのアクセスを監視および制御する
• カーネル モード コードが安全であることがわかっている MSR のみにアクセスできるようにする
• 未知の（ハイパーバイザーへの）MSR へのアクセスをブロックします。
• イベント ビューアの Windows システム ログにイベントを記録することにより、ブロックされた MSR へのアクセス試行のインスタンスにフラグを立てます。

また、VBS は、認証されたユーザーの資格情報と Windows のセキュリティを担当するコードを安全な仮想環境に配置することで保護します。

仮想化ベースのセキュリティとメモリの整合性

メモリの整合性は、Windows OS の VBS 機能です。ハイパーバイザーが分離された仮想環境を作成すると、メモリ整合性はこの環境内でカーネル モード コードの整合性を実行し、信頼できないドライバやシステム ファイルがシステム メモリに読み込まれるのを防ぎます。その結果、OS が保護され、マルウェアによる Windows カーネルの侵害が防止されます。

また、メモリの整合性により、安全なランタイム環境内でコードの整合性チェックに合格した後にのみカーネル メモリ ページが実行されるようになります。さらに、実行可能コード ページが変更されたり、変更されたメモリが実行されたりすることを防ぎます。これにより、カーネル メモリの割り当てが制限され、システムの侵害が防止されます。

Windows で VBS を実行するための要件

Windows で VBS を有効にして実行するには、特定のコンポーネントを適切に構成する必要があります。最も重要なのは Windows ハイパーバイザーです。また、プロセッサは、第 2 レベルのアドレス変換による仮想化をサポートする必要があります。

さらに、すべての DMA 対応 I/O デバイスは入出力メモリ管理ユニットの背後にある必要があり、すべてのシステム ファームウェアは Windows SMM セキュリティ緩和テーブル (WMST) に従ってシステム管理モード コードを強化する必要があります。すべての Unified Extensible Firmware Interface ファームウェアは、コードとデータの EFI ランタイム メモリ範囲を分離して報告する必要があり、EFI ページ保護も含める必要があります (たとえば、実行可能な UEFI メモリは読み取り専用である必要があり、書き込み可能なメモリは実行可能であってはなりません)。

もう 1 つの重要な要件は、メモリの整合性との互換性を確保するためにすべてのシステム ドライバーをテストする必要があることです。また、高度なメモリ攻撃からシステムを保護するには、Secure Memory Overwrite Request リビジョン 2 を実装する必要があります。

最後に、Microsoft は、ハードウェア ベースのセキュリティを提供するために Trusted Platform Module を実装することを推奨しています (ただし、必須ではありません)。

仮想化ベースのセキュリティを使用する場合、Microsoft はハードウェア ベースのセキュリティを提供する Trusted Platform Module を実装することを推奨します。

Windows 10 または 11 で VBS が有効になっているかどうかを確認する方法

Windows 10 および 11 では、通常、VBS はデフォルトでオンになっています。ただし、管理者は次のプロセスに従って、それが有効になっているかどうかを確認できます。

• Windows 検索でシステム情報アプリを検索します。
• アプリを開きます。
• 「仮想化ベースのセキュリティ」行まで下にスクロールします。
• 「実行中」と表示されている場合、VBS は有効になっています。

Windows 10 または 11 で VBS/HVCI を無効にする方法

セキュリティ上の利点にもかかわらず、Windows 10 および 11 で VBS を有効にすると、システムのパフォーマンスが低下する可能性があります。この機能を無効にするとパフォーマンスが向上しますが、セキュリティ ソリューションが脆弱性やエクスプロイトにさらされるという犠牲は伴います。

Windows 10 および 11 で VBS/HVCI を無効にするプロセスは次のとおりです。

• Windows 検索で「Core Isolation」を検索するか、システム設定から開きます。
• メモリ整合性をオフにします (オンになっている場合)。
• システムを再起動します。
• システム情報アプリを開きます。
• 「仮想化ベースのセキュリティ」行まで下にスクロールします。
• 「有効ではありません」と表示された場合、VBS は無効になっています。

VBS がまだ有効な場合は、次の手順に従って、システム レジストリから無効にする必要があります (管理者アクセス権と経験が必要な場合があります)。

• regedit を開いて実行し、レジストリ エディタを開きます。
• Computer\HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\DeviceGuard フォルダーに移動します。
• EnableVirtualizationBasedSecurity という名前のファイルを開き、その値を 0 に設定します。
• regedit を閉じます。
• PC を再起動します。
• システム情報アプリで VBS が無効になっていることを確認します。

Windows 仮想化ベースのセキュリティ機能について詳細を確認し、仮想環境を保護する際に留意すべき点を確認してください。 Windows Defender Device Guard を有効にする方法を確認し、Windows Server のエンドポイント検出および応答ツールを比較する方法を説明します。