Windows 11で強化されたセキュリティ機能 - 後編:TPMと仮想化ベースのセキュリティ

今回は、Windows 11で強化されたセキュリティ機能と、企業がWindows 11搭載のPCを使用するうえで考慮するべき点の後編になります。→過去の「デバイスをライフサイクル全体で保護 - デバイスセキュリティという考え方」の回はこちらを参照。

前編では、Windows11で強化された3つの主なセキュリティ機能のうち、セキュアブートに着目してご紹介しました。今回は、残り2つのポイントである「ハードウェア要件の強化」と「仮想化ベースのセキュリティ」を解説していきます。

ハードウェア要件の強化にあたってTPMが必要な理由

Windows 11でコンピュータのマザーボードに搭載されるセキュリティチップ、TPM(Trusted Platform Module)が必要とされる理由は、主にセキュリティの強化にあります。

TPMは、非営利の業界標準組織であるTrusted Computing Group(TCG)によって設計されたコンピュータに搭載されるセキュリティ用のチップとして、以下のような役割を果たします。

• 暗号化キーの保護
  TPMは、暗号化キーを保護するために安全なストレージを提供します。これにより、外部からの攻撃に対してキーが盗まれたり改ざんされるリスクが低くなります。

• デバイス整合性の確認
  システムが起動する際に、TPMはハードウェアおよびソフトウェアの整合性をチェックし、改ざんされていないことを確認します。これにより、悪意のあるプログラムがシステムに侵入するのを防ぎます。

• セキュアブートのサポート
  TPMはセキュアブートのプロセスを支援します。セキュアブートは、許可された署名済みのOSしか起動できないようにする機能で、ブートプロセス中にマルウェアがロードされるのを防ぎます。

• Windows Helloの強化
  TPMは顔認証や指紋認証などのWindows Helloの生体認証機能において、ユーザーの認証情報を安全に保護する役割を担っています。

これらの機能により、TPMはWindows 11が提供するセキュリティ機能の基盤となり、ユーザーのデータやデバイスを保護するために重要な役割を果たします。セキュリティの脅威が高度化するなかで、TPMの導入は強固なデジタル防衛を実現するための重要な要素となっています。

TPMの種類

TPMには主に3つの種類があり、それぞれ設計や実装のアプローチに違いがあります。

ディスクリートTPM

コンピュータのマザーボード上に物理的に独立したハードウェアチップとして実装されたTPMです。他のコンポーネントから物理的に分離されているため高いセキュリティを提供し、システム内の他の部分からの干渉を防ぎます。

国際的に認識された情報セキュリティ認定基準であるCommon Criteriaに基づいて評価・認定されているものや、暗号化モジュールのセキュリティ要求事項を規定する米国政府の基準であるFIPS140-2に準拠したものがあり、特にセキュリティが重視されるビジネス用PCで広く採用されています。

課題や考慮すべき点としては、TPMチップとCPU間の通信に物理的なバスを使用するため、その経路を狙った攻撃(バススヌーピングなど)によって通信が傍受される可能性があることです。バススヌーピングにはマザーボードへの物理的なアクセスが必要となるためデバイス自体を物理的に保護することが重要です。

ファームウェアTPM(fTPM)

ハードウェアではなく、CPUのファームウェアに統合されたTPMです。特別なハードウェアチップが必要ないため、設計の簡略化とコストの削減に寄与します。

考慮すべき点として、fTPMはCPUのファームウェア内で動作するため、物理的に分離された専用のディスクリートTPMほどのセキュリティの分離を提供できない可能性があります。

悪意のある攻撃者がシステムのファームウェアにアクセスできた場合、fTPMのセキュリティが脅かされる可能性があります。また、ファームウェアのアップデート時にセキュリティホールが発生するリスクがあります。

統合TPM(Integrated TPM：iTPM)

CPUのSOC(システムオンチップ)に直接組み込まれている形で実装されたTPMでMicrosoft Plutonがこのタイプです。

物理チップを別途搭載する必要がないためデバイス内部のスペースを節約できるので小型のモバイルPCに適しています。また、fTPMとは異なりCPUに直接組み込まれているため、バス間での攻撃のリスクを軽減できます。

比較的新しい技術であり、第三者機関によってその完全性や実装の健全性が確認されていないため、セキュリティ専門家による十分な評価と検証を必要とします。

Windows 11のPCに搭載されているTPMの詳細は、デバイスセキュリティ画面の「セキュリティ プロセッサの詳細」から確認することができます。

• 

  TPMの詳細は、デバイスセキュリティ画面の「セキュリティ プロセッサの詳細」から確認することができる

仮想化ベースのセキュリティ、VBS

最後に、ハードウェア仮想化技術を利用して、セキュリティ機能を強化するための仕組みを使って、悪意のある攻撃から保護する仮想化ベースのセキュリティ （VBS：Virtualization-Based Security）について説明します。

Windows 11の仮想化ベースのセキュリティであるVBSは、システムの重要な部分を隔離し、マルウェアやその他の攻撃から保護します。具体的には、以下のような機能を提供します。

1. メモリ保護
VBSは、通常のオペレーティングシステムのメモリ空間とは別に、仮想化された保護領域を作成します。この領域は、カーネルや重要なセキュリティ構成データを格納するのに利用され、通常のアプリケーションやプロセスからのアクセスを制限します。

2. クレデンシャルガード
VBSはまた、クレデンシャルガード機能を提供し、ユーザーのログイン情報や認証トークンを保護します。この仕組みにより、パスワードが盗まれるリスクを低減し、認証情報のセキュリティを強化します。

3. コードインテグリティ
仮想化ベースのセキュリティでは、コードインテグリティチェックが強化され、システム上で実行されるコードが信頼できるソースのものであることを確認します。これにより、未承認のコードや改ざんされたコードの実行を未然に防ぎます。

4. ハイパーバイザー保護の提供
VBSは、Windows OSオペレーティングシステムの上に動作するハイパーバイザーレイヤーを使用して、システムの重要なプロセスを外部の脅威から保護します。ハイパーバイザーは、低レベルでのアクセス制御を提供し、アプリケーションの不正な動作を監視します。

これらの機能により、仮想化ベースのセキュリティはWindows 11のセキュリティ全体をさらに強化し、デバイスが直面するさまざまな潜在的な脅威から保護するのに役立ちます。仮想化を利用することで、従来型のセキュリティ手法だけでは対処しきれない高度な攻撃にも、対抗できる可能性が高まります。

ただし、仮想化ベースのセキュリティの前提条件となるハードウェア仮想化技術はBIOS設定で無効にすることができてしまうため、BIOS設定が不正に変更されないように保護することが重要となります。

Windows 11のPCで有効になっている仮想化ベースのセキュリティは「システム情報」の画面から確認できます。

• 

  仮想化ベースのセキュリティは「システム情報」の画面から確認できる

まとめ

Windows 11では、セキュアブート機能、TPMの搭載が必須となるハードウェア要件の強化、仮想化ベースのセキュリティ（VBS）などによってセキュリティが強化されています。

さらに、これらWindows 11のセキュリティを強化するハードウェア(CPUや独自のセキュリティハードウェア)を搭載したPCも選択できます。

昨今、ハードウェアに基づくセキュリティ機能が増えたため、BIOS設定が不正に変更されないようにBIOS設定の保護をすることが、以前よりも重要になります。企業においては、Windows 11搭載のPCを使用するうえで、今一度これらの事項が社内で徹底されているか再度考慮することが推奨されます。