セキュアコアサーバ(Secured-core Server)」は、最新Windows Server 2022の新しいセキュリティ機能として語られることがありますが、そのセキュリティ機能の多くはWindows 10(x64)やWindows Server 2016から提供されてきたものであり、決して新しいものではありません。では、セキュアコアサーバとは何なのでしょうか。

Windowsの高度な多層セキュリティ機能の基礎を提供する“セキュリティコア”

「セキュアコア」とは、ハードウェア組み込みのセキュリティ機能、信頼されたファームウェアやドライバー、そしてオペレーティングシステム(OS)の高度なセキュリティ機能が実現するセキュリティ機能の集まりのことです。セキュアコアによって保護されたシステムは、OSが起動する前に開始され、信頼されたファームウェアとドライバーのみがロードされ、検証されていないカーネルモード/ユーザーモードのコードの実行を排除し、OSを保護します。

セキュアコアは最初、Windows 10向けに「セキュアコアPC(Secured-Core PC)」として提供されました。それは、マイクロソフトがOEMパートナーと密接に連携して、OEMがセキュアコアPC認定ハードウェアとして高度なセキュリティ機能を備えたシステムを提供することにありました。Windows Server 2022では、それがサーバハードウェアとWindows Server 2022で利用できるようにしたものです。

セキュアコアPCと同様に、セキュアコアサーバ認定ハードウェアを購入することで、セキュアコア要件を満たす、ハードウェア、ファームウェア、ドライバーを備えたセキュアなサーバシステムを導入することができます。

言い換えると、Windows Server 2019以前を実行するサーバハードウェアを、Windows Server 2022にアップグレードした場合、使用しているハードウェアによっては、セキュアコアのセキュリティ機能の一部、またはすべてを利用できない可能性があります。セキュアコアはハードウェアに依存するセキュリティ機能であるため、非対応のサーバハードウェアをセキュアコアサーバとして構成することはできません(一部のセキュリティ機能は利用できます)。

セキュアコアを実現する6つのセキュリティ機能

セキュアコアサーバ(およびセキュアコアPC)は、次に示す6つのハードウェア依存のセキュリティ機能で実現されます。その状態は、Windows Admin Centerの「セキュリティ」ツールの「Secured-core」タブで確認することができます。

各機能の一部は、このGUIから有効化または無効化することができますが、利用するには各機能のハードウェア要件を満たしている必要があります。また、一部の機能はポリシー設定やレジストリ設定で構成することで有効化できます。各機能のハードウェア要件や構成方法については、以下に示したドキュメントへのリンクを参照してください。

ハイパーバイザー強制のコード整合性(HVCI)
仮想化ベースのセキュリティ(VBS)が提供するセキュリティ機能であり、カーネルが侵害される可能性があることを前提として、信頼のルートとなる分離された仮想環境(セキュアカーネル)を作成し、一部の重要なシステムサービス(分離されたローカルセキュリティ機関など)を分離された環境で実行して保護します。この機能は、メモリ整合性とも呼ばれ、以前はデバイスガードの一部として提供されていました。

DMA保護の起動
外部周辺機器(PCIeデバイス)がメモリに不正アクセスできないように入出力メモリ管理ユニット(IOMMU)を使用して保護します。

System Guard
静的な信頼のルート測定(Staic Root of Trust for Measurement、SRTM)および動的な信頼のルート測定(Dynamic Root of Trust for Measurement、DRTM)によるセキュリティで保護された起動(Secure Launch)を実現します。

セキュアブート
信頼されたソフトウェアのみを使用してデバイスを起動するUEFIの機能です。

仮想化ベースのセキュリティ(VBS)
ハードウェア仮想化機能とHyper-Vハイパーバイザーを使用して、OSの信頼のルートとなる分離された仮想環境(セキュアカーネル)を提供します。Hyper-Vの役割をインストールすると、VBSが有効になります。

トラステッドプラットフォームモジュール 2.0(TPM 2.0)
暗号化キーの生成、保存、使用制限を行うハードウェアベースのセキュリティ機能を提供します。BitLockerドライブ暗号化や資格情報ガード(Credential Guard)などで暗号化キーや資格情報を保護するために使用されます。

  • Windows Server 2019がプレインストールされたサーバハードウェアをWindows Server 2022にアップグレードしたサーバの、セキュアコア対応状態

    Windows Server 2019がプレインストールされたサーバハードウェアをWindows Server 2022にアップグレードしたサーバの、セキュアコア対応状態

上の画面は、Windows Server 2019からアップグレードしたシステム画面ですが、「DMA保護の起動」と「System Guard」に対応していません。前者は入出力メモリ管理ユニット(IOMMU)、後者はIntel vProなどのプロセッサで利用できる機能です。

このシステムは、これらのハードウェアを備えていません。これらのセキュリティ機能の状態は、Windows標準の「システム情報」(msinfo32.exe)や「Windowsセキュリティ」で確認することができます。「Windowsセキュリティ」を使用すると、メモリの整合性(HVCI)のオン/オフなどを構成することができます。

  • 「システム情報」(msinfo32.exe)を使用すると、構成済みで、実行中のハードウェア依存のセキュリティ機能を確認することができる

    「システム情報」(msinfo32.exe)を使用すると、構成済みで、実行中のハードウェア依存のセキュリティ機能を確認することができる

  • 「Windowsセキュリティ」の「デバイスセキュリティ」では、セキュアコアサーバの機能の一部を確認、構成することができる

    「Windowsセキュリティ」の「デバイスセキュリティ」では、セキュアコアサーバの機能の一部を確認、構成することができる

Azure VMの既定が「トラステッド起動の仮想マシン」に

繰り返しになりますが、Windows Server 2022を導入しても、セキュアコアサーバを導入したことにはなりません。セキュアコアサーバ認定ハードウェアをOEMから購入することで、セキュアコアサーバの要件を満たすセキュリティ機能を利用できるようになるのです。また、セキュアコアサーバ認定ハードウェアでなくても、ポリシー設定やレジストリ設定、Hyper-Vのインストールなどにより、セキュアコアサーバのセキュリティ機能の一部を有効化することもできます。

Microsoft Azureでは、Azure仮想マシン(Azure VM)の「セキュリティの種類」として、「トラステッド起動の仮想マシン」が既定となりました(2023年8月末に一般提供開始)。トラステッド起動が有効なAzure VMは、UEFIベースの第2世代(Gen2)のハードウェア構成であり、セキュアブートと仮想TPM 2.0を利用可能です。

  • Azure VMでは、セキュリティの種類として「トラステッド起動の仮想マシン」が既定に。Windows Server 2022ゲストでHyper-Vを有効化(Azure VMのシリーズに依存)することで、セキュアコアサーバの4つの要件を満たすことができる

    Azure VMでは、セキュリティの種類として「トラステッド起動の仮想マシン」が既定に。Windows Server 2022ゲストでHyper-Vを有効化(Azure VMのシリーズに依存)することで、セキュアコアサーバの4つの要件を満たすことができる

さらに、入れ子になった仮想化(Nested Virtualization)を利用可能なAzure VMのシリーズを選択することで、Windows Server 2022ゲストでハイパーバイザー強制のコード整合性(HVCI)、仮想化ベースのセキュリティ(VBS)を有効化することが可能です。これらのセキュリティ機能は、DMA保護の起動とSystem Guardを除く、セキュアコアサーバの4つの要件を満たします。