VBSとは？ わかりやすく解説

出典: フリー百科事典『ウィキペディア（Wikipedia）』 (2022/07/25 05:54 UTC 版)

「Windowsのセキュリティ機能」の記事における「VBS(Virtualization-Based Security)」の解説

VBS(Virtualization-Based Security、仮想化ベースのセキュリティ)は仮想化基盤Hyper-Vを利用したハイパーバイザーベースのセキュリティ技術で、Windows Defender System Guardともいう。ハイパーバイザーが通常のWindows OS自身を1つの仮想マシンとして実行し、それとは別にもう一つの仮想マシンVSM（Virtual Secure Mode）を実行する。Windows OSとVSMはハイパーバイザーレベルで分離されている為、Windows OS側の特権が攻撃者に乗っ取られても、VSM側は乗っ取られない。 そこでVBSではVSMにWindows OS自身よりも高い特権レベルを要求する操作を割り振っており、Windows OS、VSMの特権レベルをそれぞれVTL 0、VTL 1という（VTLはVirtual Trust Levelの略）。（リングプロテクションと違い、数字が大きいほど特権レベルが高い事に注意）。 VTL 0、VTL 1はリングプロテクションのRing 0、Ring 3とは独立した特権レベル概念であり、VTLが0か1か、リングプロテクションレベルが0か3かの組み合わせで計4つの特権レベルがある事になる。 WindowsではVBSを使うことで以下の3つのセキュリティ機能を実現している： 名称概要Credential Guard Active Directoryの資格情報を管理するセキュリティ認証サブシステム(Local Security Authority Subsystem Service : LSASS)をVSM側で実行し、さらに暗号化鍵をTPM(ない場合はUEFI)で保護する事で、Windowsの特権が攻撃者に取られても、Pass-the-Hash攻撃などで資格情報が窃取されないようにする。 Device Guard アプリケーションやデバイスドライバのホワイトリスト機能。アプリケーションやデバイスドライバに正当な署名が付いている事を確認した上でこれらを実行する。「グループポリシーの「コードの整合性ポリシーを展開する」を使って、あらかじめ指定したアプリケーションだけしか動作しないように設定」する事も可能。カーネルモードで動くバイナリをチェックする「カーネルモードのコードの整合性(Kernel Mode Code Integrity:KMCI)」とユーザーモードで動くバイナリをチェックする「ユーザーモードのコードの整合性(User Mode Code Integrity:UMCI)」からなっている。 Windows Storeで配布されているアプリケーションは配布段階で署名が必須である。またPKIを用意して既存のアプリケーションに署名を行ってもよい。 仮想TPM 仮想マシンでTPMを利用するための技術で、ソフトウェアベースでTPMを実現するためTPM対応プロセッサを必要としない Windows 10 Fall Creators Update（バージョン1709）ではDevice Guardに代わる機能としてWindows Defender Application Guard（WDAG）が導入されている。WDAGと並び、AppLockerもWindowsが持つもう一つのアプリケーションホワイトリスト機能であるが、両者はいわば補完関係にある。WDAGは自組織にとって可能な制限レベルに対してのみ強制すべきで、それより低いレベルに関してはAppLockerによる保護で補完する。

※この「VBS(Virtualization-Based Security)」の解説は、「Windowsのセキュリティ機能」の解説の一部です。
「VBS(Virtualization-Based Security)」を含む「Windowsのセキュリティ機能」の記事については、「Windowsのセキュリティ機能」の概要を参照ください。