Windows セキュリティ アプリのデバイス セキュリティ
Applies To
Windows 11 Windows 10Windows セキュリティ アプリの [デバイス のセキュリティ] ページは、Windows デバイスに組み込まれているセキュリティ機能を管理するように設計されています。 ページは次のセクションに分かれています。
-
コアの分離: ここでは、Windows カーネルを保護するセキュリティ機能を構成できます
-
セキュリティ プロセッサ: 信頼されたプラットフォーム モジュール (TPM) を呼び出すセキュリティ プロセッサに関する情報を提供します
-
セキュア ブート: セキュア ブートが有効になっている場合は、その詳細を確認できます
-
データ暗号化: ここでは、デバイスの暗号化やその他の BitLocker 設定を構成できる Windows 設定へのリンクを見つけることができます
-
ハードウェア セキュリティ機能: デバイスのハードウェア セキュリティ機能を評価します
[ デバイス のセキュリティ] を選択PC 上の Windows セキュリティ アプリ で、 、 または次のショートカットを使用します。
コア分離
コア分離は、Windows のコア プロセスをメモリ内で分離することで、悪意のあるソフトウェアから保護するように設計されたセキュリティ機能を提供します。 これは、コア プロセスを仮想化環境内で実行することにより実現されています。
[ デバイス セキュリティ ]> [ コア分離の詳細 ] を選択するか、次のショートカットを使用PC 上の Windows セキュリティ アプリ で、 。
注: コア分離ページで公開される機能は、実行している Windows のバージョンとインストールされているハードウェア コンポーネントによって異なります。
ハイパーバイザーで保護されたコード整合性 (HVCI) とも呼ばれるメモリ整合性は、悪意のあるプログラムが低レベルのドライバーを使用して PC を乗っ取りにくくする Windows セキュリティ機能です。
ドライバーは、オペレーティング システム (この場合は Windows) とデバイス (キーボードや Web カメラなど) が相互に通信できるようにするソフトウェアです。 デバイスは、Windows で何かを実行する場合、ドライバーを使用してその要求を送信します。
メモリ整合性は、 ハードウェア仮想化を使用して分離された環境を作成することによって機能します。
たとえるなら、鍵が付いたブース内に検査員がいるような環境です。 この分離環境 (鍵付きブースに相当するしくみ) が、攻撃者によるメモリ整合性機能の改ざんを防ぎます。 危険性の疑いがあるコード部品を実行するプログラムは、そのコードを検証の対象にするために、仮想ブース内のメモリ整合性機能に引き渡す必要があります。 メモリ整合性機能は、安全であると判断した場合はそのコードを Windows に返却し、実行を認めます。 通常、このやり取りは非常に短時間で行われます。
メモリの整合性が実行されていないと、 セキュリティ ガードは、攻撃者がガードを妨害または妨害する方がはるかに簡単で、悪意のあるコードが過去に侵入して問題を引き起こしやすくなります。
トグル ボタンを使用して、メモリの整合性を オン または オフにすることができます。
注: メモリ整合性を使用するには、システムの UEFI または BIOS でハードウェア仮想化が有効になっている必要があります。
互換性のないドライバーがあると表示される場合は、どうすればよいですか?
メモリの整合性がオンに失敗した場合は、互換性のないデバイス ドライバーが既にインストールされていることを示す場合があります。 該当するデバイスの製造元に問い合わせ、更新されたドライバーが提供されているかどうか確認してください。 互換性のあるドライバーが提供されていない場合は、互換性のないドライバーを使用するデバイスやアプリをシステムから取り除いて解決できることがあります。
注: メモリの整合性をオンにした後、互換性のないドライバーでデバイスをインストールしようとすると、同じメッセージが表示されることがあります。 その場合にも上記のアドバイスが当てはまります。デバイスの製造元に問い合わせ、更新されたドライバーをダウンロードできるかどうか確認してください。または、互換性のあるドライバーが提供されるまでその特定のデバイスを設置しないようにしてください。
ハードウェアによって強制されるスタック保護は、悪意のあるプログラムが低レベルのドライバーを使用して PC を乗っ取りにくくするハードウェア ベースのセキュリティ機能です。
ドライバーは、オペレーティング システム (この場合は Windows) とデバイス (キーボードや Web カメラなど) が相互に通信できるようにするソフトウェアです。 デバイスは、Windows で何かを実行する場合、ドライバーを使用してその要求を送信します。
ハードウェアによって適用されるスタック保護は、カーネル モード メモリ内のリターン アドレスを変更して悪意のあるコードを起動する攻撃を防ぐことで機能します。 このセキュリティ機能には、実行中のコードのリターン アドレスを確認する機能を含む CPU が必要です。
カーネル モードでコードを実行する場合、通常のコード実行を悪意のあるコードにリダイレクトするために、カーネル モード スタックのリターン アドレスが悪意のあるプログラムまたはドライバーによって破損する可能性があります。 サポートされている CPU では、CPU は、ドライバーが変更できない読み取り専用シャドウ スタックに有効なリターン アドレスの 2 番目のコピーを保持します。 通常のスタック上のリターン アドレスが変更されている場合、CPU はシャドウ スタック上のリターン アドレスのコピーをチェックすることで、この不一致を検出できます。 この不一致が発生すると、コンピューターは、悪意のあるコードの実行を防ぐために、停止エラー (ブルー スクリーンとも呼ばれます) を求めます。
少数の正当なドライバーが悪意のない目的でリターン アドレスの変更に関与するため、すべてのドライバーがこのセキュリティ機能と互換性があるわけではありません。 Microsoft は、最新のドライバーがハードウェアによって適用されるスタック保護と互換性があることを確認するために、多数のドライバー発行元と連携してきました。
トグル ボタンを使用して、ハードウェアによって適用されるスタック保護のオン または オフを切り替えることができます。
ハードウェアによって適用されるスタック保護を使用するには、メモリ整合性が有効になっている必要があります。 また、Intel Control-Flow Enforcement Technology または AMD Shadow Stack をサポートする CPU を実行している必要があります。
互換性のないドライバーまたはサービスがあると表示された場合はどうすればよいですか?
ハードウェアによって適用されるスタック保護が有効にできない場合は、互換性のないデバイス ドライバーまたはサービスが既にインストールされていることを示している可能性があります。 デバイスまたはアプリケーション発行元の製造元に問い合わせて、更新されたドライバーが利用可能かどうかを確認します。 互換性のあるドライバーがない場合は、その互換性のないドライバーを使用するデバイスまたはアプリを削除できる可能性があります。
一部のアプリケーションでは、アプリケーションのインストール中にドライバーではなくサービスをインストールし、アプリケーションの起動時にのみドライバーをインストールする場合があります。 互換性のないドライバーをより正確に検出するために、互換性のないドライバーに関連付けられていることがわかっているサービスも列挙されます。
注: ハードウェアによるスタック保護を有効にした後で、互換性のないドライバーを使用してデバイスまたはアプリをインストールしようとすると、同じメッセージが表示されることがあります。 その場合は、同じアドバイスが適用されます。デバイスの製造元またはアプリの発行元にチェックして、ダウンロードできるドライバーが更新されているかどうかを確認するか、互換性のあるドライバーが利用可能になるまでその特定のデバイスまたはアプリをインストールしないか確認します。
カーネル DMA 保護とも呼ばれるこのセキュリティ機能は、悪意のあるデバイスが Thunderbolt ポートのような周辺機器コンポーネント相互接続 (PCI) ポートに接続されたときに発生する可能性のある攻撃からデバイスを保護します。
これに該当する単純な攻撃の例としては、ユーザーが PC から離れてコーヒーを飲みながら一休みしている間に、攻撃者が立ち入って USB のようなデバイスを接続し、コンピューターから機密データを取り出したり、PC のリモート制御を可能にするマルウェアを侵入させたりする場合があります。
メモリ アクセス保護は、特に PC がロックされている場合、またはユーザーがサインアウトされている特別な状況を除き、これらのデバイスへのメモリへの直接アクセスを拒否することで、このような攻撃を防ぎます。
ヒント: 詳細については、「カーネル DMA 保護」を参照してください。
すべてのデバイスには、デバイス内部の読み取り専用メモリ (システム ボード上のチップなど) に書き込まれたソフトウェアが搭載されています。この種のソフトウェアは、デバイスの基本的な機能 (ユーザーが通常使用するすべてのアプリの実行環境となるオペレーティング システムの読み込みなど) を実現するものです。 そのソフトウェアは変更するのが難しい(不可能ではない)ので、 ファームウェアと言います。
ファームウェアが最初に読み込まれてオペレーティング システム の下で実行されるため、オペレーティング システムで実行されるセキュリティ ツールと機能の検出または防御が困難です。 セキュリティで保護するために適切な基盤に依存する家のように、コンピューター上のオペレーティング システム、アプリケーション、データが安全であることを確認するために、コンピューターのファームウェアをセキュリティで保護する必要があります。
System Guardは、攻撃者が信頼されていないファームウェアまたは悪意のあるファームウェアでデバイスを起動できないようにするのに役立つ一連の機能です。
通常、ファームウェア保護を提供するプラットフォームでは、高い特権を持つオペレーティング モードであるシステム管理モード (SMM) もさまざまな程度に保護されます。 次の 3 つの値のうち、SMM 保護の程度が高いことを示す数値が大きくなることが予想されます。
-
デバイスがファームウェア保護バージョン 1 を満たしています。これは、SMM がマルウェアによる悪用に抵抗するのに役立つ基本的なセキュリティ軽減策を提供し、OS (VBS を含む) からのシークレットの流出を防ぎます
-
デバイスがファームウェア保護バージョン 2 を満たしています。 ファームウェア保護バージョン 1 に加えて、バージョン 2 では、SMM が仮想化ベースのセキュリティ (VBS) とカーネル DMA の保護を無効にできないようにします
-
デバイスはファームウェア保護バージョン 3 を満たしています。 ファームウェア保護バージョン 2 に加えて、OS (VBS を含む) を侵害する機能を持つ特定のレジスタへのアクセスを防ぐことで、SMM をさらに強化します。
ヒント: 詳細については、「System Guard: ハードウェア ベースの信頼のルートが Windows を保護する方法」を参照してください。
ローカル セキュリティ機関 (LSA) 保護は、Windows へのサインインに使用される資格情報の盗難を防ぐための Windows セキュリティ機能です。
ローカル セキュリティ機関 (LSA) は、ユーザー認証に関連する Windows の重要なプロセスです。 ログイン プロセス中に資格情報を検証し、サービスのシングル サインオンを有効にするために使用される認証トークンとチケットを管理する責任があります。 LSA 保護は、信頼されていないソフトウェアが LSA 内で実行されたり、LSA メモリにアクセスしたりするのを防ぐのに役立ちます。
ローカル セキュリティ機関の保護を管理操作方法?
LSA 保護をオン または オフにするには、トグル ボタンを使用します。
設定を変更したら、再起動して有効にする必要があります。
注: 資格情報を安全に保つために、すべてのデバイスで LSA 保護が既定で有効になっています。 新しいインストールの場合は、すぐに有効になります。 アップグレードの場合、評価期間が 10 日後に再起動された後に有効になります。
互換性のないソフトウェアがある場合はどうすればよいですか?
LSA 保護が有効になっていて、LSA サービスへのソフトウェアの読み込みをブロックする場合、通知はブロックされたファイルを示します。 ファイルを読み込むソフトウェアを削除することも、LSA への読み込みがブロックされたときに、そのファイルの今後の警告を無効にすることもできます。
注: Credential Guard は、Enterprise バージョンまたは Education バージョンの Windows を実行しているデバイスで使用できます。
職場または学校のデバイスを使用している間は、organization内のファイル、プリンター、アプリ、その他のリソースなど、さまざまなものに静かにサインインしてアクセスできるようになります。 そのプロセスをセキュリティで保護し、ユーザーにとって簡単にすることは、PC に特定の時点で多数の認証トークンがあることを意味します。
攻撃者がそれらのトークンの 1 つ以上にアクセスできる場合、そのトークンを使用して、トークンの対象となる組織リソース (機密ファイルなど) にアクセスできる可能性があります。 Credential Guard は、必要に応じて特定のサービスのみがアクセスできる、保護された仮想化された環境にトークンを配置することで、これらのトークンを保護するのに役立ちます。
ヒント: 詳細については、「Credential Guard のしくみ」を参照してください。
ドライバーは、オペレーティング システム (この場合は Windows) とデバイス (キーボードや Web カメラなど) が相互に通信できるようにするソフトウェアです。 デバイスは、Windows で何かを実行する場合、ドライバーを使用してその要求を送信します。 このため、ドライバーには、システムに対してさまざまな機密性の高いアクセスを行う権限が与えられています。
Windows 11には、既知のセキュリティ脆弱性を持つドライバー、マルウェアの署名に使用される証明書で署名されているドライバー、またはWindows セキュリティ モデルを回避するドライバーのブロックリストが含まれています。
メモリ整合性、スマート アプリ コントロール、Windows S モードのいずれかを有効にしている環境では、脆弱なドライバーのブロックリストもオンになります。
セキュリティ プロセッサ
Windows セキュリティ アプリの [デバイス セキュリティ] ページの [セキュリティ プロセッサ] 設定には、デバイス上のトラステッド プラットフォーム モジュール (TPM) に関する詳細が表示されます。 TPM は、暗号化操作を実行してセキュリティを強化するように設計されたハードウェア コンポーネントです。
注: この画面にセキュリティ プロセッサのエントリが表示されない場合は、この機能に必要な TPM (トラステッド プラットフォーム モジュール) ハードウェアがデバイスにないか、UEFI (Unified Extensible Firmware Interface) で有効になっていない可能性があります。 デバイスが TPM をサポートしているかどうか、およびサポートしている場合は、それを有効にする手順について、デバイスの製造元に確認してください。
ここには、セキュリティ プロセッサの製造元とバージョン番号に関する情報に加えて、セキュリティ プロセッサの状態に関する情報が表示されます。
PC 上の Windows セキュリティ アプリ で、 [デバイス のセキュリティ] を選択 > [セキュリティ プロセッサの詳細] を選択するか、次のショートカットを使用します。
セキュリティ プロセッサが正常に動作しない場合は、[ セキュリティ プロセッサのトラブルシューティング] リンクを選択して、エラー メッセージと高度なオプションを表示するか、次のショートカットを使用します。
セキュリティ プロセッサのトラブルシューティング ページには、TPM に関する関連するエラー メッセージが表示されます。 エラー メッセージと詳細の一覧を次に示します。
|
メッセージ |
詳細 |
|---|---|
|
セキュリティ プロセッサ (TPM) のファームウェアの更新が必要です。 |
現在、デバイスのマザーボードは TPM をサポートしていないようですが、ファームウェアの更新によって解決される場合があります。 デバイスの製造元に問い合わせて、ファームウェアの更新プログラムが利用可能かどうかを確認し、インストールする方法を確認します。 通常、ファームウェアの更新プログラムは無料です。 |
|
TPM が無効で、対処が必要です。 |
信頼できるプラットフォーム モジュールは、システム BIOS (基本入出力システム) または UEFI (統合拡張ファームウェア インターフェイス) でオフになっている可能性があります。 オンにする方法については、デバイスの製造元のサポート ドキュメントを参照するか、テクニカル サポートにお問い合わせください。 |
|
TPMストレージは使用できません。 TPM をクリアしてください。 |
[TPM のクリア] ボタンがこのページにあります。 続行する前に、データの適切なバックアップがあることを確認する必要があります。 |
|
デバイス正常性構成証明が利用できません。 TPM をクリアしてください。 |
[TPM のクリア] ボタンがこのページにあります。 続行する前に、データの適切なバックアップがあることを確認する必要があります。 |
|
デバイス正常性構成証明は、このデバイスではサポートされていません。 |
これは、デバイスがデバイスで TPM が正常に動作しない理由を判断するのに十分な情報を提供しないことを意味します。 |
|
TPM はファームウェアと互換性がありません。正しく動作していない可能性があります。 |
デバイスの製造元に問い合わせて、ファームウェアの更新プログラムが利用可能かどうかを確認し、入手してインストールする方法を確認します。 通常、ファームウェアの更新プログラムは無料です。 |
|
TPM 測定ブートログが見つかりません。 デバイスの再起動を試行しています。 |
|
|
TPM に問題が発生しています。 デバイスの再起動を試行しています。 |
エラー メッセージに対処した後に問題が引き続き発生する場合は、デバイスの製造元にお問い合わせください。
セキュリティ プロセッサを既定の設定にリセットするには、[TPM のクリア] を選びます。
注意: TPM をクリアする前に、必ずデータをバックアップしてください。
セキュア ブート
セキュア ブートにより、高度で危険な種類のマルウェア ( ルートキット) がデバイスの起動時に読み込まれます。 ルートキットは、オペレーティング システムと同じアクセス許可を使用し、オペレーティング システムより先に起動します。つまり、完全にそれ自身を隠すことができます。 また、ルートキットは、ローカル ログインの回避、パスワードやキー入力の記録、機密ファイルの転送、暗号化データの収集を行うマルウェアのスイートによく含まれています。
一部のグラフィックス カード、ハードウェア、またはオペレーティング システム (Linux または以前のバージョンの Windows など) を実行するには、セキュア ブートを無効にする必要がある場合があります。
詳細については、「 セキュア ブート」を参照してください。
ハードウェア セキュリティ機能
デバイスのセキュリティ ページの最後のセクションには、デバイスのセキュリティ機能を示す情報が表示されます。 メッセージと詳細の一覧を次に示します。
|
メッセージ |
詳細 |
|---|---|
|
デバイスは、標準的なハードウェア セキュリティの要件を満たしています。 |
これは、デバイスがメモリ整合性とコア分離をサポートしており、以下にも対応していることを意味します。
|
|
デバイスは、強化されたハードウェア セキュリティの要件を満たしています。 |
これは、標準のハードウェア セキュリティのすべての要件を満たしていることに加えて、デバイスでメモリ整合性も有効になっていることを意味します。 |
|
デバイスでセキュリティ保護されたコア PC 機能がすべて有効になっています。 |
これは、拡張ハードウェア セキュリティのすべての要件を満たしていることに加えて、デバイスでシステム管理モード (SMM) の保護も有効になっていることを意味します。 |
|
Standardハードウェア セキュリティはサポートされていません。 |
これは、デバイスが標準ハードウェア セキュリティ要件のうち 1 つ以上を満たしていないことを意味します。 |
ハードウェア セキュリティを高める
デバイスのセキュリティ機能が十分でない場合は、特定のハードウェア機能 (サポートされている場合はセキュア ブートなど) を有効にするか、システムの BIOS で設定を変更することができます。 ハードウェアによりサポートされている機能およびその機能を有効にする方法については、ハードウェアの製造元にお問い合わせください。
ヘルプを表示
その他のオプションが必要ですか?
サブスクリプションの特典の参照、トレーニング コースの閲覧、デバイスのセキュリティ保護方法などについて説明します。
コミュニティは、質問をしたり質問の答えを得たり、フィードバックを提供したり、豊富な知識を持つ専門家の意見を聞いたりするのに役立ちます。
