Azure Managed Service Column <Azure運用コラム>

Windows Defender Credential Guard とは?資格情報保護の重要性とメリット・デメリットを解説

Category: 入門編

2023.03.10

標的型攻撃への有効な対処方法は?ゼロトラストモデルの導入方法を解説

近年、セキュリティの脆弱性を突いたサイバー攻撃が増加しており、特定の企業をターゲットとした標的型攻撃の脅威が増しています。標的型攻撃への対策はさまざまあり、不正なアクセスから自社を守るため、対象を OS に保持したままの対策では、サイバー攻撃者からの脅威に対抗できません。

マイクロソフトでは、端末の盗難や、ネットワークに侵入されることを前提とした多層的なセキュリティ・ソリューションを提供しています。本記事では、資格情報( ID )を保護するための Windows Defender Credential Guard の概要やメリット・デメリットについて解説します。

1. Credential Guard (資格情報保護)とは

ID やパスワードなど、いわゆる資格情報(認証情報)と呼ばれる情報を保護する方法は多くありますが、標的型攻撃への対処としてどのような方法が有効なのでしょうか。ここでは、昨今注目されている Credential Guard (資格情報保護)について解説します。

Credential Guard(資格情報保護)とは

Credential Guard(資格情報保護)とは

図版出典:日経クロステック『侵入されても認証情報は盗ませない、Windows 10の「Credential Guard」』

Credential Guard (資格情報保護)とは、外部の脅威から保護するために、資格情報を OS とは別の場所に隔離して保護する方式です。

Credential Guard を採用すると、これまでは Windows OS の内部に保持されてきた資格情報をセキュリティが確保された専用の仮想マシン上に隔離し、認証情報へのアクセスを厳しく制限することになります。

Credential Guard (資格情報保護)の重要性

これまでセキュリティ対策の基本的な考え方は、「境界型セキュリティ」と呼ばれる、ネットワーク機器など、外部と社内との境界線上にセキュリティ対策を施す方式が主流でした。

しかし近年の攻撃手口を分析すると、ネットワークへの侵入だけでなく、あらゆる方法でアカウントやパスワードなど資格情報を盗み出す手口が多いことが分かっています。

資格情報を盗みだすと不正な方法でネットワークへ侵入せずとも、正当なユーザーになりすまして端末から社内のネットワークやサーバーに簡単にアクセスできてしまうため、従来の境界型セキュリティ対策では防ぐことができません。

OSの資格情報を安全な仮想マシン上に隔離し、重要な認証情報を守る「 Credential Guard 」は、近年相次いでいる標的型攻撃の対策として有効な対策と言えます。

2. Windows Defender Credential Guardとは

マイクロソフトでは、 Credential Guard の機能として「 Windows Defender Credential Guard 」を提供しています。ここでは、 Windows Defender Credential Guard の概要と仕組みについて解説します。

Windows Defender Credential Guardの概要

Windows Defender Credential Guard は、 Windows10 から実装された機能で、資格情報(認証情報)を別の仮想マシンに隔離する機能です。

Windows 8.1 までは認証情報をハッシュ形式で Windows OS 内部に保持していたため、ハッシュを盗み出される危険性が残っていました。 Windows10 の Credential Guard では、このハッシュ情報を、仮想化基盤である Hyper-V 上で稼働するセキュリティの施された仮想マシンに分離・格納します。

万が一、ユーザーの端末が悪意のある第三者の手に落ちてしまっても、資格情報にアクセスすることはできません。物理的に端末を盗まれても、資格情報さえ守れれば、重要な情報資産にアクセスすることができず、被害の拡大を防ぐことが可能になります。

Windows Defender Credential Guardの仕組み

Windows Defender Credential Guardの仕組み

図版出典:Microsoft 公式サイト

Windows8.1 までは、資格情報は LSA ( Local Security Authority )と呼ばれる Windows OS の認証機関の中に保持されていました。つまり、利用者が扱う端末の中に資格情報が保持されることになります。

Windows Defender Credential Guard では、 Hyper-V を利用して仮想マシンを分離し、そこに仮想化ベースのセキュリティ( VBS = Virtualization-based security )と呼ばれるセキュリティで保護されたメモリ領域を作成します。

そして VBS 上には資格情報が保持される LSA を分離します。端末の Windows OS 上で資格情報を扱う LSA プロセス( LSASS )からは、リモートプロシージャコールという通信方式によって、 VBS 上の Credential Guard ( LSAlso )と通信し、資格情報の認証を行います。

資格情報は利用者の端末からは完全に切り離されるため、第三者によって不正アクセスを受けるリスクが大きく下がったと言えます。

3. Windows Defender Credential Guardのメリット・デメリット

Windows Defender Credential Guard によりセキュリティ面では大きなメリットがありそうですが、デメリットはないのでしょうか。ここでは、改めて Windows Defender Credential Guard を導入するメリット・デメリットについて整理します。

Windows Defender Credential Guard を導入するメリット

Windows Defender Credential Guard を導入するメリットは下記の通りです。

  • 資格情報保護によるセキュリティ強化
  • ゼロトラストセキュリティの導入が可能

資格情報保護によるセキュリティ強化

Windows Defender Credential Guard により、資格情報がこれまでより強固に保護されます。認証情報の盗難を防ぎ、なりすましによる組織ネットワーク内サーバーへの不正侵入の回避など、組織のセキュリティ強化につながります。特に、近年問題となっている標的型攻撃に対して有効な対策と言えます。

ゼロトラストセキュリティの導入が可能

Windows Defender Credential Guard は、従来の境界型セキュリティでは守り切れない、ネットワークに侵入されることを想定したセキュリティ対策と言えます。ゼロトラストセキュリティの考え方と一致しており、いつでも、どこからでも社内の情報資産にアクセスが可能なクラウド時代に相応しいゼロトラストモデルの導入が可能となります。

Windows Defender Credential Guard を導入するデメリット

Windows Defender Credential Guard を導入するデメリットは下記の通りです。

  • Windows10へのアップデートが必要
  • 導入前後で互換性を担保するためにアプリケーションのテストが必要

Windows10へのアップデートが必要

Windows Defender Credential Guard は Windows10 から導入された機能です。社内でお使いの端末が Windows8.1 までのバージョンの場合、 Windows10 へのアップデートが必要となります。アップデートにより、使用しているアプリケーションや社内のインフラ、または端末の運用手順に手を入れる必要があるかどうか確認し、必要な予算や人員を確保しておく必要があります。

導入前後で互換性を担保するためアプリケーションのテストが必要

Windows Defender Credential Guard を導入する場合、従来から使用していたアプリケーションが正しく動作するかどうかのテストが必要となる場合があります。使用しているアプリケーションの仕様を事前に確認し、影響調査を行います。またテストを行うための十分な期間と人員の確保も必要です。

4. まとめ

本記事では、資格情報を保護するための Windows Defender Credential Guard の概要やメリット・デメリットについて解説しました。クラウドや SaaS の普及に伴い、いつでも、どこからでも社内にアクセスすることが可能となっています。こうした時代背景もあり、クラウドを前提としたセキュリティ対策も従来とは変化しています。ぜひ専門家の支援を受けながら、 Windows Defender Credential Guard の導入を検討してみてください。

Azure の導入を相談したい

Azure導入支援サービス

Azure 導入支援サービス

Microsoft Azure 導入の具体的な方法の検討や技術検証を専門家にサポートいたします。

Free

資料ダウンロード

課題解決に役立つ詳しいサービス資料はこちら

資料ダウンロード
  • Azure導入支援・構築・運用サービス総合カタログ

    Microsoft Azure サービスの導入検討・PoC、設計、構築、運用までを一貫してご支援いたします。
    Azure導入・運用時のよくあるお悩み、お悩みを解決するためのアールワークスのご支援内容・方法、ご支援例などをご確認いただけます。

Microsoft Azureを利用したシステムの設計・構築を代行します。お客様のご要件を実現する構成をご提案・実装いたします。

Azure導入個別相談会(無料)

Tag: Windows Defender Credential Guard

Contactお問い合わせ

お見積もり・ご相談など、お気軽にお問い合わせください。

single.php