Windows 10 のセキュアコア PC

  • [アーティクル]

Microsoft は OEM パートナーと密接に連携し、認定を受けたすべての Windows システムで安全な運用環境を提供できるようにします。 Windows はハードウェアと密接に統合して、使用可能なハードウェア機能を利用する保護を提供します。

  • ベースライン Windows セキュリティ – 基本的なシステムの整合性の保護を提供する個々のシステムすべてに推奨されるベースラインです。 ハードウェアの Root of Trust、セキュア ブート、BitLocker ドライブ暗号化に TPM 2.0 を活用します。
  • 仮想化ベースのセキュリティが有効 – ハードウェアとハイパーバイザーの仮想化機能を活用して、重要なサブシステムとデータに対する追加の保護を提供します。
  • セキュアコア – 金融、医療、政府機関などの最も機密性の高いシステムと業界に推奨されます。 前のレイヤーを基に構築され、高度なプロセッサ機能を活用してファームウェア攻撃からの保護を提供します。

セキュアコア PC

Microsoft は OEM パートナーやシリコン ベンダーと密接に連携して、デバイス、ID、データのセキュリティを強化するために、深く統合されたハードウェア、ファームウェア、ソフトウェアを備えたセキュアコア PC を構築しています。

セキュアコア PC は、高度な攻撃に対して役立つ保護を提供し、医療記録や他の個人を特定できる情報 (PII) を処理する医療従事者、ビジネスへの影響が大きく機密性の高いデータを処理する商用ロール (収益データを含む財務コントローラーなど) など、最もデータに依存する業界の一部でミッション クリティカルなデータを処理する際に、より高い保証を提供できます。

汎用ノート PC、タブレット、2 in 1、モバイル ワークステーション、デスクトップでは、最適な構成のためにセキュリティ ベースラインの使用をお勧めします。 詳細については、Windows のセキュリティ ベースラインに関するページを参照してください。

ベースライン Windows セキュリティは、セキュア ブート、Bitlocker によるデバイスの暗号化、Microsoft Defender、Windows Hello、および TPM 2.0 チップによってサポートされ、OS プラットフォームのハードウェアの Root of Trust を提供します。 これらの機能は、汎用の最新デバイスをセキュリティで保護するように設計されています。 新しいデバイスを購入する意思決定者の場合、デバイスはベースライン Windows セキュリティ要件を満たしている必要があります。

さらに、S モードの Windows 10 を使用すると、柔軟性を備えた追加のセキュリティ層が提供されます。 S モードは、すべての Windows エディションで使用できます。 信頼されたアプリケーションのみをシステム上で実行することで、S モードでは、セキュリティで保護された Windows エクスペリエンスが維持されます。 これには互換性の観点でなんらかのコストがかかりますが、Intune では、信頼されていないアプリケーションの実行に対する S モード保護を維持しながら、S モード システムにアプリケーションをインストールすることもできます。

セキュアコア PC の機能

特長 機能 ハードウェアまたはファームウェアの要件 ベースライン Windows セキュリティ セキュアコア PC
ハードウェアによる Root of Trust を作成する トラステッド プラットフォーム モジュール 2.0 (TPM) Trusted Computing Group (TCG) 仕様に関する最新の Microsoft 要件を満たす V V
測定のための動的 Root of Trust (DRTM) デバイスで有効 (Secure Launch から) V
システム管理モード (SMM) デバイスで有効 (System Guard から) V
セキュア ブート セキュア ブートが、BIOS で既定で有効になっている。 V V
メモリ アクセス保護 デバイスでメモリ アクセス保護 (カーネル DMA 保護) をサポートしている V
強力なコードの整合性を確保する ハイパーバイザー コードの整合性 (HVCI) デバイスで有効 V
高度な ID の検証と保護を提供する Windows Hello デバイスで Windows Hello がサポートされている場合、これらの実装では拡張サインイン対応である必要があります。 「対応可能」 とは、以下を意味します。
  • デバイス (Face やフィンガー プリント) では、Windows Hello モード用に設計された SecureBIO 対応コンポーネントがサポートされている
  • デバイスに将来の OS リリースで SecureBIO 機能を有効にする適切な SecureBIO コンポーネントがある。つまり、デバイス BIOS は必要な SecureBIO SDEV テーブルを実装するが、将来の OS バージョンでサポートされるまで既定で無効になる。
 V* V
デバイスが紛失、盗難、または没収された場合に重要なデータを保護する BitLocker 暗号化 BitLocker で TPM2.0 を利用してデータを暗号化および保護できる V V

*一部のデバイスで可能