セキュア コア サーバーとは
適用対象: Windows Server 2022、Azure Stack HCI バージョン 21H2 以降
セキュア コアとは、組み込みのハードウェア、ファームウェア、ドライバー、オペレーティング システムのセキュリティ機能を提供する機能のコレクションです。 セキュア コア システムによって提供される保護は、オペレーティング システムを起動する前に開始され、実行中は継続されます。 セキュア コア サーバーは、重要なデータとアプリケーション向けにセキュリティで保護されたプラットフォームを提供するように設計されています。
セキュア コア サーバーは 3 つのセキュリティの柱に基づいて構築されています。
ハードウェアによる信頼のルートを作成する。
ファームウェア レベルの攻撃から防御する。
検証されていないコードの実行から OS を保護する。
セキュア コア サーバーの概要
セキュア コア イニシアチブは、これまでで最も高度な Windows セキュリティを提供するために、Microsoft と PC 製造パートナー間の深いコラボレーションを通じて Windows PC から始まりました。 Microsoft は、Windows Server で安全なオペレーティング システム環境を提供できるように、サーバー製造パートナーとのパートナーシップをさらに拡大しました。
Windows Server はハードウェアと密接に統合され、強化されたセキュリティ レベルを実現します。
推奨されるベースライン: ハードウェアの信頼のルートとセキュア ブートのために TPM 2.0 を使用して基本的なシステム整合性を提供するために、すべてのシステムに推奨される最小値。 Windows Server ハードウェア認定では、TPM 2.0 とセキュア ブートは必須です。 詳細については、「Microsoft が次の主要な Windows Server リリースのセキュリティ標準を引き上げる」を参照してください。
セキュア コア サーバー: より高いレベルの保証を必要とするシステムや業界に推奨されます。 セキュア コア サーバーは、以前の機能を基に構築され、高度なプロセッサ機能を活用してファームウェア攻撃から保護します。
次の表は、各セキュリティの概念と機能を使用して、セキュア コア サーバーを作成する方法を示しています。
| 概念 | 機能 | 要件 | 推奨されるベースライン | セキュア コア サーバー |
|---|---|---|---|---|
| ハードウェアによる Root of Trust を作成する | ||||
| セキュア ブート | セキュア ブートは、Unified Extensible Firmware Interface (UEFI) BIOS で既定で有効になっています。 | ✓ | ✓ | |
| トラステッド プラットフォーム モジュール (TPM) 2.0 | Trusted Computing Group (TCG) 仕様に関する最新の Microsoft 要件を満たします。 | ✓ | ✓ | |
| Certified for Windows Server | サーバー システムがセキュリティ、信頼性、管理容易性において Microsoft の最高の技術水準を満たしていることを示します。 | ✓ | ✓ | |
| ブート DMA 保護 | 入出力メモリー管理ユニット (IOMMU) を持つデバイスでのサポート。 たとえば、Intel VT-D や AMD-Vi などです。 | ✓ | ||
| ファームウェア レベルの攻撃から防御する | ||||
| System Guard Secure Launch | 測定のための動的な信頼のルート (DRTM) 互換の Intel および AMD を搭載したオペレーティング システムで有効です。 | ✓ | ||
| 検証されていないコードの実行から OS を保護する | ||||
| 仮想化ベースのセキュリティ (VBS) | Windows ハイパーバイザーが必要です。このハイパーバイザーは、Intel VT-X や AMD-v などの仮想化拡張機能を備えた 64 ビットの IA プロセッサでのみサポートされています。 | ✓ | ✓ | |
| ハイパーバイザーで強化されたコード整合性 (HVCI) | ハイパーバイザー コード整合性 (HVCI) 互換ドライバーと VBS 要件。 | ✓ | ✓ |
ハードウェアによる Root of Trust を作成する
UEFI セキュア ブートは、システムのブート コンポーネントを検証して、悪意のあるルートキットからサーバーを保護するセキュリティ標準です。 セキュア ブートは、信頼された作成者が UEFI ファームウェア ドライバーとアプリケーションにデジタル署名したことを確認します。 サーバーが起動されると、ファームウェアは、ファームウェア ドライバーや OS を含む各ブート コンポーネントの署名をチェックします。 署名が有効な場合、サーバーが起動し、ファームウェアによって OS に制御が渡されます。
ブート プロセスの詳細については、「Windows ブート プロセスをセキュリティで保護する」を参照してください。
TPM 2.0 は、機密性の高いキーとデータに対して、安全でハードウェアを使用したストレージを提供します。 ブート プロセス中に読み込まれるすべてのコンポーネントが測定され、測定値が TPM に格納されます。 ハードウェアの信頼のルートを検証すると、TPM 2.0 を使用する BitLocker などの機能によって提供される保護が強化され、構成証明ベースのワークフローの作成が容易になります。 これらの構成証明ベースのワークフローは、ゼロ トラスト セキュリティ戦略に組み込むことができます。
トラステッド プラットフォーム モジュールと Windows による TPM の使用方法についての詳細を確認してください。
セキュア ブートと TPM 2.0 と共に、Windows Server セキュア コアでは、入出力メモリ管理ユニット (IOMMU) を備えた互換性のあるプロセッサでブート DMA 保護が使用されます。 たとえば、Intel VT-D や AMD-Vi などです。 ブート DMA 保護を使用すると、システムはブート中およびオペレーティング システムの実行中にダイレクト メモリ アクセス (DMA) 攻撃から保護されます。
ファームウェア レベルの攻撃から防御する
エンドポイント保護と検出ソリューションでは、通常、オペレーティング システムの下でファームウェアが実行されることを考えると、ファームウェアの可視性が制限されます。 ファームウェアは、オペレーティング システムとハイパーバイザー カーネルよりも高いレベルのアクセス権と特権を持つため、攻撃者にとって魅力的なターゲットになります。 ファームウェアを対象とする攻撃により、オペレーティング システムによって実装される他のセキュリティ対策が損なわれるため、システムまたはユーザーがいつ侵害されたかを特定することが困難になります。
Windows Server 2022 以降では、System Guard Secure Launch は、AMD と Intel のハードウェア機能を使用して、ファームウェア攻撃からブート プロセスを保護します。 測定のための動的な信頼のルート (DRTM) テクノロジのプロセッサ サポートを使用して、セキュア コア サーバーではハードウェアを使用するサンドボックスにファームウェアを配置します。これは、高い権限を持つファームウェア コードの脆弱性の影響を制限するのに役立ちます。 System Guard は、互換性のあるプロセッサに組み込まれている DRTM 機能を使用してオペレーティング システムを起動し、検証済みコードを使用して、システムが信頼された状態で起動されるようにします。
検証されていないコードの実行から OS を保護する
セキュア コア サーバーは、仮想化ベースのセキュリティ (VBS) とハイパーバイザーで保護されたコード整合性 (HVCI) を使用して、メモリのセキュリティで保護された領域を作成し、通常のオペレーティング システムから分離します。 VBS では、Windows ハイパーバイザーを使用して仮想保護モード (VSM) を作成し、オペレーティング システム内でセキュリティ境界を提供します。これは、他のセキュリティ ソリューションで使用できます。
HVCI は、一般にメモリ整合性保護と呼ばれ、署名済みで信頼されたコードのみがカーネルでの実行を許可されるようにするのに役立つセキュリティ ソリューションです。 署名済みの信頼されたコードのみを使用すると、カーネル モード コードの変更を試みる攻撃を防ぐことができます。 たとえば、ドライバーを変更する攻撃や、悪意のあるコードをカーネルに挿入しようとする WannaCry などの悪用。
VBS とハードウェアの要件の詳細については、仮想化ベースのセキュリティに関する記事を参照してください。
簡素化された管理
Windows PowerShell または Windows Admin Center のセキュリティ拡張機能を使用して、セキュア コア システムの OS セキュリティ機能を表示および構成できます。 Azure Stack HCI 統合システムを使用して、製造パートナーはお客様の構成エクスペリエンスをさらに簡略化し、Microsoft の優れたサーバー セキュリティをすぐに利用できるようにしています。
Windows Admin Center の詳細を確認してください。
予防的防御
セキュア コア機能を有効にすることで、攻撃者がシステムを悪用するために使用するさまざまな経路を積極的に防御し、妨害することができます。 セキュア コア サーバーは、テクノロジ スタックの最下位層で高度なセキュリティ機能を有効にし、多くのセキュリティ ツールが悪用を認識する前に、最も高いレベルの特権が必要なシステム領域を保護します。 また、IT および SecOps チームによる追加のタスクや監視を必要とせずに実行されます。
セキュア コアの使用を開始する
セキュア コア サーバーの認定を受けたハードウェアは、Windows Server カタログに、Azure Stack HCI サーバーは Azure Stack HCI カタログにあります。 これらの認定サーバーには、ハードウェア、ファームウェア、オペレーティング システムに組み込まれた業界をリードするセキュリティ軽減策が完全に装備されており、一部の最も高度な攻撃ベクトルを阻止するのに役立ちます。
次のステップ
セキュア コア サーバーの概要を理解したので、ここでは、使用を開始するためのリソースをいくつか紹介します。 次の方法について説明します。
- セキュア コア サーバーの構成。
- Microsoft セキュリティ ブログの「Microsoft がセキュア コアを使用して、高度なハードウェア セキュリティをサーバーとエッジに提供」。
- Microsoft セキュリティ ブログの「インフラストラクチャをセキュリティで保護するために、Microsoft エコシステムから新しいセキュア コア サーバーを利用可能」。
- 「Windows ハードウェア互換性プログラムの仕様とポリシー」のすべての Windows プラットフォームでの Windows 互換デバイス、システム、フィルター ドライバーの構築。