• 会員限定
  • 2023/09/14 掲載

Application Guardを解説、分離環境でMicrosoft EdgeとOfficeアプリの保護を可能に

山市良のマイクロソフトEYE

  • icon-mail
  • icon-print
  • icon-hatena
  • icon-line
  • icon-close-snsbtns
いいね!でマイページに保存して見返すことができます。
Windows 10およびWindows 11では、企業向けの高度なセキュリティ機能として、Microsoft Edgeを分離して害をもたらすマルウェア類からブラウジングを保護する「Microsoft Defender Application Guard」(旧称、Windows Defender Application Guard、WDAG)と、デスクトップ全体を分離して保護する「Windows Sandbox」が利用可能です。いずれもハイパーバイザーに依存する「仮想化ベースのセキュリティ(Virtualization-Based Security、VBS)」で実現されるセキュリティ機能ですが、前者にはOfficeアプリを分離する機能が2021年1月から利用可能になっていることをご存じでしょうか。
photo
画面1:エンタープライズ管理モード(EnterpriseまたはEducationが必要)のMicrosoft Edge用Application Guardは、「ネットワーク分離」ポリシーに従い、信頼されていないWebサイトをすべてApplication Guardにリダイレクトする。セッションはOSの再起動時などに破棄される(Proはスタンドアロンモードのみ)

Microsoft Defender Application Guardとは何か?

 「Microsoft Defender Application Guard」(以下、Application Guard)と「Windows Sandbox」は、64ビット(x64)版のWindows 10、およびWindows 11のPro以上のエディションでサポートされる高度なセキュリティ機能です。

 この機能は、Windows Server 2016で初めてサポートされるようになったハイパーバイザー分離モードのコンテナ技術(WindowsコンテナをDockerエンジン上での実行するモードの1つ)を、Windows 10以降のセキュリティ機能に応用したものです。「Microsoft Defender System Guard」とも呼ばれる「仮想化ベースのセキュリティ(VBS)」が有効な環境で利用できます。

 VBSが有効なシステムでは、通常のOSカーネルとは別に、ハイパーバイザーで分離された環境でセキュアカーネルが動作します。

 その上で重要なシステムサービス(分離されたローカルセキュリティ機関(Isolated LSA)など)が動作し、「デバイスガード」(許可されていないドライバーのロードをブロック)や「資格情報ガード」(資格情報を読み取ろうとする試みをブロック)といったセキュリティ機能を提供します。

 Application GuardとWindows Sandboxもまた、通常のOSとはハイパーバイザーで分離されたアプリケーションの実行環境を提供するものです(画面1、画面2)。

 通常の仮想マシン(Hyper-V仮想マシンなど)でも、分離された実行環境を提供することができますが、Application GuardとWindows Sandboxは仮想マシンではなく、Dockerベースのコンテナアプリと同様に、アプリケーション実行環境を提供するのが、Hyper-V分離コンテナであるという点が異なります。

画像
画面2:Windows Sandboxは、デスクトップ環境全体を分離し、終了時、変更を破棄する

Hyper-V分離コンテナーと仮想マシンの違い

 Hyper-V分離コンテナは、Application GuardやWindows Sandboxをホストから分離する別のカーネルを実行し、その上でWindowsサービスやアプリケーションが実行されます。OSのシステムファイルはホストのOSのものが利用されるため、仮想マシンのような大きな仮想ハードディスクをダウンロードする必要はありません。

 ネットワークはNATスイッチにより分離されますが、インターネットアクセスは可能です。ホストとのファイルシステムやレジストリの差分は、一時ファイル(sandbox.vhdx)に保存され、破棄可能です。

 そして、仮想マシンとは異なり、カーネルスケジューラーの統合、メモリ共有、仮想GPUなどで、パフォーマンスが最適化され、仮想マシンで実装するよりも、少ないコンピューティングリソースとディスク領域で動作します(図1)。

画像
図1:Application GuardとWindows Sandboxの分離環境と、仮想マシンとの違い

 画面3は、Microsoft Edge用Application GuardとWindows Sandboxのそれぞれが動作しているときのファイルI/OをProcess Monitor(Windows Sysinternalsのユーティリティ)で監視したものです。

 vmmemMDAGとvmmSandBoxというプロセス名の違いはありますが、同じようなファイルI/Oを行っていることがわかるでしょう。

 コンテナのシステムファイルのイメージは、「C:\ProgramData\Microsoft\Windows\Containers\BaseImages」の下に準備され(大部分はホストOSのC:\Windows内のファイルへのリンク)、変更差分が「C:\ProgramData\Microsoft\Windows\Containers\...\sandbox.vhdx」に書き込まれ、「sandbox.vhdx」は適切なタイミングで破棄されることになります。

画像
画面3:Process MonitorでファイルI/Oを確認すると、Application GuardとWindows Sandboxは共通の技術に基づいているのがわかる
【次ページ】Application GuardでOfficeアプリの保護も可能に
関連タグ タグをフォローすると最新情報が表示されます
あなたの投稿

    PR

    PR

    PR

処理に失敗しました

人気のタグ

投稿したコメントを
削除しますか?

あなたの投稿コメント編集

機能制限のお知らせ

現在、コメントの違反報告があったため一部機能が利用できなくなっています。

そのため、この機能はご利用いただけません。
詳しくはこちらにお問い合わせください。

通報

このコメントについて、
問題の詳細をお知らせください。

ビジネス+ITルール違反についてはこちらをご覧ください。

通報

報告が完了しました

コメントを投稿することにより自身の基本情報
本メディアサイトに公開されます

必要な会員情報が不足しています。

必要な会員情報をすべてご登録いただくまでは、以下のサービスがご利用いただけません。

  • 記事閲覧数の制限なし

  • [お気に入り]ボタンでの記事取り置き

  • タグフォロー

  • おすすめコンテンツの表示

詳細情報を入力して
会員限定機能を使いこなしましょう!

詳細はこちら 詳細情報の入力へ進む
報告が完了しました

」さんのブロックを解除しますか?

ブロックを解除するとお互いにフォローすることができるようになります。

ブロック

さんはあなたをフォローしたりあなたのコメントにいいねできなくなります。また、さんからの通知は表示されなくなります。

さんをブロックしますか?

ブロック

ブロックが完了しました

ブロック解除

ブロック解除が完了しました

機能制限のお知らせ

現在、コメントの違反報告があったため一部機能が利用できなくなっています。

そのため、この機能はご利用いただけません。
詳しくはこちらにお問い合わせください。

ユーザーをフォローすることにより自身の基本情報
お相手に公開されます