ようこそゲストさん

ビジネス+ITを始める

  • 会員限定
  • 2023/09/14 掲載

Application Guardを解説、分離環境でMicrosoft EdgeとOfficeアプリの保護を可能に

山市良のマイクロソフトEYE

  • icon-mail
  • icon-print
  • icon-hatena
  • icon-line
  • icon-close-snsbtns
記事をお気に入りリストに登録することができます。
Windows 10およびWindows 11では、企業向けの高度なセキュリティ機能として、Microsoft Edgeを分離して害をもたらすマルウェア類からブラウジングを保護する「Microsoft Defender Application Guard」(旧称、Windows Defender Application Guard、WDAG)と、デスクトップ全体を分離して保護する「Windows Sandbox」が利用可能です。いずれもハイパーバイザーに依存する「仮想化ベースのセキュリティ(Virtualization-Based Security、VBS)」で実現されるセキュリティ機能ですが、前者にはOfficeアプリを分離する機能が2021年1月から利用可能になっていることをご存じでしょうか。

執筆:フリーライター 山市 良

執筆:フリーライター 山市 良

IT 専門誌、Web 媒体を中心に執筆活動を行っているテクニカルライター。システムインテグレーター、IT 専門誌の編集者、地方の中堅企業のシステム管理者を経て、2008年にフリーランスに。雑誌やWebメディアに多数の記事を寄稿するほか、ITベンダー数社の技術文書 (ホワイトペーパー) の制作やユーザー事例取材なども行う。2008年10月よりMicrosoft MVP - Cloud and Datacenter Management(旧カテゴリ:Hyper-V)を毎年受賞。岩手県花巻市在住。
主な著書・訳書
『インサイドWindows 第7版 上』(訳書、日経BP社、2018年)
『Windows Sysinternals徹底解説 改定新版』(訳書、日経BP社、2017年)
『Windows Server 2016テクノロジ入門 完全版』(日経BP社、2016年)
『Windows Server 2012 R2テクノロジ入門』(日経BP社、2014年)
『Windows Server 2012テクノロジ入門』(日経BP社、2012年)
『Windows Server仮想化テクノロジ入門』(日経BP社、2011年)
『Windows Server 2008 R2テクノロジ入門』(日経BP社、2009年)
など

photo
画面1:エンタープライズ管理モード(EnterpriseまたはEducationが必要)のMicrosoft Edge用Application Guardは、「ネットワーク分離」ポリシーに従い、信頼されていないWebサイトをすべてApplication Guardにリダイレクトする。セッションはOSの再起動時などに破棄される(Proはスタンドアロンモードのみ)
<目次>
  1. Microsoft Defender Application Guardとは何か?
  2. Hyper-V分離コンテナーと仮想マシンの違い
  3. Application GuardでOfficeアプリの保護も可能に
  4. ドキュメントの「保護モード」解除は危険

Microsoft Defender Application Guardとは何か?

 「Microsoft Defender Application Guard」(以下、Application Guard)と「Windows Sandbox」は、64ビット(x64)版のWindows 10、およびWindows 11のPro以上のエディションでサポートされる高度なセキュリティ機能です。

 この機能は、Windows Server 2016で初めてサポートされるようになったハイパーバイザー分離モードのコンテナ技術(WindowsコンテナをDockerエンジン上での実行するモードの1つ)を、Windows 10以降のセキュリティ機能に応用したものです。「Microsoft Defender System Guard」とも呼ばれる「仮想化ベースのセキュリティ(VBS)」が有効な環境で利用できます。

 VBSが有効なシステムでは、通常のOSカーネルとは別に、ハイパーバイザーで分離された環境でセキュアカーネルが動作します。

 その上で重要なシステムサービス(分離されたローカルセキュリティ機関(Isolated LSA)など)が動作し、「デバイスガード」(許可されていないドライバーのロードをブロック)や「資格情報ガード」(資格情報を読み取ろうとする試みをブロック)といったセキュリティ機能を提供します。

 Application GuardとWindows Sandboxもまた、通常のOSとはハイパーバイザーで分離されたアプリケーションの実行環境を提供するものです(画面1、画面2)。

 通常の仮想マシン(Hyper-V仮想マシンなど)でも、分離された実行環境を提供することができますが、Application GuardとWindows Sandboxは仮想マシンではなく、Dockerベースのコンテナアプリと同様に、アプリケーション実行環境を提供するのが、Hyper-V分離コンテナであるという点が異なります。

画像
画面2:Windows Sandboxは、デスクトップ環境全体を分離し、終了時、変更を破棄する
編集部おすすめ記事

AI開発どうすれば?AWSやGCPらのAIプラットフォームとは?

Hyper-V分離コンテナーと仮想マシンの違い

 Hyper-V分離コンテナは、Application GuardやWindows Sandboxをホストから分離する別のカーネルを実行し、その上でWindowsサービスやアプリケーションが実行されます。OSのシステムファイルはホストのOSのものが利用されるため、仮想マシンのような大きな仮想ハードディスクをダウンロードする必要はありません。

 ネットワークはNATスイッチにより分離されますが、インターネットアクセスは可能です。ホストとのファイルシステムやレジストリの差分は、一時ファイル(sandbox.vhdx)に保存され、破棄可能です。

 そして、仮想マシンとは異なり、カーネルスケジューラーの統合、メモリ共有、仮想GPUなどで、パフォーマンスが最適化され、仮想マシンで実装するよりも、少ないコンピューティングリソースとディスク領域で動作します(図1)。

画像
図1:Application GuardとWindows Sandboxの分離環境と、仮想マシンとの違い

 画面3は、Microsoft Edge用Application GuardとWindows Sandboxのそれぞれが動作しているときのファイルI/OをProcess Monitor(Windows Sysinternalsのユーティリティ)で監視したものです。

 vmmemMDAGとvmmSandBoxというプロセス名の違いはありますが、同じようなファイルI/Oを行っていることがわかるでしょう。

 コンテナのシステムファイルのイメージは、「C:\ProgramData\Microsoft\Windows\Containers\BaseImages」の下に準備され(大部分はホストOSのC:\Windows内のファイルへのリンク)、変更差分が「C:\ProgramData\Microsoft\Windows\Containers\...\sandbox.vhdx」に書き込まれ、「sandbox.vhdx」は適切なタイミングで破棄されることになります。

画像
画面3:Process MonitorでファイルI/Oを確認すると、Application GuardとWindows Sandboxは共通の技術に基づいているのがわかる
【次ページ】Application GuardでOfficeアプリの保護も可能に

関連タグ

関連コンテンツ

記事
セキュリティ総論

辻伸弘氏が解説するランサム攻撃動向、「侵入されても発症させない」対策のキモとは

標的型攻撃やランサム攻撃など、企業を標的にしたサイバー攻撃は依然として大きな脅威となっている。さらに、取引関係にあるサプライチェーンや顧客にも攻撃対象は拡大しており、企業はこれらの脅威に対応していかなければならない。そこで、ランサム攻撃をはじめ幅広くサイバー空間の脅威の観測、情報発信を行うSBテクノロジーの辻 伸弘氏と、大興電子通信 セキュリティアドバイザーの中須寛人氏、富士通の斎藤 建氏、丸子正道氏が最新のマルウェア攻撃に対抗するためのポイントを紹介した。

記事
セキュリティ総論

“危険すぎる”国家が主導するサイバー攻撃、ウクライナ侵攻で見えた情報戦の変化とは

ロシア・ウクライナ戦争のさなか、スロバキアのセキュリティベンダーESETが、ロシアによるウクライナへの心理戦や情報操作を目的としたサイバー攻撃を確認・報告している。開戦前後はウクライナのインフラや政府機関を狙う攻撃であったが、戦争が長期化するにつれ、その攻撃にも変化が見られるという。現在は攻撃対象を広げ、その動きは周辺国をも巻き込み始めている。ESET CEOであるリチャード・マルコ氏への取材を交え、ロシアが仕掛けるサイバー攻撃の実態を暴く。

記事
セキュリティ総論

知らなきゃ“大事故”の可能性も、SaaS活用で陥る「6つの落とし穴」回避術

今や一般的になった企業によるSaaS(クラウドサービス)の導入。ユーザー部門にとっては利便性の高いサービスだが、間違った運用によりセキュリティ事故が発生するといったリスクもある。SaaS活用に潜むインシデントとは一体どんなものがあるのか。そしてそれらのインシデントを回避するにはどのような手法が有効なのかを解説する。

記事
セキュリティ総論

ChatGPTの情報漏えいをどう防げばいいのか? 続々登場する新ソリューションの仕組み

生成AIの利用が急増している。しかし、依然として生成AIに関する懸念はつきまとっており、生産性を改善しつつリスクをどう下げるのかが多くの企業のトピックとなっている。特に注目される「情報漏えい」をどう防ぐのか。続々と登場する新ソリューションを紹介しよう。

記事
セキュリティ総論

厳選!「日本のセキュリティ課題凝縮事例」から学ぶ、「インシデントを防ぐ組織」とは

日々、実に多くのセキュリティインシデントが発生している。この危機的な状況を前にして、新たにセキュリティ製品・サービス導入を検討する企業は多いだろう。だがそれ以前に、真の「インシデントが起こらない組織」をつくるためには、まず自社の現状を正確に分析し、既存の資産・資源をフルに活用する姿勢が重要になる。セキュリティの専門家集団として、さまざまな企業・組織に助言やプロジェクト支援を行っている日本シーサート協議会の萩原健太氏が、大阪の病院で発生したインシデント、いわば失敗事例から今すぐ取り組むべきセキュリティ対策の課題について解説する。

記事
セキュリティ総論

中小企業が抱える「セキュリティ対策以前の問題」、XDRやSOCサービス導入の理想と現実

高度化するサイバー攻撃に対して、XDRやSOC、脅威インテリジェンスといったセキュリティ対策が注目されている。しかし、これらの手法やソリューションを導入できる企業は限られている。実際にセキュリティ対策に十分な投資を行えるのは、予算も人員もある大企業だけなのが現状だ。では、いずれも限られる中小規模企業(SMB)はどこまで対応すればよいのだろうか。

イベント・セミナー
オンライン
オンライン

Symantec World 2024[アーカイブ]

世界中で高まるサイバーセキュリティの脅威とリスク あらゆるリスクに備える、ゼロトラストの実現 企業のAI・DXによる変革が進展する中、デジタルデバイスやネットワーク、データといった重要なアセットがサイバー攻撃の対象になっています。こうしたリスクに対して、企業はあらゆる攻撃を想定し「ゼロトラスト」で対応することが求められています。こうしたサイバーセキュリティの最新動向とゼロトラストのセキュリティ対策をお届けすべく、オンラインで参加できるシマンテックのサイバーセキュリティセミナーを開催いたします。デバイスセキュリティ、ネットワークセキュリティ、データセキュリティの各セッションをご用意いたしました。シマンテックのゼロトラストの世界をぜひご覧ください。
イベント・セミナー
オンライン
オンライン

DXを加速するゼロトラストセキュリティ 2024 春

世界経済の混乱や、長引くインフレ、依然として残るコロナの影響などの中、企業は生き残りをかけてDXを推進しています。それと同時に、社外から社内のシステムにアクセスすることや、工場外から製造装置に直接アクセスするような機会も増えています。DXの進展やテレワークの普及などによりビジネスのクラウド化がさらに進んだ結果、従来型の「境界型モデル」ではネットワークセキュリティの維持が困難となり、「すべてのトラフィックを疑わしいものとみなす」ゼロトラストセキュリティへの注目が高まっています。境界なきセキュリティが求められる時代にデジタルトラストを確立するにはどうすればよいのでしょうか?当WebセミナーではDXに取り組みながら、企業がゼロトラストセキュリティについて進めるべき方向性を模索し、ゼロトラストセキュリティに関するさまざま情報を提供してまいります。
イベント・セミナー
オンライン
オンライン

”最も重要なことから始めよ” 引き算でデザインするセキュリティ戦略の新標準

本セミナーは2024年2月9日(金)に開催したセミナーと同じ内容となります。 情報セキュリティを管轄する部門にとって最も重要なことは何でしょうか?そしてその「最も重要なこと」は事業部門、経営層と一致しているでしょうか。この根深い問題をしっかりと把握している企業は追加コストの対策型セキュリティではなく、サイバー上の「ビジネスリスク」として事業戦略とリンクして投資をされようとしています。本セミナーでは、デジタル化を推進される方を対象に、最先端の情報を踏まえつつ、転換に向けた新標準となるアプローチをご紹介します。
あなたの投稿

    PR

    PR

    PR

処理に失敗しました

人気のタグ

投稿したコメントを
削除しますか?

あなたの投稿コメント編集

機能制限のお知らせ

現在、コメントの違反報告があったため一部機能が利用できなくなっています。

そのため、この機能はご利用いただけません。
詳しくはこちらにお問い合わせください。

通報

このコメントについて、
問題の詳細をお知らせください。

ビジネス+ITルール違反についてはこちらをご覧ください。

通報

報告が完了しました

コメントを投稿することにより自身の基本情報
本メディアサイトに公開されます

Media Open Sample

必要な会員情報が不足しています。

必要な会員情報をすべてご登録いただくまでは、以下のサービスがご利用いただけません。

  • 記事閲覧数の制限なし

  • [お気に入り]ボタンでの記事取り置き

  • タグフォロー

  • おすすめコンテンツの表示

詳細情報を入力して
会員限定機能を使いこなしましょう!

詳細はこちら 詳細情報の入力へ進む
報告が完了しました

」さんのブロックを解除しますか?

ブロックを解除するとお互いにフォローすることができるようになります。

ブロック

さんはあなたをフォローしたりあなたのコメントにいいねできなくなります。また、さんからの通知は表示されなくなります。

さんをブロックしますか?

ブロック

ブロックが完了しました

ブロック解除

ブロック解除が完了しました

機能制限のお知らせ

現在、コメントの違反報告があったため一部機能が利用できなくなっています。

そのため、この機能はご利用いただけません。
詳しくはこちらにお問い合わせください。

ユーザーをフォローすることにより自身の基本情報
お相手に公開されます

Media Open Sample