HVCI|サイバーセキュリティ.com

  1. ホーム /
  2. セキュリティ用語集 /
  3. HVCI
             

HVCI

HVCI(Hypervisor Code Integrity)は、Microsoftが提供するセキュリティ技術で、Windows環境でカーネルモードのコードを保護するためにHyper-V(仮想化技術)を利用した機能です。HVCIは、システムの整合性を強化し、信頼できないコードや悪意のあるコードが実行されるのを防ぐことで、カーネルレベルの脆弱性を狙った攻撃を阻止します。

この技術は、Windows Defender Application Control(WDAC)や仮想化ベースのセキュリティ(VBS)の一環として提供され、主にエンタープライズ向けの環境で利用されています。HVCIの主な役割は、コードの整合性をリアルタイムでチェックし、信頼されていないドライバやコードが実行されないようにすることです。

HVCIの特徴

1. 仮想化ベースの保護

HVCIはHyper-Vを利用し、Windowsのカーネルとコード整合性チェックを分離することで、システムの安全性を向上させています。

  • 隔離された環境: 仮想化技術を活用して、システム全体を保護する重要なセキュリティプロセスを分離。
  • リアルタイム保護: カーネルモードのコードが読み込まれるたびにその整合性を確認します。

2. コード整合性の強化

HVCIはカーネルモードで実行されるすべてのコードに対して整合性チェックを行い、信頼されていないコードやドライバの実行を阻止します。

  • コード署名の必須化: 実行されるコードがデジタル署名されていることを強制。
  • マルウェアの阻止: カーネルレベルの攻撃を実行するために悪用される未署名のコードをブロック。

3. セキュリティとパフォーマンスのバランス

HVCIはセキュリティを強化する一方で、Hyper-Vの性能を最適化する設計になっています。エンタープライズ向けシステムでも、顕著なパフォーマンス低下を招かずに利用できるように配慮されています。

HVCIのメリット

1. カーネルレベルの保護

HVCIはWindowsカーネルにおける悪意のあるコードの実行を防ぎ、システム全体の信頼性を向上させます。

  • ルートキット攻撃の阻止: カーネルレベルで動作するマルウェアをブロック。
  • ゼロデイ攻撃の軽減: 未知の脆弱性を悪用した攻撃からも保護。

2. ドライバの整合性確保

不正なドライバがインストールされるのを防ぎ、信頼性の高いドライバのみを許可します。

  • ドライバ署名の必須化: Microsoftが承認したドライバ以外は実行できません。
  • システム安定性の向上: 不適切なドライバによるクラッシュや不具合を防ぎます。

3. VBSとの統合

仮想化ベースのセキュリティ(VBS)を活用することで、システムを多層的に保護します。

  • Credential Guardのサポート: 認証情報を保護する機能と連携。
  • エンタープライズ環境の安全性向上: 組織全体でのセキュリティポリシーの強化に寄与。

HVCIの仕組み

HVCIはHyper-V技術を基盤として動作します。その仕組みを以下に説明します。

  1. 仮想化ベースの分離
    Hyper-Vによって、Windowsカーネルとコード整合性チェックを分離。HVCIは「仮想セキュリティモード」で実行されます。
  2. コードの整合性チェック
    カーネルモードで実行されるコードやドライバが、事前に承認されたものであるかをチェック。不正なコードは実行をブロックします。
  3. 実行の制御
    不正なコードが検出された場合、即座にブロックし、システムの保護を維持します。このプロセスはリアルタイムで行われます。
  4. セキュリティポリシーの適用
    管理者が定義したポリシーに基づき、特定のコードやドライバの実行を制限します。

HVCIの導入と有効化

HVCIを有効にするためには、仮想化がサポートされているハードウェア環境が必要です。また、Windows 10以降のOSで利用可能です。

1. 前提条件

  • ハードウェア: 仮想化をサポートするCPU(Intel VT-x、AMD-V)と、対応するBIOS設定。
  • OS要件: Windows 10(Enterprise、Pro、Education)またはWindows 11。
  • 仮想化の有効化: BIOS/UEFIでHyper-Vを有効に設定。

2. 設定手順

HVCIを有効にするには、以下の手順を実行します。

  1. Windowsセキュリティを開く
    「Windowsセキュリティ」アプリから、[デバイス セキュリティ] → [コア分離] を選択します。
  2. コア分離の設定
    [メモリ整合性] を有効にすることで、HVCIが動作します。
  3. 再起動
    設定後、システムを再起動して適用します。

HVCIの注意点

1. パフォーマンスへの影響

HVCIの利用には仮想化技術が必要なため、古いハードウェアではパフォーマンスが低下する可能性があります。

2. 一部アプリケーションとの互換性

特定の未署名ドライバや旧式のアプリケーションがHVCIによってブロックされる場合があります。最新の署名済みドライバを使用することが推奨されます。

3. 仮想化の要件

仮想化が有効になっていない環境では、HVCIを使用することができません。BIOS/UEFI設定で仮想化を有効化する必要があります。

まとめ

HVCI(Hypervisor Code Integrity)は、Windowsのカーネルモードコードの整合性を強化するための重要なセキュリティ技術です。この技術は、仮想化ベースの分離により、信頼されていないコードやドライバをブロックし、ルートキット攻撃やゼロデイ攻撃からシステムを保護します。

HVCIを活用することで、エンタープライズ環境や個人のPCにおけるセキュリティを大幅に向上させることができます。導入にあたっては、仮想化をサポートするハードウェアと最新のOSが必要ですが、その効果は大きく、特にサイバー攻撃の増加が懸念される現代において重要な防御策となります。

関連コラム(あわせて、以下の記事もよく読まれています)

製品・サービス(当該コラムの内容に関連する製品・サービスはこちら)


SNSでもご購読できます。