Windows 10の2018年4月のアップデートでは、「Core Isolation」と「Memory Integrity」のセキュリティ機能がすべての人に提供されます。これらは、仮想化ベースのセキュリティを使用して、オペレーティングシステムのコアプロセスを改ざんから保護しますが、アップグレードするユーザーのために、メモリ保護はデフォルトでオフになっています。

コアの分離は何ですか？

Windows 10のオリジナルバージョンでは、仮想化ベースのセキュリティ（VBS）機能は、デバイス保護の一部としてWindows 10のEnterpriseバージョンでのみ利用可能でした。2018年4月のアップデートにより、Core Isolationは、Windows 10のすべてのバージョンに仮想化ベースのセキュリティ機能を多数搭載しました。

64ビットCPUやTPM 2.0チップなど、特定のハードウェアおよびファームウェアの要件を満たすWindows 10 PCでは、特定のコア分離機能がデフォルトで有効になります。また、お使いのPCがIntel VT-xまたはAMD-Vの仮想化技術に対応し、PCのUEFI設定でこの技術が有効になっている必要があります。

これらの機能を有効にすると、Windowsはハードウェア仮想化機能を使用して、通常のオペレーティングシステムから分離されたシステムメモリの安全な領域を作成します。Windowsは、この安全な領域でシステムプロセスやセキュリティソフトウェアを実行できます。これにより、重要なオペレーティングシステムのプロセスが、セキュアエリア外で実行されているものによって改ざんされないように保護されます。

マルウェアがコンピュータ上で動作しており、脆弱性によってこれらのWindowsプロセスをクラックできるはずだとわかっていても、仮想化ベースのセキュリティは、それらを攻撃から隔離できる追加の保護層となる。

関連記事：Windows 10 April 2018 Updateの新機能を一挙紹介、配信開始

メモリ完全性は何ですか？

windows 10のインターフェースにある「メモリ整合性」という機能は、Microsoftのドキュメントでは「ハイパーバイザー保護コード整合性」（Hypervisor保護されたコード・インテグリティ（HVCI）。

2018年4月のアップデートでアップグレードされたPCでは、メモリの整合性はデフォルトで無効になりますが、有効にすることができます。デフォルトでは、後日、Windows 10の新規インストール時に有効化される予定です。

この機能はコアアイソレーションのサブセットです。ウィンドウズは通常、デバイスドライバや低レベルのウィンドウズカーネルモードで動作する他のコードに対してデジタル署名を要求します。これにより、マルウェアによる改ざんがないことを確認することができます。メモリーインテグリティ」が有効な場合、Windowsの「コードインテグリティ***」は、コアアイソレーションによって作られたハイパーバイザーで保護されたコンテナ内で実行されます。これにより、マルウェアがコードの整合性チェックを改ざんし、Windowsカーネルにアクセスすることは事実上不可能となった。

仮想マシンの問題

メモリーインテグリティはシステムの仮想化ハードウェアを使用するため、VirtualBoxやVMwareなどの仮想マシンプログラムとは互換性がありません。このハードウェアを同時に使用できるのは、1つのアプリケーションのみです。

メモリ整合性が有効なシステムに仮想マシンアプリケーションをインストールすると、Intel VT-XまたはAMD-Vが有効でない、または使用できないというメッセージが表示される場合があります。VirtualBoxで、メモリ保護を有効にすると「Raw mode is unavailable of Hyper-V」というエラーメッセージが表示されることがあります。

いずれにせよ、仮想マシンソフトウェアで問題が発生した場合、それを使用するためには、メモリの整合性を無効にする必要があります。

なぜデフォルトで無効になっているのですか？

メインコアの分離機能は特に問題ないはずです。対応するすべてのwindows 10 PCで有効になっており、無効にするインターフェースはありません。

しかし、メモリ整合性保護は、特定のデバイスドライバやその他の低レベルのWindowsアプリケーションで問題を引き起こす可能性があるため、アップグレード時にはデフォルトで無効化されています。マイクロソフトは現在も開発者やデバイス**ベンダーに、ドライバーやソフトウェアの互換性を高めるよう働きかけており、そのため、新しいPCやWindows 10の新規インストール時にデフォルトで有効になっています。

コンピュータの起動に必要なドライバーの1つがメモリ保護と互換性がない場合、Windows 10は自動的にメモリ保護を無効にして、コンピュータが正常に起動および動作できるようにします。そのため、有効にして再起動しても無効のままになっている場合は、これが原因です。

メモリ保護を有効にした後、他のデバイスの問題やソフトウェアの不具合が発生した場合、マイクロソフトでは特定のアプリケーションやドライバの更新を確認することを推奨しています。アップデートがない場合は、メモリ保護を無効にしてください。

前述したように、メモリ整合性は、システムの仮想化ハードウェアへの排他的アクセスを必要とする一部のアプリケーション（仮想マシンプログラムなど）とも互換性がないでしょう。他のツール（一部のデバッガを含む）もこのハードウェアへの排他的アクセスを必要とするため、メモリ・インテグリティが有効な状態では動作しません。

コアアイソレートメモリインテグリティを有効にする方法

Windows Defender Security Centerアプリから、お使いのコンピュータでCore Isolationが有効になっているかどうかを確認し、メモリ保護をオンまたはオフにすることができます。(2018年10月のアップデートにより、このツールは「Windowsセキュリティ」に名称が変更されます)。

開くには、スタートメニューで「Windows Defender セキュリティセンター」を検索するか、「設定」>「セキュリティセンター」を選択します。"更新とセキュリティ"→"Windowsセキュリティ"→"Windows Defenderセキュリティセンター "を開く。

セキュリティセンターで「デバイスセキュリティ」アイコンをクリックします。

PCのハードウェアでコアの分離が有効になっている場合、ここに「デバイスのコアを保護するために仮想化ベースのセキュリティが実行されています」というメッセージが表示されます。

メモリ保護を有効にする（または無効にする）には、「Core Isolation 詳細」リンクをクリックします。

この画面は、Memory Integrityが有効かどうかを表示します。

メモリーインテグリティを有効にするには、スイッチを "On "に切り替えます。アプリケーションやデバイスに問題が発生し、メモリ整合性を無効にする必要がある場合は、ここに戻り、スイッチを "Off" に切り替えてください。

コンピュータの再起動を促すメッセージが表示されますが、変更が有効になるのは終了後です。

Windows Defenderの脆弱性保護機能の詳細

コアアイソレーションとメモリーインテグリティは、マイクロソフトがWindows Defender 脆弱性対策の一環として追加した多くの新しいセキュリティ機能のうちの一部です。Windowsを攻撃から守るための機能群です。

脆弱性攻撃対策はデフォルトで有効になっており、多くの種類の脆弱性攻撃からオペレーティングシステムとアプリケーションを保護します。これは、マイクロソフトの旧EMETツールに代わるもので、以前Malware Anti-Attackのインストールを推奨したAnti-Attack機能が搭載されています。Windows 10の全ユーザーに「脆弱性攻撃対策」が搭載されました。

また、ファイルを強奪から保護するためのControl Folder Accessもあります。何らかの設定が必要なため、デフォルトでは有効になっていません。この機能を有効にすると、個人フォルダー内のファイルにアクセスする前に、アプリケーションのアクセスを許可する必要があります。

関連：Windows Defenderの新しい脆弱性保護機能の仕組み（と設定方法）

今後、すべての新しいPCでメモリインテグリティがデフォルトで有効になり、攻撃に対する保護が強化されます。システムの仮想化ハードウェアにアクセスする必要がある仮想マシンソフトウェアやその他のツールを使用する上級ユーザのみが無効にする必要があります。