Windows Server 2019 のすべて – 第 3 回
執筆者: Microsoft Windows Server Team
このポストは、2018 年 9 月 6 日に投稿された Everything you need to know about Windows Server 2019 – Part 3 の翻訳です。
今回は、Windows Server チームで主任プログラム マネージャーを務める Dean Wells の記事をご紹介します。
前回までのこのブログ シリーズでは、Windows Server 2019 の最新技術を紹介する動画でハイパーコンバージド インフラストラクチャ (HCI) 関連の機能強化などに触れたり、Azure File Sync や Azure Site Recovery といったハイブリッド機能、Windows 管理センター (WAC) の新しい管理エクスペリエンス、画期的なストレージ機能の強化などを紹介したりしてきました。今回の記事では、セキュリティ ソリューションを設計する際の考え方の指針となる原則についてご説明すると共に、この最新リリースの Windows Server におけるセキュリティ関連の新機能や機能強化の一部を掘り下げてご紹介します。
セキュリティの考え方
セキュリティは長年にわたって Windows Server の最優先事項であり、それは Windows Server 2019 にも受け継がれています。Windows Server チームは長い年月をかけて莫大な投資を行い、その時々の既知の攻撃ベクトルに対する軽減策を開発してきただけでなく、時間と共に巧妙化する攻撃とそれらの共通点の理解にも努めてきました。
以下の表は、継続的な研究から得られた重要ポイントをまとめたものです。
| 1. | ネットワークは (しばらく前から)セキュリティ境界ではなくなった。 | (新たな) セキュリティ境界は ID である。 |
| 2. | 侵入を根絶することはできない。 | 人は騙されたり、金銭に釣られたり、脅迫されたりする。 |
| 3. | 人為的なミスを排除することはできない。 | フィッシングは現在も今後も効果がある。 |
| 4. | 内部攻撃は重大な問題である。 | 不審な活動を監視することは検出に有効である。ID 管理と分離によってアクセスを制限する。 |
| 5. | コンプライアンスは非常に重要である。 | ただし、コンプライアンスとセキュリティは別物である。コンプライアンスを確保しても安全だとは言えない。 |
| 6. | 防御策はテクノロジやアーキテクチャによるものとは限らない。 | 防止策の多くは運用上のものであり、運用面のある程度の負担は避けられない(セキュリティには代償が伴う)。 |
Windows Server チームの取り組みは、大まかに 4 つの主要指針 (左) と 3 つのテクノロジ分野 (右) に分類できます。4 つの指針については説明するまでもないでしょう。注目すべきは、テクノロジ分野の 1 つである「特権 ID の管理」です。この重要性は今日かつてないほど高まっています。ID と強力な認証が、ネットワークに代わる新たなセキュリティ境界として存在感を増しているためです。
脅威が一般に広まるのを止めることは残念ながらできませんが、上記の指針と重点分野を考慮することで、それらに対する事後対応的な軽減策を提供できるだけでなく、そもそも攻撃が開始されないように事前対応的な予防策を講じることもできます。端的に言えば、セキュリティとは後付けの機能ではなくアーキテクチャ上の規範であり、この規範は Windows 10 と Windows Server 2019 の両方にも踏襲されています。それでは、理念的な話はこのくらいにして、ここからは Windows Server 2019 の新機能についてご説明しましょう。
Just Enough Administration (JEA) や Credential Guard など、Windows Server 2016 で提供されている特権 ID 管理機能は Windows Server 2019 にも引き継がれます。そこで今回のブログでは、テクノロジ分野の残りの 2 つ、「OS の保護」と「セキュアなファブリック仮想化と Virtualization Based Security (VBS)」について重点的にご説明します。
OS の保護
コード実行攻撃を軽減するテクノロジ
代表的なものとして、OS 自体が自らを保護する 2 種類の方法が挙げられます。1 つはホワイトリストに登録された正当なコードのみを実行できるようにすること、もう 1 つはコードを実行する際に意図されたとおりに実行することです。
Windows Defender アプリケーション制御 (WDAC) を使用すると、管理者はホワイトリストに登録されていないコードの実行をブロックするポリシーを作成できます。WDAC ポリシーはハイパーバイザーによって強制されるため、その制御はカーネル モードのコンポーネント (ドライバーなど) にも適用されます。
ここで、ポリシーは Hyper-V ではなくハイパーバイザーによって強制されると述べた点に注意してください。ハイパーバイザーと Hyper-V は混同しやすいものの、実際には別物です。ハイパーバイザーは根本的にはハードウェアのネイティブ仮想化機能を制御するもので、Windows では次のように使用されています。
- Hyper-V は Windows のハイパーバイザーを使用して、仮想ネットワークに接続された仮想マシンの作成や実行などを可能にします。
- Windows 自体 (Hyper-V なし) は、仮想化ハードウェアの拡張機能に対するハイパーバイザーの制御を活用して、各種 OS コンポーネントを互いに分離し、OS の整合性と機密性を確保します。
Windows Server 2019 の WDAC を使用すると、複数のポリシーを「積み重ね」て、それらを 1 つにまとめたホワイトリストを作成できます。このとき、再起動せずに WDAC ポリシーを変更できるポリシーを作成することも可能です。
Control Flow Guard (CFG) には、意図的なメモリ破損の脆弱性に対抗するプラットフォーム セキュリティが組み込まれており、アプリケーションがコードを実行できる場所を制限します。これにより、悪意のあるソフトウェアがバッファー オーバーフローなどの脆弱性を利用して任意のコードを実行することが非常に困難になります。Windows Server 2019 では、カーネル モードの CFG もサポートされました。
セキュアなファブリック仮想化と Virtualization Based Security (VBS)
Linux VM の保護
Windows Server 2019 では、Linux ワークロードを保護するために、シールドされた VM 内で Linux ワークロードを実行できるようになりました。セキュア ブート、テンプレート ディスクへの署名、セキュアなプロビジョニング プロセス、TPM ベースのディスク暗号化キーなど、Windows VM と同じ保護機能を活用することで、Linux VM でも、保存中のデータや、Hyper-V ホスト間での VM 移行時の送信中のデータを保護することができます。内部的には、ネイティブの dm-crypt ディスク暗号化テクノロジを利用して、VM を暗号化すると共に、VM 所有者以外がディスク暗号化パスフレーズにアクセスできないようにしています。Linux でシールドされた VM の利用を開始する方法については、こちらのドキュメント (英語) をご覧ください。また、Linux のシールドされた VM 用のオープンソース ツールについては、こちらのページ (英語) をご確認ください。
ホストの構成証明モデルの簡素化
Windows Server 2019 では、非対称キー ペアに基づく新しい構成証明モードである、ホスト キー構成証明が導入されました。これにより、TPM による構成証明ができない環境でのセットアップが大幅に簡素化されます。キーを所有するだけでシールドされた VM を実行できるという点では、既存の Active Directory 構成証明モードと同様の保証となりますが、Active Directory との信頼関係を確立する必要はありません (ホストのドメイン参加も不要です)。Hyper-V ホストには TPM は必要ありません。そのため、ホスト ガーディアン サービス (HGS) では TPM モードのようにホスト上のハードウェアまたはソフトウェア構成を検証しません。HGS を展開し、ホスト キー構成証明を利用するように HGS と Hyper-V ホストを構成する方法については、こちらのドキュメント (英語) をご確認ください。
次のステップ
Windows Server 2019 には数多くの新機能が追加されたため、いち早く習得するためには、Windows Server 2019 プレビュー リリースをダウンロードし、それらの新機能をご自身でお試しになることをお勧めします。また、情報交換の場として Windows Server のテクノロジ コミュニティ (英語) もご利用ください。
前回までの記事も併せてお読みください。