Windows 10およびWindows 11では、Windowsセキュリティに「コア分離」という機能があります。この機能は何の役割ですか?コンピューターのセキュリティのためにオンにする必要がありますか?そのデメリットは?MiniTool Webサイトのこの記事では、コア分離について詳しくご解説し、コア分離のメモリ整合性を有効または無効にする方法もご紹介します。
コア分離とメモリ整合性とは?
このワイヤレス接続の世界では、目に見えない潜在的な危険がいたるところに潜んでいます。例えば、マルウェアやその他の種類のサイバー攻撃は、適切なタイミングを狙ってPCに侵入し、大きな問題を引き起こします。
WannaCryやPetyaランサムウェアのように、一部の種類の攻撃は、カーネルレベルの脆弱性を利用してマルウェアを最大権限で実行します。そして、この種類の攻撃は、PCを制御してファイルをロックダウンし、金銭の支払いやそれ以上のことを要求します。
このようなサイバー上の危険やリスクに対処するため、Microsoftは「コア分離とメモリ整合性」機能を発行しました。この機能は、コンピューターのプロセスをオペレーティングシステムやデバイスから分離することで、マルウェアやその他の攻撃から追加の保護を提供します。
では、コア分離とは何ですか?
コア分離とは、デバイスのコアを保護するために使用される仮想化ベースのセキュリティ機能です。コア分離機能を有効にすると、サポートされているハードウェアは仮想化技術を使用してシステムメモリの安全な領域を作成し、コンピューターのメモリ内の特定のプロセスやソフトウェアを隔離することで、オペレーティングシステムが悪意のあるコードから保護できるようになります。
さらに、コア分離のメモリ整合性は、重要なオペレーティングシステムプロセスが安全な領域以外で実行されているものによって不正に操作されないように保護する、もう1つのセキュリティ層として使用できます。
その特別で強力な機能を実現するには、Windows 10/11がコンテナ内でアプリを実行し、システムの他の部分にアクセスできなくなるように、ハードウェアとファームウェアが仮想化をサポートしている必要があります。
当初、コア分離とメモリ整合性という機能はWindows 10 Enterpriseエディションでのみ利用可能でした。しかし現在では、特定のハードウェアとファームウェアの要件を満たすWindows 10/11 PCで利用できるようになりました。
この機能は、デバイスセキュリティでデフォルトでオフに設定されており、その下には「メモリ整合性」と呼ばれる機能、すなわちハイパーバイザーで保護されたコード整合性(HVCI)があります。
メモリ整合性はコア分離のサブセットであり、この機能を有効にすると、コア分離によって作成されたハイパーバイザーで保護されたコンテナ内でサービスを実行できるようになります。
これほど優れた強力な機能があるのに、なぜMicrosoftがこの機能をデフォルトでオフにするのか疑問に思われるかもしれません。ユーザーからのフィードバックによると、この機能を有効にすると多かれ少なかれPCのパフォーマンスが低下し、ドライバーとの互換性問題が最大の障害になる可能性があるとのことです。
さらに、この機能はデバイスドライバーとソフトウェアに対する要求が非常に高いです。デバイスドライバーとWindowsアプリケーションがコア分離機能と互換性があることを確認する必要があります。
スタートアップドライバーのいずれかに機能に不具合が生じている場合、次の操作が問題なく行えるように、コア分離のメモリ整合性は自動的に無効になります。これが、手動で有効にしても、起動後に無効になっていることが発生する原因です。
さらに、コア分離をオンにした後、一部のデバイスやソフトウェアに問題が起こることもあります。この場合、そのデバイスやソフトウェアの更新プログラムをチェックしてください。
なお、仮想マシンやデバッガなど、コア分離機能を使用して実行できないアプリがあることにご注意ください。これらのアプリはシステムの仮想化ハードウェアへの排他的なアクセスを必要としますが、コア分離が有効になっている状態では禁止されています。
コア分離のメモリ整合性を有効・無効(オン・オフ)にする方法
コア分離の強力で効果的な機能を理解した上で、どのようにコア分離とメモリ整合性を有効にすればよいのでしょうか?前述したように、この機能を実行するには、互換性のあるコンピュータードライバーとアプリケーションが必要です。したがって、まず最初に、お使いのデバイスがハードウェアセキュリティ標準に準拠していることをご確認ください。
- TPM 2.0 (トラステッド プラットフォーム モジュール 2.0) とDEP(データ実行防止) を有効にする必要があります。
- UEFI MAT(Unified Extensible Firmware Interface Memory Attribute Table)がサポートされる必要があります。
- セキュアブートを有効にする必要があります。
その後、次のセクションに沿って、要件を完了し、コア分離とメモリ整合性を有効にします。
1.CPU仮想化を有効にする
CPUの仮想化により、1つのCPUを複数の仮想CPUに分割して複数の仮想マシンで使用できるようになり、単一のプロセッサを複数の独立したCPUであるかのように動作させることができます。
CPU仮想化を有効にするには、コンピューターを起動して初期画面が表示された後、専用キーを押してBIOSに入る必要があります。
次に、画面上部の「Advanced」タブで「CPU configuration」をクリックします。
AMD CPUを使用している場合は、「Advanced settings」で「SVM Mode」を有効にします。また、Intel CPUを使用している場合は、「Intel Virtualization Technology」オプションを有効にします。
その後、「Exit」タブに切り替え、変更を保存してコンピューターを再起動します。次に、起動後の適切なタイミングでキーを押して、再度BIOSに入ります。
2.セキュアブートを有効にする
セキュアブートを使用すると、システム上で信頼できるソフトウェアのみを実行できます。これにより、ウイルスやその他の悪意のあるソフトウェアがシステム上で実行されるのを防ぐことができます。
セキュアブートを有効にするには、BIOS画面に移動し、上部メニューの「Boot」タブに移動して、「Secure Boot」オプションをオンにする必要があります。その後、変更を保存してコンピューターを再起動し、次のセクションに進みます。
セキュアブートを有効・無効にする方法について、より詳しい情報を知りたい方は、こちらの記事をご覧ください‐セキュアブートとは何?Windowsでそれを有効または無効にする方法は?
3.TPM 2.0を有効にする
TPM 2.0は、ハードウェアベースのセキュリティ関連機能を提供するために使用されます。このツールは、ID 保護用のWindows Helloやデータ保護用のBitLockerなど、多くの機能に適用することができます。さらに、暗号キーの生成、保存、および使用の制限に役立ちます。
TPM 2.0を有効にするには、2つの状況を確認できます。
1.TPM管理で確認する
ステップ1:「Win + R」キーを押して「ファイル名を指定して実行」ダイアログボックスを開き、「tpm.msc」と入力してトラステッド プラットフォーム モジュール(TPM)の管理ウィンドウにアクセスします。
ステップ2:ウィンドウが開くとステータスが表示されます。また、「状態」セクションをクリックして確認することもできます。
画面に3つのメッセージが表示されることがあります。状況に応じて次の操作を決定してください。
- TPMは使用する準備ができています – これはTPM 2.0が有効であることを意味し、それ以上のアクションは必要ありません。
- TPMはサポートされていません – ご使用のマザーボードがこのツールをサポートしていないことを意味します。
- 互換性のあるTPMが見つかりません – これは、TPMはサポートされていますが、BIOSまたはUEFI設定で有効化されていないことを意味します。この場合、以下の手順に沿ってBIOSでこの機能を有効にしてください。
2.BIOSでTPMを有効にする
この記事に掲載されている手順に従ってBIOSに入り、一番上の「Security」タブに切り替えます。その後、TPMオプションを見つけ、有効にします。
最後に、に変更を保存して終了し、コンピューターを再起動します。これで、コア分離とメモリ整合性をオンにすることができます。
Windowsセキュリティでコア分離のメモリ整合性をオンにする
Windowsセキュリティ経由でコア分離を有効にするのが最も簡単な方法です。ただし、その前に、非互換性の問題を防ぐためにWindowsを最新バージョンにアップデートしておくことをお勧めします。
ステップ1:「ファイル名を指定して実行」ダイアログボックスを開き、「windowsdefender: inside」と入力し、「Ctrl + Shift + Enter」キーを押して、Windows Defenderを管理者権限で開きます。
ステップ2:ウィンドウが開いたら、「デバイスセキュリティ」タブを開き、次の画面で「コア分離」の下にある「コア分離の詳細」をクリックします。
ステップ3:次に、「コア分離」の下にトグルスイッチが表示され、これをオンにすると「メモリ整合性」が有効になります。
また、この設定でコア分離とメモリ整合性をオフにすることもできます。
レジストリエディターコア分離とメモリ整合性をオンにする
コア分離を有効にするもう1つの方法はレジストリエディターを使用することです。この方法は、Windows セキュリティでコア分離とメモリ整合性をオフにすることよりも複雑ですが、上記の方法がうまくいかない場合は、こちらを試してみてください。
ステップ1:「ファイル名を指定して実行」を開き、「regedit」と入力して開きます。
ステップ2:レジストリエディターウィンドウが開いたら、次のパスをコピーして上部のナビゲーションバーに貼り付け、「Enter」キーを押してその場所を特定します。
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\DeviceGuard\Scenarios
ステップ3:その後、「Scenarios」キーを右クリックし、「新規」>「キー」を選択して、「HypervisorEnforcedCodeIntegrity」という名前の新しいキーを作成します。
ステップ4:次に、新しいキー「HypervisorEnforcedCodeIntegrity」を右クリックし、「新規」>「DWORD (32ビット) 値」を選択して「Enabled」という名前付けのDWORDを作成します。
ステップ5:「Enable」をダブルクリックします。デフォルトでは、値のデータは0に設定されており、これはこの機能が無効であることを意味します。有効にするには、値のデータを「1」に変更して、「OK」をクリックして変更を保存します。最後に、コンピューターを再起動します。
MiniTool ShadowMaker
お使いのWindowsデバイスがコア分離を実行するための基本的な要件を満たしている限り、コア分離を有効にすることをお勧めします。より多くのサイバー攻撃に直面する今、コア分離のような強力なツールは、これらのリスクから身を守るために必要です。
しかし、すべてのパソコンがこの機能を正常に実行できるわけではありません。幸いなことに、マルウェアの攻撃からデータを保護するには、他のツールを使うことができます。この場合、バックアップを代替手段として使用できます。
MiniTool ShadowMakerは、プロフェッショナルなバックアップソフトとして、お客様の要求を満たすために、差分、増分、完全バックアップなど、さまざまなバックアップスキームを提供し、エネルギーを節約するバックアップスケジュール機能も提供しています。
下のボタンをクリックしてこのプログラムをダウンロードしてインストールすると、30日間の無料体験版を入手できます。
MiniTool ShadowMaker Trialクリックしてダウンロード100%クリーン&セーフ
ステップ1:このフリーソフトを開き、「体験版で続く」をクリックします。
ステップ2:「バックアップ」タブで、バックアップ元とバックアップ先を選択します。バックアップを外付けハードドライブに保存することを強くお勧めします。
ステップ3:その後、「今すぐバックアップ」をクリックして、バックアップタスクを実行します。
この記事では、コア分離とメモリ整合性について徹底に解説しています。この投稿が気に入って役に立ったと思われたら、Twitterで共有してください。Twitterでシェア
さらに読む:コア分離のメモリ整合性がオンにできない?
上記の方法に従い、すべての要件を確認しても、まだコア分離を有効化にできない場合、またはその機能がグレー表示される場合は、次の方法を試してください。
- コンピューターを再起動します。
- SFCスキャンとDISMスキャンを使用して、破損したシステムファイルや不良または破損したシステムイメージをチェックして修復します。
- Windowsセキュリティアプリをリセットします。
- ドライバーとWindowsを更新します。
- Windowsをクリーンインストールします。
結語
コア分離のメモリ整合性機能は、コンピューターのセキュリティを保護するために不可欠であり、特に最高の特権でマルウェアを実行しようとするカーネルレベルの脆弱性を防ぐのに効果的です。コア分離のメモリ整合性を常にオンにして、大切なデータのバックアップ計画を立てることをお勧めします。
MiniTool ShadowMakerの使用中に問題が発生した場合は、下のコメント欄にメッセージをご記入ください。できるだけ早く返事いたします。また、MiniTool ソフトウェアを使用する際にサポートが必要な場合は、お気軽に[email protected]までお問い合わせください。