Windows 10 Enterprise搭載の新セキュリティ機能「デバイスガード」とは?

としている。その理由は、「企業によって完全に管理されたデバイスや特定のアプリケーションのみ実行されているデバイス向けであり、BYOD環境やユーザーが管理されていないアプリケーションを自由にインストールできる必要がある環境などは向いていない」と説明している。

例えば、EFIのセキュアブートを活かすことで、端末の電源を入れた際にWindows 10が起動するが、悪意あるブートキットを含めた署名が無効なコードは実行されない。

また、WindowsのカーネルやコアサービスであるLocal Security Auth Service、Virtual TPM、Hypervisor Code IntegrityなどはHyper-Vの仮想化と同様のType 1ハイパーバイザーの技術によってVirtual Secure Modeに隔離される。ローカル管理者でもローカル管理者権限を乗っ取ったマルウェアでもコアサービスの改ざんが困難にするほか、Pass-the-Hash攻撃の対抗にも役立つ。

さらに、Kernel Mode Code Integrityによって信頼された証明書に署名されたドライバーのみ実行できるようにするほか、User Mode Code Integrityによって信頼された証明書に署名されたアプリケーション であるUniversal Windows Platformのアプリ、Classic Windows のアプリケーションのみ実行できるようにする。