Windows 11のセキュリティ機能は性能を下げるのか?仮想化ベースのVBSを検証

Windows 11のセキュリティ機能は性能を下げるのか?仮想化ベースのVBSを検証

VBSをざっくり理解する

 Windows 11に搭載されている仮想化ベースのセキュリティ(VBS : Virtualization Based Security)は、Hyper-Vなどで知られる仮想化機能を利用して、隔離された安全な環境でセキュリティ機能などを実行できる機能だ。

 仕組みなどの詳細は、以下の関連記事を参照していただくとして、ここではざっくり説明しておく。

関連記事

Windows 11のセキュリティ機能は性能を下げるのか?仮想化ベースのVBSを検証

【笠原一輝のユビキタス情報局】Windows 11はなぜTPMが必要で、CPU制限が厳しいのか? その理由を詳しく説明

 VBS(機能名は「コア分離」)は、簡単に言うと、OSより特権レベルの高いVSM(Virtual Secure Module)と呼ばれる隔離された仮想マシンを用意し、そこにセキュリティチェック機能や重要なセキュリティ資産(資格情報)などを配置する機能となる。

 Windows 11で話題になっているのは、VBSの機能のひとつであるHVCI(Hypervisor-Enforced Code Integrity)だ。機能名としては「メモリ整合性」となる。これは、ドライバやコードの署名をチェックして、正当なコードのみが実行されるようにチェックする機能だ。

Windows 11のコア分離(VBS)にあるメモリ整合性(HVCI)

 万が一、Windowsがマルウェアに感染しても、独立したチェック機能であるVSMにアクセスすることはできないため、このチェック機能そのものが無効化されるような心配がないうえ、VSM上の重要なシステムリソースにアクセスすることもできない。

 言わば、門で不審者の出入りをチェックする番人のような存在だが、この番人は所属する組織から干渉されない完全に独立した存在で、しかも地位も高い。このため、番人そのものが買収などによって無力化されてしまう心配がないことになる。

 この機能のややこしいのは、略称が色々登場することだ。まとめておくと以下のようになる。