仕事とプライベートの曖昧な境界

モバイルデバイスの

浸透

技術的知識の向上

マルチデバイス

クラウド連携

求められるスピード

一般的な利用ケース 業務特化型

幅広い選択肢から状況にあったデバイスの選択

USB メモリから OS を起動 : Windows To Go

01100111110100111100100110001001

内蔵ハード ドライブからのブート

ファイアウォール

01100111110100111100100110001001

暗号化外付け USB ドライブからのブート

Windows To Go

安全なリモート接続 : Direct Access

ファイアウォール

モバイル ブロードバンド

Direct Access

Lync

SharePoint

データ

アプリケーション

Exchange

マルチデバイス・

マルチストレージ多様なデバイスの利用と

多様な記憶媒体

マルチデバイス・マルチストレージ

企業が利用しているサーバやクラウド個人が利用しているクラウド

マルチデバイス・マルチストレージ

企業が利用しているサーバやクラウド個人が利用しているクラウド

マルチデバイス・マルチストレージ

企業が利用しているサーバやクラウド個人が利用しているクラウド

マルチデバイス・マルチストレージ

企業が利用しているサーバやクラウド個人が利用しているクラウド

マルチデバイス・マルチストレージ

企業が利用しているサーバやクラウド個人が利用しているクラウド

デバイス（ノード）レベルのセキュリティの確保

ネットワークレベルのセキュリティの確保

データレベルのセキュリティの確保

認証レベルのセキュリティの確保

Political/Legislative

Economic ForcesSocial

Requirements

データとデバイスの保護TPMの利用

最新の認証技術

Hardware と 起動

Windows と ドライバ

マルウェア対策ソフト

Active Directory System Center

ファイルサーバー

• Trusted Boot

• マルウェア対策

• BitLocker

• AppLocker

MDOP

データの暗号化

Windows 8 での強化点

• Secured Boot

• マルウェア対策ソフトを早い段階で起動(ELAM)

• BitlLocker To Go の機能強化

• Application Reputation Services

• 最新の認証

• Windows Store のアプリ用に Applockerの機能を提供

Windows 8 デバイス

デバイス

サーバー

ネットワーク

TPMSA03445678Secret Security Semiconductors

TPMSA03445678Secret Security Semiconductors

TPMSA03445678Secret Security Semiconductors

セキュリティレベルの管理

最新の認証技術

Hardware と 起動

Windows と ドライバマルウェア対策ソフト

Active DirectorySystem Center

ファイルサーバー

• Trusted Boot

• マルウェア対策

• BitLocker

• AppLocker

MDOP

データの暗号化

Windows 8 デバイス

デバイス

サーバー

ネットワーク

• DirectAccess

• AppLocker

• Configuration Manager

• System Center Endpoint Protection

• Dynamic Access Control

• Microsoft BitLocker Administration and Monitoring

TPMSA03445678Secret Security Semiconductors

TPMSA03445678Secret Security Semiconductors

TPMSA03445678Secret Security Semiconductors

40

アドレス空間配置のランダム化

Windows ヒープ

Windows カーネル

既定の設定

目標

あらゆるクラスの

脆弱性を軽減

既知の悪用テクニックを

阻止

主要ドメインで悪用にかかるコストを増加させる

コード生成のセキュリティ

領域別エントロピ(単位: ビット)

Windows 7

32 ビット

64 ビット

ボトムアップの割り当て (オプトイン) 0 0

スタック 14 14

ヒープ 5 5

トップダウンの割り当て (オプトイン) 0 0

PEB/TEB 4 4

EXE イメージ 8 8

DLL イメージ 8 8

非 ASLR DLL イメージ (オプトイン) 0 0

41

Windows 8

32 ビット

64 ビット

64 ビット (HE)

8 8 24

17 17 33

8 8 24

8 17 17

8 17 17

8 17* 17*

8 19* 19*

8 8 24

Windows 8 では、高エントロピ (HE) が有効な場合は特に、

さらに多くのエントロピが64 ビット プロセスに適用される

Windows 7 では、32 ビットと64 ビットのどちらのプロセスでも

ASLR エントロピは同じ

* ベース 4GB 未満の64 ビット DLL は 14 ビット、4GB 未満の EXE には8 ビットが適用される

• Windows 8 の ASLR は、64 ビット プロセスの大容量のアドレス空間 (8 TB) を活用

• 非 ASLR イメージの強制適用が可能• 非ASLR DLLの利

用などを阻止• プロセスレベルの

Optin

Windows ヒープの全般的な設計は、Windows 8 でも変更されていない

フロントエンドアロケーター (LFH)

16 KB 以下のサイズに使用

HeapAlloc(heap, flags, size)

バックエンド アロケーター512 KB (x86) または 1 MB (x64) 未満のサイズで、

フロントエンドにより使用

仮想メモリ アロケーター

大きい割り当てサイズで、バックエンドにより使用

カーネル メモリ マネージャー

Windows 7 での LFH ブロック割り当て動作

Windows 8 での LFH ブロック割り当て動作

O T

OT

Windows 8 での変更 効果

LFH はビットマップ ベースのアロケーターに

LinkOffset の破損が不可能に

複数の catch-all EH ブロックを削除 例外が受け入れられなくなる

HEAP ハンドルを解放できないHEAP ハンドルの状態の破損を試みる攻撃を防止

HEAP CommitRoutine をグローバル キーでエンコード

CommitRoutine ポインターを高い信頼性で制御できるようにする攻撃を防止

拡張ブロック ヘッダーの検証使用中のヒープ ブロックの予期しない解放を防止

ビジー状態のブロックは割り当て不可使用中ブロックの再割り当てを実行する各種の攻撃を防止

現在、ヒープ エンコードはカーネル モードで有効

ヒープ エントリ ヘッダーの保護を強化

ヒープメモリ ヒープメモリPAGE_NOACCESSガード ページ ……

x86 (PAE) x64 ARM

Win7 Win8 Win7 Win8 Win8

ページ プール X X NX NX NX

非ページ プール X X X X X

非ページ プール (NX) N/A NX N/A NX NX

セッション プール X X NX NX NX

イメージ データ セクション X X NX NX NX

カーネル スタック NX NX NX NX NX

アイドル/DPC/初期スタック X NX X NX NX

ページ テーブル ページ X NX X NX NX

PFN データベース X NX X NX NX

システム キャッシュ X NX X NX NX

共有ユーザー データ X NX X NX NX

HAL ヒープ X NX X NX NX

DEPの適用範囲を大幅に拡大

X = 実行可能 NX = 非実行可能

カーネル ASLRの適用

• Windows 7／SV2008R2

– ドライバーについてはエントロピ 4 ビット、NTOS/HAL については 5 ビット

• Windows 8

– カーネル セグメント ベースにバイアス

– NTOS/HAL に 22 ビット (64 ビット)、および 12 ビット (32 ビット) を適用

– 各種のブート領域もランダム化 (P0 アイドルスタック)

SMEP/PXN のサポート

• スーパーバイザーによるユーザー ページ内でのコード実行を防止• PXN をサポートする Intel Ivy Bridge または ARM が必要

NULL 逆参照の防止(NTVDM)

• 最初の 64K のマッピングを禁止(EoP DoS)

カーネルプールの整合性チェック

44

ARM では、適用可能な軽減策がすべて有効

DEP ON

ASLR (イメージ) ON

ASLR (強制再配置) N/A(全イメージが ASLR)

ASLR (ボトムアップ) ON

ASLR (トップダウン) ON

ASLR (高エントロピ) N/A(64 ビットではない)

SEHOP N/A(不要)

ヒープの強制終了 ON

カーネル NULL 逆参照 ON

カーネル SMEP ON

アプリケーション互換性の問題がないため、よりアグレッシブな対策が可能

Windows 8 クライアントの既定の設定

32 ビット (x86) 64 ビット (x64)

Windows ストアアプリ

受信トレイ

IE10 既定 Windows ストアアプリ

受信トレイ

IE10 既定

DEP ON ON ON OptIn ON ON ON OptIn

ASLR (イメージ) ON ON ON OptIn ON ON ON OptIn

ASLR (強制再配置) ON OptIn ON OptIn ON OptIn ON OptIn

ASLR (ボトムアップ) ON ON ON OptIn ON ON ON OptIn

ASLR (トップダウン) ON ON ON OptIn ON ON ON OptIn

ASLR (高エントロピ) N/A N/A N/A N/A ON ON ON OptIn

SEHOP ON ON ON OptIn N/A N/A N/A N/A

ヒープの強制終了 ON ON ON OptIn ON ON ON ON

Windows ストア アプリでは、適用可能な軽減策がすべて有効

Internet Explorer 10 と新しい Office でも、適用可能な軽減策がすべて有効

マルチデバイス・マルチストレージ

企業が利用しているサーバやクラウド個人が利用しているクラウド

デバイス（ノード）レベルのセキュリティの確保

ネットワークレベルのセキュリティの確保

データレベルのセキュリティの確保

認証レベルのセキュリティの確保

Political/Legislative

Economic ForcesSocial

Requirements

スクリーンの右下隅をポイントします

Windows 8 の操作

アプリを右クリックするとメニューが表示されますアプリを閉じるにはスクリーンの一番下にアプリをドラッグします

追加オプションを見るにはアイテムをポイントします

Ctrlキーを押しながらマウスホイールを動かすとズームイン・ズームアウトができます

アプリ画面の下部をポイントしスクロールバーを使います

タッチ操作の代わりとなるマウス操作

アイテムをクリックし、アクションを実行します。