Windows 11でカーネル分離とメモリ整合性を有効にする方法

最終更新: 01/05/2026
  • カーネルの分離とメモリの整合性は、VBSを使用してカーネルと重要なプロセスを高度な攻撃から保護します。
  • これを有効にするとセキュリティが大幅に向上しますが、一部のドライバーのパフォーマンスや互換性に影響を与える可能性があります。
  • これらは、Windowsセキュリティだけでなく、レジストリ、アプリケーション制御、PowerShell、および企業ポリシーを通じて構成できます。
  • Win32_DeviceGuardやmsinfo32などのツールを使用すると、VBSの状態を確認したり、物理環境および仮想環境における問題を診断したりできます。

Windows 11におけるカーネルの分離とメモリの整合性

Windows 11 を使用している場合、おそらく一度は次のようなオプションを見たことがあるでしょう。 コア分離とメモリ整合性 中で Windowsセキュリティ しかし、それが具体的に何をするのか、あるいはそもそも有効化すべきなのかは、必ずしも明確ではありません。これは珍しいことではありません。マイクロソフトが近年導入している強力なセキュリティ機能の一つですが、説明が不十分で、メニューの奥深くに埋もれていることが多いのです。

さらに、メモリ整合性を有効にできないという典型的なメッセージに遭遇したことがあるかもしれません。 互換性のないドライバーあるいは、スイッチがグレー表示になっていて、どこから手をつければいいのか分からないという場合もあるでしょう。BIOS、仮想化、VBS、ドライバー、WMIなど、専門用語が飛び交っていて混乱しやすいものです。ここでは、それらをすべて分かりやすく、平易な言葉で解説していきます。つまり、それが何なのか、どのように有効化するのか、エラーが発生した場合の対処法、そしてどのような場合にオンにするかオフにするかが分かるようにするのです。

Windows 11におけるカーネル分離とは何ですか?

コア断熱材は、 ハードウェア仮想化機能 システムメモリ内に保護領域を作成する。このような「バブル」は、機密性の高いWindowsプロセスをオペレーティングシステムの他の部分から隔離して実行するために使用され、マルウェアがアクセスすべきでない領域にアクセスする可能性を大幅に低減する。

実際には、Windows はハイパーバイザー (仮想マシンで使用されるのと同じ基本的なメカニズム) を使用して、次のような特殊な仮想環境を作成します。 信頼の根源このシステムは、最悪の場合、カーネルが侵害される可能性があることを想定しているため、カーネル自体ではなく、保護された環境内に特定のセキュリティチェックを配置している。

この分離は、攻撃経路となりうるデバイスやドライバから、重要なオペレーティングシステムプロセスを分離することに重点を置いていることを理解することが重要です。これは、これらの機密性の高いコンポーネントを仮想メモリ内で実行することによって実現されます。 他のプロセスとは別に悪意のあるコードが、たとえ実行に成功したとしても、基本的なセキュリティメカニズムを変更することは極めて困難である。

この技術は、 仮想化ベースのセキュリティ (VBS) Microsoft が長年推進してきた VBS は Windows 11 専用ではなく、Windows 10 および Windows Editions でも利用可能です。 Windows Serverの 現代的な機能ではあるが、Windows 11ではセキュリティがシステムの柱の一つであるため、より重要な役割を担うようになった。

メモリの完全性とは何ですか?そして、それはこれらすべてにどのように関係するのでしょうか?

メモリ整合性(ハイパーバイザ強制コード整合性(HVCI)とも呼ばれる)は、カーネル分離の重要な構成要素です。その役割は、 コード整合性プロセス これは、カーネルモードで実行される処理が、VBSによって作成された安全な仮想環境内で実行され、「ベア」カーネル内で直接実行されないことを検証する役割を担っています。

この仕組みは、オペレーティングシステムとその他のセキュリティコンポーネントの両方を、コード整合性ルールを改変しようとするマルウェアの試みから保護します。ハイパーバイザによって保護された環境内で動作するため、攻撃者が検出されずにこれらのチェックを変更したり回避したりすることは極めて困難です。

メモリの完全性の重要な機能は、 制御フローガード(CFG)ビットマップ カーネルモードドライバの場合、CFGはプログラムの実行フローを迂回させようとする攻撃を軽減するのに役立ちます。このマップを安全な仮想環境で保護することで、悪意のある(または侵害された)ドライバがマップを変更して不要な実行を強制することを防ぎます。

また、カーネルのコード整合性プロセス自体を保護し、信頼できるカーネルプロセスが 有効な証明書 そして、この検証は操作できない。言い換えれば、どのコントローラとコードがカーネルモードに入ることができるかを監視し、ゲーム中にルールが変更されないようにするセキュリティガードのような役割を果たす。

メモリ整合性はアンチウイルスソフトウェアに取って代わるものではないことを強調しておくことが重要です。これは補完的なものであり、Windows Defender(または使用している他のソリューション)と連携してシステムのコアを強化します。Defenderはファイル、プロセス、ネットワークなどのレベルでマルウェアを検出してブロックする役割を担い、メモリ整合性はシステムのコアを保護することに重点を置いています。 カーネルお​​よび高セキュリティプロセス.

利点と欠点:安全性と性能

カーネル分離とメモリ整合性を有効にすると、セキュリティが大幅に向上しますが、すべてが無料というわけではなく、いくつかの欠点もあります。 パフォーマンスへの副作用 また、機器の使用方法に応じて考慮すべき互換性についても考慮する必要があります。

良い面としては、この機能はカーネルやコード検証メカニズムを直接攻撃しようとする脅威からシステムを保護するのに役立ちます。さまざまなWebサイトにアクセスしたり、多数のファイルをダウンロードしたり、信頼できないソースからプログラムをインストールしたりする環境で特に役立ちます。また、 共有または公共のコンピュータ例えば、オフィスコンピュータ、教室、図書館、インターネットカフェなど。

  Copilot Vision の使い方: Windows でのチュートリアルと使用例

コストが発生するのは、システムがカーネルモードコードを検証するたびに、プロセスがセキュアな仮想環境内で一連のチェックを経なければならないためです。これは、家に入るたびに鍵でドアを開けるだけでなく、さらに… 警備員 彼らはあなたの書類をチェックし、危険物を所持していないことを確認します。セキュリティは向上しますが、入場に時間がかかり、警備員の人員も消費します。

高性能システムでは、これは通常、日常的な使用ではほとんど気になりませんが、リソースが限られたマシン、控えめなノートパソコン、または Windows 11 を実行している携帯ゲーム機では、スムーズさと FPS への影響はかなり大きくなる可能性があります。このようなタイプのデバイス (Lenovo Legion Go、Asus ROG Ally、および同様のモデル) では、最も頻繁に繰り返されるアドバイスの 1 つは、 追加パフォーマンスを削る コア分離を無効にする。

さらに、古いドライバーや設計の不十分なアプリケーションの中には、これらのテクノロジーとうまく連携しないものがあります。読み込みに失敗したり、ブルースクリーンが発生したり、システムが不安定になったりする可能性があります。そのため、マイクロソフトはこれらの機能を可能な限り有効にしておくことを推奨していますが、無効にすることもでき、企業や管理者向けに高度な構成オプションも提供しています。

グラフィカルインターフェースからカーネル分離とメモリ整合性を有効にする方法

ほとんどの一般家庭ユーザーにとって、これらの機能を有効にする最も簡単な方法は、レジストリなどを変更することなく、Windows セキュリティを使用することです。手順は、Windows 11 と Windows 10 の両方で非常に簡単です。

Windows 11では、システム設定を使用して以下の基本的な手順を実行できます。

1. WindowsキーとIキーを同時に押して設定アプリを開きます。または、スタートボタンをクリックしてから設定アイコン(歯車マーク)をクリックすることもできます。
2. 左側のメニューから「プライバシーとセキュリティ」セクションを選択してください。
3. 中に入って、「Windowsセキュリティ」を選択してください。
4. 「Windowsセキュリティを開く」ボタンを押すと、従来のセキュリティパネルが起動します。
5. サイドメニューで「デバイスセキュリティ」をクリックします。
6. 「コア分離」ブロックを見つけて、「詳細」をクリックします。
7. その画面に「メモリ整合性」オプションが表示されます。コントロールが無効になっている場合は、スイッチをスライドさせて有効にしてください。 それをアクティブにします.
8. 変更を有効にするには、ウィンドウを閉じてコンピューターを再起動してください。

Windows 10でも手順はほぼ同じですが、メニュー名が若干異なります。まずWindowsキーとIキーを同時に押し、「更新とセキュリティ」を開き、「Windowsセキュリティ」と入力して、「デバイスセキュリティ」と「カーネル分離の詳細」に進み、必要に応じてメモリの整合性を有効または無効にします。

良い点は、この機能が オンとオフ 何度でも切り替え可能です。例えば、通常は有効にしておき、パフォーマンス低下を引き起こすことが分かっている負荷の高いプログラムや、フレームレートが低い特定のゲームを使用する場合は、一時的に無効にして後で再度有効にすることができます。また、出所不明または信頼性の低いUSBドライブを接続する際にも有効にしておくことをお勧めします。

WindowsレジストリとVBSによる高度なアクティベーション

プロフェッショナルな環境や、VBS の動作やメモリの整合性を細かく制御したい場合は、 Windowsレジストリ その他にも様々な管理ツールが用意されています。これにより、多数のデバイスでのアクティベーションを自動化したり、UEFIロックや強制モードなどのオプションを調整したりすることが可能になります。

VBSとメモリ整合性に関する主要な構成パスは、次のキーの下にあります。
HKLM\SYSTEM\CurrentControlSet\Control\DeviceGuard

UEFI ロックを強制せずに VBS とメモリ整合性を有効にするための推奨構成は、管理者権限でコマンド プロンプトまたは PowerShell で実行される一連の reg add コマンドで適用できます。これらのコマンドは、 仮想化ベースのセキュリティこれらは、プラットフォームのセキュリティ要件(セキュアブートやDMA保護など)を定義し、システムがUEFIレベルでロックされているかどうかを確立し、ハイパーバイザによるコード整合性の強制シナリオを有効にします。

例えば、次のようなことができます。

  • 値を調整して、メモリ整合性なしでVBSのみを有効にする 仮想化ベースのセキュリティを有効にする 1。
  • セキュアブートのみが必要であることを示すには、 必須プラットフォームセキュリティ機能 1インチ
  • セキュアブートとDMA保護の両方を、同じキー内で値3で必須とする。
  • UEFIロックが必要かどうかは、次の値を使用して定義します。 ロック (0はロックなし、1はロックあり)
  • メモリ整合性を有効にするには、以下の設定を行います。 使用可能 DeviceGuard\Scenarios\HypervisorEnforcedCodeIntegrity ブランチ内。

VBS とメモリ整合性を有効にする可能性もある 強制モード 必須値を使用します。このシナリオでは、ハイパーバイザ、セキュアカーネル、またはその重要なコンポーネントのいずれかが起動に失敗した場合、オペレーティングシステムローダーは通常の起動プロセスを続行しないため、コンピュータが潜在的に危険な状態で起動するのを防ぎます。

メモリ整合性のグラフィカルインターフェースを制御するための興味深いキーも存在します。 有効になったreg delete コマンドで削除すると、Windows セキュリティ アプリでそのオプションがグレー表示され、「この設定は管理者によって管理されています」というメッセージが表示されます。しかし、DWORD 2 値として設定すると、インターフェースの正常な機能が回復し、ユーザーがスイッチを操作できるようになります。

  Windows 11で画像からテキストを抽出する手順

メモリの整合性を有効にするためにアプリ制御を使用する

管理された組織や環境では、 ビジネス向けアプリコントロール (エンタープライズアプリケーション制御)を使用して、セキュリティポリシーを構成します。これには、集中管理ルールによるメモリ整合性の有効化が含まれます。

ハイパーバイザで保護されたコードの整合性を強制するためにアプリケーション コントロールを使用する方法はいくつかあります。最も簡単な方法の 1 つは、Microsoft が提供するアプリケーション コントロール ウィザードを使用することです。ポリシーを作成または編集する際に、ウィザードのポリシー ルール ページで、統合オプションを有効にすることができます。 ハイパーバイザー保護されたコード整合性 構成の一部として。

別の方法としては、PowerShell をコマンドレットとともに使用することもできます。 HVCIオプションの設定これにより、HVCI関連オプションをより細かく変更することが可能になります。この方法は、変更内容を自動デプロイスクリプトや構成パイプラインに統合する際に非常に役立ちます。

最後に、より高度な管理者は直接編集できます アプリ制御ポリシー XML 要素の値を調整するこのようにすることで、このポリシーが適用されるコンピュータに対して、メモリの整合性をどのように、いつ適用するかを明示的に定義することが可能になり、組織の他のセキュリティ要件と構成を統合することができます。

VBSとメモリ整合性がアクティブかどうかを確認する方法

すべての設定が完了したら、VBSとメモリの整合性がシステム上で正しく動作していることを確認することが重要です。Windowsには、コマンドラインとグラフィカルインターフェースの両方で、このためのツールがいくつか用意されています。より詳細なテストについては、[リンク/リファレンスなど]を参照してください。 セキュリティ監査ガイド.

最も柔軟なオプションの1つは、WMIクラスを使用することです。 Win32_デバイスガードWindows 10、Windows 11、および Windows Server 2016 以降で利用可能です。管理者権限で実行した Windows PowerShell セッションから、以下のコマンドを実行できます。

Get-CimInstance -ClassName Win32_DeviceGuard -Namespace root\Microsoft\Windows\DeviceGuard

このコマンドの出力には、仮想化に基づくセキュリティとメモリの整合性に関連するさまざまなプロパティが表示されます。中でも特に重要なものは次のとおりです。

  • インスタンス識別子これは、各デバイスを一意に識別するものです。
  • これは、WMI クラスのバージョンを示します (現在は 1.0)。
  • 利用可能なセキュリティプロパティハードウェアがサポートするセキュリティ機能(ハイパーバイザー互換性、セキュアブート、DMA保護、セキュアメモリ上書き、NX保護、SMM緩和、MBEC/GMETまたはAPIC仮想化など)が一覧表示されます。

さらに、システムの状態を理解するための他の基本的な分野も存在する。

  • コード整合性ポリシー施行ステータス: コード整合性ポリシーが無効になっているか、監査モードになっているか、厳格準拠モードになっているかを示します。
  • 必須セキュリティプロパティ: VBS を有効にするために必要なセキュリティ プロパティ (ハイパーバイザー サポート、セキュア ブート、DMA 保護など) を一覧表示します。
  • セキュリティサービスが構成されている: 資格情報保護、メモリ整合性、セキュアブートシステム保護、SMMファームウェア測定、カーネルモードスタック保護などのサービスが構成されているかどうかを示します。
  • セキュリティサービス実行中: その時点で実際に実行されているセキュリティサービスを報告します。

また、見てみると興味深いのは 仮想化ベースのセキュリティステータスこれにより、VBSが有効になっていないか、有効になっているが実行されていないか、有効になっていて実行されているかが明確になります。SmmIsolationLevel、UsermodeCodeIntegrityPolicyEnforcementStatus、VirtualMachineIsolation、VirtualMachineIsolationPropertiesなどのその他のフィールドは、高度な仮想マシン分離シナリオを含む、システムのセキュリティ状態の全体像を補完します。

視覚的な表現がお好みであれば、グラフィックツールをご利用いただけます。 msinfo32.exe管理者権限でこのアプリケーションを開くと、「システム概要」セクションの下部に、カーネル分離の状態やその他の関連機能など、利用可能でアクティブな仮想化ベースのセキュリティ機能に関する情報が表示されます。

よくある問題とその解決方法

メモリ整合性を有効にしようとしたときに最もよくあるエラーの 1 つは、Windows が警告するものです。 互換性のないドライバー「互換性のないドライバーをチェック」をクリックすると、特定のリスト(通常は.sysまたは.infファイル)が表示される場合もありますが、何も表示されない場合もあり、原因を特定するのが非常に困難になることがあります。

この窮地から抜け出すには、まずハードウェアが必要な仮想化機能と互換性があることを確認し、 BIOS/UEFIで仮想化が有効になっていますハイパーバイザーのサポートがなく、これらのオプションが有効になっていない場合、VBSとメモリ整合性は正しく機能しません。

そこから、チップセット、グラフィック、ストレージデバイス、ネットワークなど、すべての重要なドライバーを確認して更新することを強くお勧めします。メーカーは通常、強化された整合性ポリシーに対応した、またはWindows 11のVBSとの互換性の問題を修正した新しいバージョンをリリースします。

ドライバーが特に古い場合や出所が不明な場合は、Windows Update や製造元の Web サイトから最新バージョンを入手できないことがあります。そのような場合は、次の点を考慮する必要があります... 完全にアンインストールする 問題のあるドライバーを特定し、汎用または最新の代替ドライバーに置き換えてください。場合によっては、デバイスマネージャーを使用して非表示のデバイスを表示し、疑わしいドライバーを個別に確認する必要があります。

メモリ整合性を有効にした後にドライバのロードに失敗したり、ランタイムクラッシュを引き起こしたりする場合は、この環境に適合した適切な署名付きバージョンを確認するという方法もあります。そのようなバージョンが存在しない場合は、システムを危険にさらすよりも、その特定のハードウェアまたはソフトウェアの使用を断念する方が賢明かもしれません。

  Windows 11でUSB MIDIドライバーをインストールして設定する方法

システムに問題が発生した場合の復旧

まれなケースではありますが、VBSとメモリ整合性を有効にすると、起動時に重大なエラーが発生したり、ブルースクリーンが繰り返し表示されたりするなど、コンピュータの動作が不安定になることがあります。このような場合、コンピュータの制御を失うことなく、これらの設定を元に戻す方法を知っておくことが重要です。

まず最初にすべきことは、 グループポリシーまたはポリシー これは、VBSの有効化とメモリ整合性の確保を強制するために使用されていました。GPO、スタートアップスクリプト、またはMDMポリシーによってこの設定が適用されている場合は、システムが復旧後に再度適用しないように、設定を元に戻す必要があります。

次に、コンピュータを起動します。 Windows回復環境(Windows RE)そこから、コンソールを開いたり、システムを復元したり、アップデートをアンインストールしたり、メインの Windows 環境に起動せずにレジストリを変更したりできる高度なオプションにアクセスできます。これは、問題によって通常の起動が妨げられている場合に非常に便利です。レジストリを変更する前に、 レジストリのバックアップ.

Windows RE に入ると、レジストリ内のメモリ整合性を制御する値を直接変更できます。たとえば、HypervisorEnforcedCodeIntegrity キーの Enabled 値を 0 に設定して無効にすることができます。この調整を行った後は、単に デバイスを再起動します そうすれば、システムは問題のある機能を使わずに再起動するだろう。

こうした操作は慎重に行う必要があるが、互換性のないドライバやハードウェアとセキュリティポリシーの不適切な組み合わせによって機器が起動ループに陥ってしまった場合には、効果的な解決策となる。

Hyper-V 仮想マシンのメモリ整合性

メモリの完全性は物理的な機器に限ったものではありません。 仮想マシンを保護する Hyper-Vで作成されたこの機能は、ゲストシステムにセキュリティ層を追加します。仮想マシン内で有効にする手順は、物理マシンでの手順とほぼ同じです。VBSの設定、カーネル分離の有効化、Windowsセキュリティからのメモリ整合性の有効化を行います。

このシナリオでは、メモリ整合性によって、物理PCと同様に、ゲスト仮想マシン内で実行されるマルウェアから保護されます。ただし、ホスト管理者から仮想マシンを保護するものではありません。Hyper-V管理者は、Set-VMSecurityコマンドレットにVirtualizationBasedSecurityOptOutオプションを指定するなどして、特定の仮想マシンのメモリ整合性を無効にすることができます。

これらすべてが機能するためには、Hyper-Vホストが特定の要件を満たしている必要があります。 最小要件ゲスト環境でVBSを実行するには、少なくともWindows Server 2016またはWindows 10バージョン1607以降を実行している必要があります。それ以前のバージョンでは、ゲスト環境でVBSを実行するために必要なコンポーネントがすべて揃っていないためです。さらに、仮想マシンは第2世代仮想マシンであり、少なくともWindows Server 2016またはWindows 10を実行している必要があります。

メモリの整合性を有効にすることが可能です。 ネストされた仮想化これにより、Hyper-Vロールを仮想マシン自体にインストールできるようになり、より多くの仮想マシンを作成することが可能になります。そのためには、まずそのマシン上でWindowsのネストされた仮想化環境を準備する必要があります。

考慮すべき重要な制限事項がいくつかあります。仮想ファイバーチャネルアダプタはメモリ整合性をサポートしていないため、VMに接続する前に、`Set-VMSecurity`コマンドレットを使用して仮想化ベースのセキュリティから除外する必要があります。また、メモリ整合性を使用している場合、パススルーディスクでは`AllowFullSCSICommandSet`オプションはサポートされていません。このオプションが必要な場合は、マシンをVBSから除外する必要があります。

要約すると、メモリの完全性は、 仮想化環境ただし、Hyper-Vのハードウェアおよび構成上の制限事項を遵守することが条件となります。

最終的に、Windows 11 のカーネル分離とメモリ整合性は、特に高度なカーネル標的攻撃に対するシステムセキュリティを強化するための強力な組み合わせとなります。ただし、これらには条件があります。互換性のあるハードウェアが必要であり、パフォーマンスへの影響を覚悟する必要があり、完全に適合しないドライバーに対処する準備も必要です。PC を主にブラウジング、ドキュメントの管理、企業ネットワークへの接続、または機密データの処理に使用する場合は、これらの機能を有効にしておくことが非常に理にかなっています。ぜひ当社の セキュリティの秘密ゲームのフレームレートを最大限に引き出すことや、限られたリソースのコンピューターで最大限のパフォーマンスを発揮することが最優先事項であれば、それらを無効にするか、その時々でどのように使用するかに応じて切り替える方が良いでしょう。

コア分離 Windows 11
関連記事:
Windows 11のコア分離について:セキュリティ、メリット、問題点