概要
Credential Guard(資格情報ガード)は、Microsoft Windows 10およびWindows 11に搭載されている高度なセキュリティ機能であり、OSの核心部分である「資格情報(パスワードハッシュやKerberosチケットなど)」を、通常のOS領域から切り離して保護することを目的としています。
従来のWindowsでは、ユーザーの認証情報を管理する「LSA(Local Security Authority:ローカルセキュリティ権限)」というプロセスが、メインのメモリ空間(カーネルモード)で動作していました。しかし、この構造には致命的な弱点がありました。管理権限を持つ攻撃者がシステムに侵入した場合、「Mimikatz」などのツールを用いてメモリ上のLSAからパスワードハッシュを直接抽出でき、「Pass-the-Hash」攻撃と呼ばれる手法で他のサーバーやPCへなりすましアクセスすることが可能だったのです。
Credential Guardはこの問題を解決するため、「仮想化ベースのセキュリティ(VBS: Virtualization-Based Security)」を採用しています。具体的には、Windowsのハイパーバイザー(Hyper-V)を利用して、OS本体とは完全に独立した「隔離された仮想コンテナ(Isolated User Mode)」をメモリ上に構築します。
この隔離領域に「LSA Iso(LSA Isolated)」という軽量なプロセスを配置し、実際の機密情報はここでのみ管理されます。メインのWindows OS(ホストOS)側にあるLSAは、単なる「プロキシ(仲介役)」として機能し、機密データへの直接的なアクセス権を持ちません。これにより、万が一Windowsカーネルが侵害されたとしても、攻撃者は仮想化の壁に阻まれ、隔離領域に保存された資格情報を盗み出すことができなくなります。
Credential Guardを完全に動作させるには、単なるソフトウェアの設定だけでなく、CPUおよびマザーボードレベルでのハードウェア支援が不可欠です。自作PCを構築する際、これらの設定を誤ると機能が有効にならず、セキュリティレベルが低下します。
Credential GuardおよびVBSを有効にした環境で、パフォーマンス低下を感じることなく快適に動作させるためには、十分なリソースが必要です。特にVBSはメモリの一部を隔離領域として確保するため、メモリ容量に余裕を持たせることが重要です。
| 項目 | 最小要件 | 推奨スペック (ハイエンド自作PC) |
|---|
| 備考 |
|---|
| CPU | 64-bit CPU w/ Virtualization | AMD Ryzen 9 9950X 等 (Zen 5) | VT-x/AMD-V必須 |
| メモリ容量 | 4GB (OS最小) | 32GB 以上 | VBSによるメモリ確保分を考慮 |
| メモリ規格 | DDR4 | DDR5-6000 (1.2V) | 低レイテンシモデルを推奨 |
| ストレージ | HDD/SSD | NVMe Gen4/Gen5 SSD | ページファイルへのアクセス速度が影響 |
| セキュリティチップ | TPM 2.0 | fTPM / dTPM 2.0 | CPU内蔵(fTPM)で十分 |
| 電源容量 | システム依存 | 850W 〜 1200W (ATX 3.0/3.1) | 12VHPWR対応電源を推奨 |
Credential Guardの基盤となるVBS(Virtualization-Based Security)は、非常に強力なセキュリティを提供しますが、一方でシステムリソースへの影響(オーバーヘッド)が議論の的となります。
VBSを有効にすると、CPUは「特権レベル」をさらに細分化して管理します。通常、OSカーネルは最高権限で動作しますが、VBS環境下ではハイパーバイザーがその上に君臨し、メモリへのアクセスを厳格に制御します。この「階層の追加」により、メモリ参照時にわずかな遅延が発生します。
特に影響が出やすいのは以下のケースです。
最新のハードウェアであれば、この影響は極めて軽微です。例えば、Intel Core Ultra 200Sシリーズ (Arrow Lake) や Ryzen 9000シリーズ のような次世代アーキテクチャでは、ハードウェアレベルで仮想化効率が向上しており、VBS有効化によるパフォーマンス損失はほぼ無視できるレベルにまで抑えられています。
また、以下の設定を確認することで、セキュリティと速度のバランスを最適化できます。
Credential Guardは、Windows 11 Pro/Enterpriseエディションではデフォルトで有効になっていることが多いですが、自作PCでクリーンインストールした直後や、特定の構成では手動での確認・設定が必要です。
OS側で設定を有効にする前に、マザーボードのBIOSで以下の項目を「Enabled」にする必要があります。
「Windows セキュリティ」アプリを開き、「デバイス セキュリティ」 $\rightarrow$ 「コア分離」を確認してください。「メモリ整合性(HVCI)」がオンになっていれば、VBS基盤が動作しており、Credential Guardが機能する準備が整っています。
企業環境や高度な管理を行いたい場合は、グループポリシーエディター(gpedit.msc)から詳細な設定が可能です。
コンピューターの構成 $\rightarrow$ 管理用テンプレート $\rightarrow$ システム $\rightarrow$ Device Guard $\rightarrow$ 仮想化ベースのセキュリティの有効化PCセキュリティのトレンドは、ソフトウェアによる防御から「ハードウェアに深く統合されたセキュリティ」へと移行しています。Credential Guardもその流れの中にあります。
2025年、2026年にかけて普及が加速するのが「Microsoft Pluton」です。これは従来のTPMをCPUダイの中に直接統合したセキュリティプロセッサです。 従来のTPMはCPUと外部バスで通信していたため、物理的なプローブ攻撃(バスを傍受してキーを盗む手法)のリスクがわずかに存在していましたが、PlutonはCPU内部で完結しているため、Credential Guardが利用する秘密鍵の漏洩リスクを極限まで低減します。
次世代の「AI PC」では、NPU(Neural Processing Unit)が搭載されています。今後のアップデートでは、AIを用いてメモリ上の異常なアクセスパターンをリアルタイムで検知し、Credential Guardの隔離領域への不正アクセスを未然に防ぐ「AI駆動型セキュリティ」の導入が期待されています。
Qualcomm Snapdragon X EliteなどのARMベースのWindows PCが普及することで、Credential Guardの仕組みも進化しています。ARM CPUはもともと仮想化効率が高く、電力消費を抑えつつ強力な隔離環境を構築できるため、ノートPCにおけるVBSのオーバーヘッド問題は解消に向かっています。
2025年以降にPCを新調する場合、以下のスペックを基準に選定することをお勧めします。
Credential Guardは、もはや「オプション」ではなく、現代のサイバー攻撃から身を守るための「必須インフラ」となりました。ハードウェアの性能向上により、セキュリティとパフォーマンスのトレードオフは解消されつつあります。
Q1: Credential Guardを有効にすると、ゲームのFPSが大幅に下がりますか? A1: 現代のハイエンドCPU(例:Core i9-14900KやRyzen 9 7950X)を使用している場合、影響は数%程度であり、体感できる差はほとんどありません。ただし、メモリ容量が少ないPCでは、VBSがメモリを占有するため、スタッタリング(カクつき)が発生する可能性があります。32GB以上のメモリを搭載することを推奨します。
Q2: 外付けのTPMモジュールを購入して取り付ける必要がありますか? A2: いいえ、必要ありません。最近のほとんどのCPU(Intel Core 8世代以降、AMD Ryzen 2000シリーズ以降)には、「fTPM」や「PTT」と呼ばれるファームウェアベースのTPM機能が内蔵されています。BIOS設定でこれを有効にするだけで、Credential Guardの要件を満たすことができます。
Q3: Credential Guardを無効にすることは可能ですか? A3: はい、可能です。グループポリシーやレジストリ、またはWindowsセキュリティの「コア分離」設定からオフにできます。ただし、これにより「Pass-the-Hash」などの攻撃に対する脆弱性が高まるため、セキュリティリスクを許容できる環境(完全にオフラインの検証機など)以外では、有効にしておくことを強く推奨します。