Credential Guard（クレデンシャルガード）

2025年10月31日

Credential Guard（クレデンシャルガード）

英語表記: Credential Guard

概要

Credential Guard（クレデンシャルガード）は、マイクロソフトのデスクトップOSであるWindowsに搭載されている、非常に高度なセキュリティ機能の一つです。特に、機密性の高い資格情報（パスワードのハッシュ値やKerberos認証チケットなど）を、悪意のあるソフトウェアによる盗難から保護することを目的としています。この機能は、Windows OSのセキュリティ機能の中でも、最前線で働く防御機構として位置づけられています。

具体的には、Windowsの「仮想化ベースのセキュリティ（VBS: Virtualization-based Security）」技術を利用し、OSの他の部分から隔離された安全な環境で資格情報を管理します。これにより、従来のシステムでは防ぎきれなかった高度なメモリ攻撃、例えば「Pass-the-Hash（PtH）攻撃」などに対する防御力を飛躍的に向上させているのが最大の特徴です。Windows OSのセキュリティレイヤーを根本的に強化する、非常に重要な仕組みだと理解してください。

詳細解説

Credential GuardがなぜデスクトップOS（Windows OS）のセキュリティにおいて重要なのかを詳しく見ていきましょう。

目的と背景：高度な脅威への対応

Credential Guardが開発された背景には、従来のセキュリティ対策では防ぎきれない、メモリ内の資格情報を狙う高度な攻撃手法の台頭があります。特に、Windows OSで認証情報を管理する重要なプロセスであるLSA（Local Security Authority：ローカルセキュリティ機関）のメモリ領域を直接読み取ることで、ユーザーのパスワードハッシュやKerberosチケットを盗み出す攻撃が深刻化しました。これらの情報が盗まれると、攻撃者はパスワードを知らなくても、その情報を使ってネットワーク内の他のシステムへ自由にアクセスできるようになってしまいます。

Credential Guardの目的は、このLSAが管理する機密性の高い資格情報（LSAシークレット）を、攻撃者が到達できない「隔離された領域」に退避させることです。

動作原理：VBSによるLSAの隔離

Credential Guardの中核をなすのは、Windows 10以降のOSで利用可能になった「仮想化ベースのセキュリティ（VBS）」技術です。VBSは、ハイパーバイザー（Hyper-V）の機能を利用して、OS自体から独立した、非常に信頼性の高い仮想環境（セキュアワールド）を作り出します。

Credential Guardが有効化されると、LSAの機能のうち、資格情報を扱う部分（LSAシークレット）だけがこのセキュアワールドに移されます。この隔離された環境は、通常のWindowsカーネルや、管理者権限を持つプロセス、さらにはカーネルモードで動作するマルウェアからもアクセスすることができません。

分離: LSAの機密データが、通常のOS環境（ノーマルワールド）からVBSによって保護されたセキュアワールドへ移動します。
保護: セキュアワールド内のLSAプロセスは、通常のLSAと通信しますが、資格情報の実体はセキュアワールド内から決して外に出ません。
防御: たとえ攻撃者がOS全体を乗っ取ったとしても、ハイパーバイザーレベルで分離されているため、資格情報が格納されているセキュアワールドのメモリを読み取ることは極めて困難になります。

このように、Credential Guardは、Windows OSの最も機密性の高い部分を、OS自体から切り離して保護するという、非常に強力なアーキテクチャを採用しています。これにより、デスクトップ環境におけるセキュリティレベルが格段に向上しているのです。

Windows OSにおける位置づけ

この機能は、デスクトップOS（Windows）の中でも特にエンタープライズ環境や高度なセキュリティが求められる環境で必須とされる機能です。Windows OSの「セキュリティ」カテゴリにおいて、従来のファイアウォールやアンチウイルスソフトが「外部からの侵入を防ぐ」役割だとすれば、Credential Guardは「侵入された後の被害を最小限に抑える」ための、内部防衛の要と言えるでしょう。

具体例・活用シーン

Credential Guardの仕組みは少し複雑に聞こえるかもしれませんが、その効果は非常に具体的で、初心者の方にも理解しやすいメタファーで説明できます。

鉄壁の金庫室のメタファー

あなたのパスワードやKerberosチケットは、非常に価値のある「秘密の鍵」だと考えてください。従来のWindows OSでは、この鍵は銀行の支店（LSAプロセス）の金庫室（OSのメモリ）に保管されていました。金庫室は頑丈でしたが、もし強盗（マルウェア）が支店長（管理者権限）を脅して金庫室の鍵を手に入れたら、簡単に鍵を盗めてしまいました。

Credential Guardが導入されると、この「秘密の鍵」は、銀行の敷地の外、独立した場所にある「ハイパーバイザーが守る特別な金庫室」に移されます。

通常のOS: 銀行の建物全体。
VBS: 銀行の敷地を囲む、独立したセキュリティシステム。
隔離されたLSA: 特別な金庫室。

強盗が銀行の建物（通常のOS）に侵入し、支店長を脅しても、鍵は別の場所にある金庫室に保管されているため、強盗は手ぶらで終わります。通常のOSやアプリケーションは、この金庫室に直接アクセスする手段を持たず、鍵が必要な場合は、特別な手続き（VBSを経由した安全な通信）を通してのみ、一時的に利用できる仕組みになっています。

活用シーン

ドメイン環境でのセキュリティ強化: 企業内でActive Directoryを利用している場合、従業員のPCにCredential Guardを適用することで、ネットワーク全体のセキュリティが向上します。一台のPCがマルウェアに感染しても、そのPCから他のサーバーへのアクセスに必要な認証情報（Kerberosチケット）が盗まれるリスクが激減するため、感染の水平展開（Lateral Movement）を防ぐ強力な手段となります。
リモートワーク環境での保護: 社外で利用されるPCは、社内ネットワークに比べて攻撃に晒されやすい傾向があります。Credential Guardが有効であれば、VPN接続などで社内リソースにアクセスする際の資格情報が、ローカルPCの脆弱性によって盗まれることを防ぎます。
高度なマルウェア対策: 特に国家レベルのサイバー攻撃や、ターゲットを絞った標的型攻撃で利用されるような、OSカーネルレベルに潜り込むマルウェアに対しても、VBSによる分離のおかげで、Credential Guardは有効な防御を提供します。

私たちは、この機能によって、Windows OSが単なる使いやすいデスクトップ環境であるだけでなく、非常に強固なセキュリティ基盤を提供していることを再認識すべきだと思います。

資格試験向けチェックポイント

Credential Guardは、基本情報技術者試験や応用情報技術者試験の「情報セキュリティ」分野において、特に「OSの高度な防御機能」や「認証情報の保護」に関連して出題される可能性があります。ITパスポート試験では、より基本的な概念理解が求められるでしょう。

| 試験レベル | キーワードと学習ポイント |
| :— | :— |
| ITパスポート | 「Windowsのパスワード盗難防止機能」として、その目的（資格情報の保護）と、従来の対策では防げなかった攻撃（Pass-the-Hashなど）への対応策であることを理解しておきましょう。 |
| 基本情報技術者 | VBS (仮想化ベースのセキュリティ) との関連性を理解することが重要です。Credential GuardがVBSを利用してLSA（ローカルセキュリティ機関）の機密情報を「隔離」しているという動作原理を問われる可能性があります。 |
| 応用情報技術者 | より具体的な攻撃手法との関連を問われます。「Pass-the-Hash (PtH) 攻撃」や「Kerberosチケットの保護」に対する防御策として、Credential Guardの有効性を説明できるように準備してください。また、この機能がWindows OSのどのエディション（通常はEnterprise/Pro版）で利用可能か、有効化にハードウェア要件（Hyper-V対応など）がある点も押さえておくと完璧です。 |

試験対策のヒント:
Credential Guardが保護する対象は「資格情報の実体」であり、保護の手段は「仮想化による隔離」です。この二点を結びつけて覚えておくと、応用的な問題にも対応しやすくなります。