headless 曰く、

Microsoftは21日、Windows 10に搭載される新機能「Device Guard」を発表した。Device Guardは、3月にWinHECで発表された生体認証機能を提供する「Windows Hello」および2要素認証機能を提供する「Microsoft Passport」とともに、Windows 10のセキュリティをエンタープライズ仕様にするものだという（Windows For Your Business、The Official Microsoft Blog、Slashdot）。

Device Guardは昨年、より高度なマルウェアからの保護を提供するため、企業などの組織がデバイスのロックダウンを可能にする機能として、名称を示さずにWindowsブログで紹介されていたもの。Device Guardでは信頼されたアプリ以外の実行をブロックすることで、マルウェアやゼロデイ攻撃から保護する。特定のベンダーやWindowsストアで署名されたものが信頼されたアプリとして扱われるほか、組織内で信頼するアプリに署名を入れることも可能だという。また、Device Guardが何を信頼できるソースとして扱うのかは、組織の側でコントロールできるとのこと。

マルウェアからユーザーを保護するため、アプリが実行される際にWindowsはそのアプリが信頼できるものかどうかを判定し、信頼できない場合はユーザーに通知する。Device Guardはハードウェア技術と仮想化を用い、Windows OSから分離された状態で判定機能を実行することで、攻撃者やマルウェアがシステム特権を取得できないように保護できるという。ただし、Device Guardにより従来のアンチウィルスソフトウェアが不要になるというものではなく、スクリプトベースの攻撃などDevice Guardが対応しない範囲を従来のアンチウィルスソフトウェアがカバーすることになるとのことだ。