Windowsのセキュリティ機能である「メモリ整合性 (Memory Integrity)」を有効にしようとした際に、オンにできないトラブルに悩まされる方は少なくありません。仮想化を活用した高度なセキュリティ機能だけに、ハードウェアやドライバーの相性、BIOS/UEFIの設定など、チェックすべき項目が多岐にわたります。この記事では、メモリ整合性の仕組みと要件を丁寧に解説するとともに、実際にオンにするための具体的なステップをご紹介します。セキュリティ機能を最大限に活用して、Windows環境を安心してお使いいただくための参考にしてください。
メモリ整合性 (Memory Integrity) とは
メモリ整合性は、Windows 10以降の「コア分離 (Core Isolation)」機能の一部として提供されるセキュリティ機能であり、仮想化を活用してOSカーネルの重要なプロセスを保護します。具体的には、信頼できないコードがカーネル領域へ侵入することを防ぐため、ハイパーバイザーによるコード整合性のチェックを厳格に行います。これにより、悪意のある攻撃者がドライバーやシステムメモリを改ざんしようとした場合でも、保護領域に隔離されたカーネルは安全を保てます。
なぜ重要なのか
メモリ整合性を有効にしておくと、カーネルレベルのマルウェアやルートキットなどの深刻な攻撃に対して、より強固な防御が可能となります。ウイルス対策ソフトだけでは検知しづらい攻撃経路を制限するため、セキュリティレベルを高めるうえで非常に有効です。
オンにできない理由とは?
メモリ整合性がオンにならない理由の多くは、ハードウェアの要件を満たしていない、ドライバーが対応していない、あるいはBIOS/UEFI設定で仮想化機能がオフになっている、などが考えられます。また、一度オンにできたとしても、ドライバーを更新する際に不具合が起きて再度オフになるケースも存在します。
ハードウェア要件の詳細
メモリ整合性の前提となる「Virtualization-based Security (VBS)」を有効にするためには、以下のハードウェア要件をすべて満たす必要があります。これらがひとつでも満たされていないと、機能をオンにしようとしてもエラーが起こり、有効化できません。
CPU と仮想化テクノロジー
- 64ビットCPUであること
- Intel VT-x(仮想化拡張機能)または AMD-V が有効
- セカンドレベルアドレス変換 (SLAT) 対応(Intel EPT または AMD RVI)
これらは主に最新のIntel CoreシリーズやAMD Ryzenシリーズなどで備わっていますが、BIOS/UEFIレベルで無効になっている場合があります。PC起動時にBIOS/UEFIの設定画面に入り、Intel Virtualization TechnologyやAMD-Vを有効化しましょう。
IOMMU (VT-d / AMD-Vi) のサポート
DMA(Direct Memory Access)を行う入出力デバイスに対して、IOMMUを経由させることでメモリへの不正アクセスを防止します。Intelプラットフォームでは「VT-d」、AMDプラットフォームでは「AMD-Vi」といった名称になっていることが多いので、BIOS/UEFIでこれらの設定がオンになっているか確認してください。
TPM 2.0
Windows 11のシステム要件でも必須になったTPM 2.0ですが、メモリ整合性にも重要です。多くのPCではファームウェアTPM(fTPM)が搭載されており、BIOS/UEFIでTPMを有効にしているか確認してください。物理的なTPMモジュールを搭載している場合は、ドライバーが正しくインストールされているかもポイントになります。
SMM 保護に対応したファームウェア
SMM (System Management Mode) は非常に高い権限を持つ特殊なCPUモードで、ファームウェアからの介入を行う領域です。Windowsの機能としては「Windows SMM Security Mitigations Table (WSMT)」の仕様をサポートしている必要があり、BIOS/UEFIのバージョンが古いと非対応の可能性があります。PCメーカーのサポートサイトで最新のファームウェアが公開されていないかチェックしてみましょう。
UEFI メモリマップの適切な実装
UEFIでは実行コード領域とデータ領域を分離し、正しい属性情報をOSに通知します。これによりOS側でメモリ保護を厳密に行うことが可能です。自作PCの場合や古いマザーボードの場合、UEFIのアップデートで対応が進んでいることがあるため、BIOS/UEFIの更新履歴も確認してみてください。
Secure MOR (Memory Overwrite Request) v2
UEFIセキュア変数を活用した「Secure MOR v2」対応も望まれます。これは物理メモリの上書きを正しく制御し、高度な攻撃を防ぐための仕組みです。PCメーカーによってサポート状況が異なるため、公式サイトで詳細を確認するか、問い合わせしてみるのも手段のひとつです。
ドライバーの互換性を確認する
メモリ整合性をオンにすると、ハイパーバイザーを介したコード整合性が厳格にチェックされます。その結果、一部の古いドライバーや署名が適切に行われていないドライバーがブロックされ、デバイスが正常に動作しないことがあります。以下のステップで問題ドライバーを洗い出しましょう。
Driver Verifier (ドライバー検証ツール) の活用
Windowsに標準搭載されているDriver Verifierを使うことで、問題を起こしそうなドライバーを検出できます。コマンドプロンプトを管理者権限で開き、以下のように入力してみてください。
verifier /standard /driver *.*上記コマンドを実行後、再起動すると問題のあるドライバーが特定される場合があります。もし特定のドライバーが原因でBSOD(ブルースクリーン)が発生するようであれば、そのドライバーのアップデートまたは削除を検討してください。
Windows Hardware Lab Kit (HLK) のテスト
企業などで大規模展開を行う場合、Microsoftが提供するWindows HLKを使うとより包括的なテストが可能です。特に「Hypervisor Code Integrity Readiness Test」を実行することで、ドライバーの互換性や仮想化機能が適切に機能しているかを検証できます。個人利用の場合は敷居が高いかもしれませんが、より深い検証を行いたい場合は選択肢に入れてみてください。
実機テストでの確認
最終的には、ドライバーに問題がないことを前提として、メモリ整合性を実際にオンにして動かしてみるのがもっとも確実です。オンにした状態で頻繁にエラーが出る場合は、やはり互換性のないドライバーが残っている可能性が高いので、デバイスマネージャーや製造元のサイトをチェックし、アップデートや削除を試みてください。
メモリ整合性を有効にする手順
要件を満たしたうえでドライバーの準備が整ったら、Windowsセキュリティの設定からメモリ整合性を有効化しましょう。以下はWindows 11を例とした手順ですが、Windows 10でもほぼ同様です。
手順一覧
| 手順 | 作業内容 | 詳細 |
|---|---|---|
| 1 | Windows セキュリティを開く | スタートメニューから「Windows セキュリティ」を選択 |
| 2 | デバイスセキュリティを選択 | 「ウイルスと脅威の防止」などと並んでいる項目の一つ |
| 3 | コア分離の詳細をクリック | 「デバイス セキュリティ」画面に表示されるリンク |
| 4 | メモリ整合性をオンにする | スイッチをオンにして再起動が必要なら画面の指示に従う |
| 5 | PCを再起動 | 再起動後にメモリ整合性がオンになっていることを確認する |
再起動のタイミングに注意
メモリ整合性をオンにした直後は、Windowsが再起動を促してくることが多いです。再起動前に作業中のファイルを必ず保存しておきましょう。また、再起動にやや時間がかかる場合がありますが、電源を切らずに待つことが大切です。
BIOS/UEFIの確認ポイント
メモリ整合性を有効にするには、BIOS/UEFI側で仮想化に関連する設定がオンになっていることが必須です。メーカーやマザーボードによって呼称や配置が異なるため、ユーザーマニュアルを確認するのがおすすめです。
主な設定例
| 設定項目 | Intelの場合 | AMDの場合 |
|---|---|---|
| 仮想化機能 | Intel Virtualization (VT-x) | SVM (Secure Virtual Machine) |
| IOMMU | VT-d | AMD-Vi |
| TPM 設定 | PTT (Platform Trust Technology) | fTPM |
| BIOS/UEFIセキュリティ関連の項目 | Secure Boot | Secure Boot |
上記はあくまで一例です。BIOS/UEFIによっては名称が異なる場合があります。また、一部の旧世代CPUやマザーボードでは、このような設定項目自体が存在しない、もしくはオンにしても不完全で機能しないケースがある点にご注意ください。
メモリ整合性がオンにならない場合のトラブルシューティング
すべての要件を満たしたはずなのに、なぜかオンにならない、あるいはオンにしても再起動後にオフに戻ってしまうケースがあります。以下のような対策を試すと改善されるかもしれません。
Windowsアップデートとドライバーの最新化
Windows自体が古いバージョンの場合、メモリ整合性関連の機能に不具合が残っている可能性があります。最新の累積アップデートを適用し、さらにドライバーを各デバイスメーカーが提供している最新版へアップデートしましょう。特にチップセットドライバーやグラフィックドライバーは、仮想化と関連性が高い場合があります。
不要なデバイスやソフトウェアのアンインストール
古い周辺機器やソフトウェアが紐付いたドライバーが残っている可能性があります。使っていないデバイスがある場合は、デバイスマネージャーや「プログラムと機能」などから完全にアンインストールしてみてください。また、VBS機能と相性の悪い一部のセキュリティソフトが動作していることも考えられますので、念のためセキュリティ関連ソフトの動作状況も確認しましょう。
UEFIのアップデート
PCメーカーやマザーボードメーカーによるUEFIアップデートで、メモリ整合性に関わる不具合が修正されている場合があります。特に最新のWindows 11対応をうたっているアップデートでは、セキュリティや仮想化に関連する更新が含まれていることが多いです。アップデートの手順はメーカーごとに異なるため、公式サイトの説明をしっかりと読んで実行してください。
レジストリ設定の確認
まれに、レジストリ設定が原因でメモリ整合性を有効化できないケースがあります。一般のユーザー向けにはあまり推奨されませんが、状況を把握するためにレジストリエディタを使用し、以下のようなキーの値が正しいかを確認する方法もあります。
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\DeviceGuard中にある「EnableVirtualizationBasedSecurity」「RequirePlatformSecurityFeatures」などの値が意図した設定になっているか確かめましょう。ただし、誤った編集はシステムに大きな影響を及ぼしますので、バックアップを取ってから行うことを強く推奨します。
Hyper-V 機能の競合に注意
Windows 10 Pro以上やWindows 11 Pro以上のエディションでは、Hyper-VやWSL2などの仮想化技術を同時に使用しています。通常は問題ありませんが、何らかの競合によってメモリ整合性がオフに戻されるケースもありえます。Hyper-Vを無効にしたり、WSL2をアンインストールしてみることで状況が改善するかをテストしてみるのも一案です。
まとめ:メモリ整合性を安定してオンにするために
メモリ整合性は、Windowsのセキュリティ水準を大幅に高めてくれる頼もしい機能です。オンにするとドライバーやハードウェアの要件が厳しくなるというデメリットもありますが、それだけシステムの安全性が向上します。安定してオンにするためには、以下のポイントをおさらいしておきましょう。
- ハードウェア要件を満たす:CPUの仮想化機能やIOMMU、TPM 2.0などが必須
- ドライバーの互換性を徹底検証:Driver Verifierや実機テストで問題を洗い出す
- BIOS/UEFI設定を最適化:仮想化関連機能をオンにし、最新のファームウェアを適用
- Windowsと各種ドライバーを最新に保つ:累積アップデートやデバイスメーカーの更新を定期的に確認
- 不要・古いドライバーやソフトはアンインストール:不明なデバイスが残っていないかチェック
これらを踏まえたうえで、Windowsセキュリティからメモリ整合性をオンにすれば、攻撃リスクを低減した堅牢なシステムを手に入れることができます。もしそれでもオンにできない場合は、再度要件をひとつずつ洗い直すか、PCメーカーのサポートや専門家への相談を検討してみてください。
コメント