このページでは、メモリ整合性の詳細と、「オフ」にしても大丈夫なのか?をメリットとデメリットを交えてわかりやすく説明します。
メモリ整合性とは
Windows 10/11 の「メモリ整合性」とは、コア分離のサブ機能の一つであり、ハイパーバイザーで保護されたコード整合性 (HVCI) とも呼ばれている Windows セキュリティ機能です。
コア分離は、Windows OS の重要なシステムプロセスをメモリ内で分離し、マルウェアやランサムウェアなどの悪意のあるソフトウェアから保護します。
コア分離は、ハードウェア仮想化技術を使用して実現されており、「メモリ整合性」を「オン」にすると、悪意のあるコードが重要なシステムプロセスに不正にアクセスしたり、改ざんしたりするのを防ぐことができます。
メモリ整合性は「オフ」でも大丈夫なのか?
メモリ整合性を「オフ」にした場合、危険なコードが含まれるドライバーを気付かずにインストールしてしまう危険性があり、悪意のある者がコンピューターを乗っ取りやすくなります。
わかりやすく言うと、次のような場合は PC が危険にさらされる可能性があります。
- 信頼できない場所からダウンロードした署名されていないドライバーをインストールした場合
- 互換性のないドライバーをインストールした場合
- ドライバーを含む一部のソフトウェアをインストールした場合
通常、Windowsにインストールされるドライバーは、Microsoft によってデジタル署名されています。この署名は、ドライバーが改ざんされていないこと、そして信頼できるものであることを証明するものです。
一方、署名されていないドライバーとは、このデジタル署名がないドライバーのことです。
上記の理由から、メモリ整合性は「オン」にしておくことを強くおすすめします。
一部の環境ではメモリ整合性を「オフ」にしても問題ない
次の場合は「オフ」でも問題ないでしょう。
- ゲームしかしない(信頼できる場所からダウンロードしたゲーム)
- セキュリティがしっかりしている
- リアルタイム保護機能のあるセキュリティソフト(Windows セキュリティを含む)が実行されており、常に最新の状態である
- メール等で第三者とファイルの送受信をしない
- PC で使用する USBメモリ等の記録媒体を第三者と共有しない
- 安全な場所からダウンロードしたソフトウェアやドライバーのみを使用している
- 使用している Windows のバージョンのサポートが終了していない
- 最新の累積更新プログラムを適用している
- 第三者が PC に触れることがない
「第三者」が信頼できる相手であっても、相手の PC がウイルスに感染していた場合、共有したファイルが改ざんされている場合があります。
もしも、ご自身でダウンロードしたソフトウェアやドライバーが安全であるかどうかを判断できない場合、上記の 1つでも当てはまらない場合は「オン」にしておくことをおすすめします。
メモリ整合性を「オン」にするメリット
Windows 10/11 では、「メモリ整合性」は既定で「オン」になっています。
「メモリ整合性」を「オン」にすることで悪意のあるプログラム(互換性のないドライバー)はブロックされ、PC を攻撃から守ります。
ドライバーとは、コンピューターとデバイスとの通信を可能にする特別なプログラム(ソフトウェア)です。
簡単に言うと、ドライバーがなければすべてのデバイスは正常に動作することができません。
「メモリ整合性」の機能を簡単に例えると、鍵のかかった倉庫に警備員がいるように、攻撃者がこの倉庫内のものを改ざんしようとしても、非常に優秀な警備員が改ざんを防いでくれます。
「メモリ整合性」が「オフ」の場合、鍵をこじ開ければ好き放題改ざんできてしまいます。
警備員(メモリ整合性機能)は攻撃者(プログラム)をチェックし、実行されるコードに危険性の疑いがあると判断すれば防ぎ、安全であると判断した場合は実行を認めます。(通常、このやり取りは非常に短時間で行われます)
企業などの PC や少しでもセキュリティを強化したい方は「オン」にしておくことをおすすめします。
Windows 10/11 メモリ整合性をオンにできない場合の対処法
メモリ整合性を「オン」にするデメリット
メモリ整合性を「オン」にすればセキュリティが強化されますが、一方でスペックの低い PC ではパフォーマンスが落ちる可能性があります。
- 多くのアプリケーションとの競合が起こる可能性がある
- メモリーの使用量が高くなる
- システム全体のパフォーマンスが落ちる
- 一部の互換性のないドライバーがインストールできなくなる
特にゲームをする環境ではパフォーマンスが著しく落ちる可能性があります。
また、「メモリ整合性」を「オン」にした場合、互換性のないドライバーはブロックされるため、一部のアプリケーションや古いデバイスが使用できなくなる可能性があります。
メモリ整合性を「オフ」にする方法
上でも説明したように、メモリ整合性は「オン」にしておくことをおすすめします。
しかし、一部のアプリケーションやデバイスが使用できなくなっては困るという場合は、次の手順で「オフ」にしてみてください。
※Windows 11 の画面で説明しますが、Windows 10 も操作方法は同じです。
1.タスクトレイ(通知領域)の Windows セキュリティのアイコンをクリックします。
2.左側または右側の「デバイスセキュリティ」をクリックします。
3.「コア分離」の下にある「コア分離の詳細」をクリックします。
4.「コア分離」の下にある「メモリ整合性」が「オン」になっていますので、クリックして「オフ」にします。
5.「ユーザーアカウント制御」が表示されたら「はい」をクリックします。
6.すると、「この変更を適用するにはデバイスを再起動してください。」と表示されますので、PC を再起動してください。
7.PC が起動すると、メモリ整合性は「オフ」になります。
メモリ整合性の「オン」「オフ」がグレーアウトされていて選択できない場合
一部の環境では、メモリ整合性の「オン」「オフ」の部分がグレーアウトされていて選択できない場合があります。
その場合は、レジストリを編集することで「オフ」にすることが出来ます。
レジストリの操作を間違えると、システムが起動できなくなるなどの不具合が起きる可能性があります。事前にシステムの復元などでバックアップを取り、自己責任で行うようお願いします。
- システムの復元ポイント作成方法及び復元方法
- レジストリエディタの開き方及びバックアップ方法
- Win10 レジストリの予備知識|概念、開き方、レジストリの内部構成
※Windows 11 のレジストリも基本は同じです。
1.Windowsキー + R を押して「ファイル名を指定して実行」を開き、「regedit」と入力して Enter を押します。
2.レジストリエディターが開きますので、次のキーを開きます。
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\DeviceGuard\Scenarios\HypervisorEnforcedCodeIntegrity
3.「HypervisorEnforcedCodeIntegrity」キーを選択した状態で、右側の「Enabled」と「(既定)」という値以外を右クリックし、「削除」をクリックします。
4.次に 「Enabled」をダブルクリックして開き、値のデータを「0」に変更して OK をクリックします。
5.レジストリエディターを終了して PC を再起動すると「メモリ整合性」が「オフ」になります。
コメント