適用対象: ✔️ Linux VM ✔️ Windows VM ✔️ フレキシブル スケール セット ✔️ 均一スケール セット
Azure では、 第 2 世代 仮想マシン (VM) のセキュリティを向上させるシームレスな方法として、トラステッド起動が提供されています。 トラステッド起動により、高度で永続的な攻撃手法から保護されます。 トラステッド起動は、個別に有効にできる、複数の連携するインフラストラクチャ テクノロジで構成されています。 テクノロジごとに、高度な脅威に対する防御の別のレイヤーが提供されます。
重要
- 信頼された起動は、新しく作成された Azure Gen2 VM とスケール セットの既定の状態です。 新しい VM で 信頼された起動 でサポートされていない機能が必要な場合 は、信頼された起動に関する FAQ を参照してください。
- 既存の VM では、作成後に信頼された起動を有効にすることができます。 詳細については、「既存の VM でトラステッド起動を有効にする」を参照してください。
- 既存の 仮想マシン スケール セット では、作成後にトラステッド起動を有効にすることができます。 詳細については、「既存の スケール セットで信頼された起動を有効にする」を参照してください。
メリット
- 検証済みのブート ローダー、オペレーティング システム (OS) カーネル、ドライバーを使用して VM を安全にデプロイします。
- VM 内のキー、証明書、シークレットを安全に保護します。
- ブート チェーン全体の整合性に関する分析情報と信頼が得られます。
- ワークロードが信頼され、検証可能であることを確認します。
仮想マシンのサイズ
| タイプ | サポートされているサイズ ファミリ | 現在サポートされていないサイズ ファミリ | サポートされていないサイズ ファミリ |
|---|---|---|---|
| 汎用 | B ファミリ、D ファミリ | Dpsv5 シリーズ、Dpdsv5 シリーズ、Dplsv5 シリーズ、Dpldsv5 シリーズ | A ファミリ、Dv2 シリーズ、Dv3 シリーズ、DC 機密ファミリ |
| コンピューティングの最適化 | F ファミリ、Fx ファミリ | サポートされているすべてのサイズ。 | |
| メモリの最適化 | E ファミリ, Eb ファミリ | M ファミリ | EC 機密ファミリ |
| ストレージの最適化 | L ファミリ | サポートされているすべてのサイズ。 | |
| GPU | NC ファミリ、ND ファミリ、NV ファミリ | NDasrA100_v4 シリーズ、NDm_A100_v4 シリーズ | NC シリーズ、NV シリーズ、NP シリーズ |
| ハイ パフォーマンス コンピューティング | HBv2 シリーズ、HBv3 シリーズ、HBv4 シリーズ、HC シリーズ、HX シリーズ | サポートされているすべてのサイズ。 |
注
- "セキュア ブート対応 Windows VM への CUDA および GRID ドライバー" のインストールでは、追加の手順は必要ありません。
- "セキュア ブート対応 Ubuntu VM への CUDA ドライバー" のインストールには、追加の手順が必要です。 詳細については、「Linux を実行している N シリーズ VM に NVIDIA GPU ドライバーをインストールする」を参照してください。 他の Linux VM に CUDA ドライバーをインストールするには、セキュア ブートを無効にする必要があります。
- Linux VM では、"GRID ドライバー" をインストールするには、セキュア ブートを無効にする必要があります。
- "サポートされていない" サイズ ファミリでは、第 2 世代 VM はサポートされていません。 トラステッド起動を有効にするために、VM サイズを同等の "サポートされるサイズ ファミリ" に変更します。
サポートされているオペレーティング システム
| オペレーティングシステム (OS) | バージョン |
|---|---|
| Alma Linux | 8.7、8.8、9.0 |
| Azure Linux | 1.0、2.0 |
| Debian | 11、12 |
| Oracle Linux | 8.3、8.4、8.5、8.6、8.7、8.8 LVM、9.0、9.1 LVM |
| RedHat Enterprise Linux | 8.4、8.5、8.6、8.7、8.8、8.9、8.10、9.0、9.1、9.2、9.3、9.4、9.5 |
| SUSE Enterprise Linux | 15SP3、15SP4、15SP5 |
| Ubuntu Server | 18.04 LTS、20.04 LTS、22.04 LTS、23.04、23.10 |
| Windows 10 | Pro、Enterprise、Enterprise マルチセッション * |
| Windows 11 | Pro、Enterprise、Enterprise マルチセッション * |
| Windows Server | 2016、2019、2022、2022-Azure-Edition、2025、2025-Azure-Edition* |
* この OS のバリエーションがサポートされています。
詳細
[地域]:
- すべてのパブリック リージョン
- すべての Azure Government リージョン
- すべての Azure China リージョン
価格: トラステッド起動によって既存の VM の価格コストが増えることはありません。
サポートされていない機能
現時点では、次の VM 機能は、トラステッド起動ではサポートされていません。
- Azure Site Recovery (Windows の一般提供、Linux のパブリック プレビュー)。
- マネージド イメージ (Azure Compute Gallery を使用することをお勧めします)
- Linux VM 休止状態
セキュア ブート
トラステッド起動の中核を成すのは、VM のためのセキュア ブートです。 プラットフォームのファームウェアに実装されているセキュア ブートにより、マルウェアベースのルートキットやブート キットがインストールされるのを防ぎます。 セキュア ブートの動作により、署名されたオペレーティング システムとドライバーだけでが起動できることが保証されます。 それにより、VM 上のソフトウェア スタックに対する "信頼のルート" が確立されます。
セキュア ブートが有効になっている場合、すべての OS ブート コンポーネント (ブート ローダー、カーネル、カーネル ドライバー) で、信頼できる発行元の署名が必要です。 セキュア ブートは、Windows と一部の Linux ディストリビューションの両方でサポートされています。 セキュア ブートで、イメージが信頼された発行元で署名されていることを認証できない場合、VM の起動に失敗します。 詳細については、「セキュア ブート」を参照してください。
vTPM
トラステッド起動では、Azure VM 用の仮想トラステッド プラットフォーム モジュール (vTPM) も導入されています。 この仮想化バージョンのハードウェア トラステッド プラットフォーム モジュールは、TPM2.0 仕様に準拠しています。キーと測定のためのセキュリティで保護された専用のコンテナーとして機能します。
トラステッド起動から VM には、どの VM からも到達できないセキュリティ保護された環境で実行されている、独自の専用 TPM インスタンスが提供されます。 vTPM により、VM のブート チェーン全体 (UEFI、OS、システム、ドライバー) を測定することで、構成証明が有効になります。
トラステッド起動により、vTPM を使用して、クラウド経由でリモート構成証明が実行されます。 構成証明はプラットフォームの正常性チェックを有効にし、信頼ベースの決定を行う際に使用されます。 正常性チェックとして、トラステッド起動により、VM が正常に起動したことを暗号によって認定できます。
プロセスが失敗した場合、承認されていないコンポーネントが VM で実行されていることが原因の可能性があり、Microsoft Defender for Cloud によって整合性アラートが発行されます。 そのアラートには、整合性チェックに合格しなかったコンポーネントの詳細が含まれます。
仮想化ベースのセキュリティ
仮想化ベースのセキュリティ (VBS) により、ハイパーバイザーを使用して、セキュリティで保護され、分離されたメモリ領域が作成されます。 Windows により、これらの領域を使用して、脆弱性や悪用に対する保護が強化されたさまざまなセキュリティ ソリューションが実行されます。 トラステッド起動を使用すると、ハイパーバイザーコード整合性 (HVCI) と Windows Defender Credential Guard を有効にすることができます。
HVCI は、悪意のある、または検証されていないコードの注入や実行から Windows カーネル モード プロセスを保護する、システムの強力な軽減策です。 実行前にカーネル モードのドライバーとバイナリがチェックされ、署名されていないファイルがメモリに読み込まれるのを防ぎます。 HVCI によって読み込みが許可された後に実行可能コードを変更できないことを確認します。 VBS と HVCI の詳細については、仮想化ベースのセキュリティとハイパーバイザーによって適用されたコード整合性に関するページを参照してください。
トラステッド起動と VBS を使用すると、Windows Defender Credential Guard を有効にすることができます。 Credential Guard によってシークレットが分離されて保護されることで、特権のあるシステム ソフトウェアのみがそれらにアクセスできるようになります。 これは、Pass-the-Hash 攻撃など、シークレットや資格情報の盗難攻撃に対する不正アクセスを防ぐのに役立ちます。 詳細については、Credential Guard に関する記事を参照してください。
Microsoft Defender for Cloud の統合
トラステッド起動は、VM が正しく構成されるようにするために、Defender for Cloud と統合されています。 Defender for Cloud により、互換性のある VM が継続的に評価され、関連する推奨事項が発行されます。
セキュア ブートの有効化の推奨: Secure Boot の推奨事項は、トラステッド起動をサポートする VM にのみ適用されます。 Defender for Cloud は、セキュア ブートが無効になっている VM を識別します。 それを有効にするように、重大度が低の推奨事項が発行されます。
vTPM を有効にするための推奨事項: VM に対して vTPM が有効になっている場合、Defender for Cloud はそれを使用してゲスト構成証明を実行し、高度な脅威パターンを特定できます。 Defender for Cloud が、vTPM を無効にして信頼された起動をサポートする VM を識別する場合は、それを有効にするための重大度の低い推奨事項を発行します。
ゲスト構成証明拡張機能のインストールに関する推奨事項: VM でセキュア ブートと vTPM が有効になっているが、ゲスト構成証明拡張機能がインストールされていない場合、Defender for Cloud によって、ゲスト構成証明拡張機能をインストールするように重要度が低の推奨事項が発行されます。 この拡張機能を使用すると、Defender for Cloud が、VM のブート整合性を事前に証明および監視できます。 ブート整合性がリモート構成証明によって証明されます。
構成証明の正常性の評価またはブート整合性の監視: VM でセキュア ブートと vTPM が有効になっていて、構成証明拡張機能がインストールされている場合、Defender for Cloud では VM が正常に起動したことをリモートで検証できます。 この方法は、ブート整合性の監視と呼ばれます。 Defender for Cloud により、リモート構成証明の状態を示す評価が発行されます。
VM がトラステッド起動を使用して適切に設定されている場合、Defender for Cloud では VM の正常性の問題を検出してアラートを発行できます。
VM 構成証明の失敗に関するアラート: Defender for Cloud により、VM での構成証明が定期的に実行されます。 構成証明は、VM が起動した後にも発生します。 構成証明が失敗した場合、重大度が中のアラートがトリガーされます。 VM の構成証明は、次の理由により失敗する可能性があります。
構成証明の対象の情報 (ブート ログを含む) が、信頼されたベースラインから逸脱している。 どの逸脱も、信頼されていないモジュールが読み込まれ、OS が侵害される可能性があることを示している可能性があります。
構成証明クォートが、構成証明対象の VM の vTPM からのものであることを確認できなかった。 検証されていないオリジンは、マルウェアが存在し、vTPM へのトラフィックを傍受している可能性があることを示します。
注
アラートは、vTPM が有効になっていて構成証明拡張機能がインストールされている VM で使用できます。 構成証明を成功させるには、セキュア ブートを有効にする必要があります。 セキュア ブートが無効になっている場合、構成証明は失敗します。 セキュア ブートを無効にする必要がある場合は、このアラートを抑制して擬陽性を回避することができます。
信頼されていない Linux カーネル モジュールのアラート: セキュア ブートが有効になっているトラステッド起動では、カーネル ドライバーが検証に失敗し、読み込みが禁止されている場合でも、VM を起動できます。 カーネル ドライバーの検証エラーが発生した場合、Defender for Cloud は重大度の低いアラートを発行します。 信頼されていないドライバーが読み込まれていないためすぐに脅威はありませんが、これらのイベントを調査する必要があります。 自問してみてください:
- どのカーネル ドライバーが失敗したか。 障害が発生したカーネル ドライバーのことをよく知っていて、それが読み込まれることを予測しているか。
- ドライバーの正確なバージョンは予想と同じですか? ドライバー バイナリは完全か。 失敗したドライバーがパートナー ドライバーの場合、パートナーは OS コンプライアンス テストに合格して署名を取得しましたか?
(プレビュー) 信頼できる起動 (デフォルト)
重要
トラステッドローンチのデフォルトは現在プレビュー段階です。 このプレビューは、テスト、評価、フィードバックのみを目的としています。 運用ワークロードは推奨されていません。 プレビューに登録する場合、 追加の使用条件に同意したことになります。 この機能の一部の側面は、一般公開 (GA) によって変更される可能性があります。
既定のトラステッド起動 (TLaD) は、新しい Gen2 仮想マシン (VM) と仮想マシン スケール セット (スケール セット) のプレビューで使用できます。
TLaD は、新しい Gen2 ベースの Azure VM と仮想マシン スケール セットのデプロイのセキュリティ体制を向上させる、高速でゼロタッチの手段です。 信頼された起動が既定の場合、クライアント ツール (ARM テンプレート、Bicep など) を使用して作成された新しい Gen2 VM またはスケール セットは、セキュリティで保護されたブートと vTPM が有効になっている Trusted Launch VM に既定で設定されます。
パブリック プレビュー リリースでは、すべての新しい Azure Gen2 VM、スケール セットについて、それぞれの環境でこれらの変更を検証し、この今後の変更に備えます。
注
任意のクライアント ツール (ARM テンプレート、Bicep、Terraform など) を使用するすべての新しい Gen2 VM、スケール セット、デプロイは、プレビューへのオンボード後の信頼された起動に既定で設定されます。 この変更により、デプロイ コードの一部として提供される入力はオーバーライドされません。
TLaD プレビューを有効にする
仮想マシン サブスクリプションのTrustedLaunchByDefaultPreview名前空間の下でMicrosoft.Computeプレビュー機能を登録します。 詳細については、「Azure サブスクリプションでのプレビュー機能の設定」を参照してください。
信頼された起動の既定値を使用して新しい Gen2 VM またはスケール セットを作成するには、Azure SDK、Terraform、または Azure portal、CLI、または PowerShell ではない別の方法を使用して、既存のデプロイ スクリプトをそのまま実行します。 登録されたサブスクリプションで作成された新しい VM またはスケール セットは、信頼された起動 VM または仮想マシン スケール セットになります。
TLaD プレビューを使用した VM とスケールセットのデプロイ
既存の動作
信頼された起動 VM とスケール セットを作成するには、デプロイに次の securityProfile 要素を追加する必要があります。
"securityProfile": {
"securityType": "TrustedLaunch",
"uefiSettings": {
"secureBootEnabled": true,
"vTpmEnabled": true,
}
}
デプロイ コードに securityProfile 要素がない場合、信頼された起動を有効にせずに VM とスケール セットがデプロイされます。
例
- vm-windows-admincenter – Azure Resource Manager (ARM) テンプレートは、信頼された起動を有効にせずに Gen2 VM をデプロイします。
- vm-simple-windows – ARM テンプレートは信頼された起動 VM をデプロイします (既定では、
securityProfileは ARM テンプレートに明示的に追加されません)
新しい動作
API バージョン 2021-11-01 以降を使用し、 プレビューにオンボードすると、デプロイに securityProfile 要素がない場合、次の条件が満たされた場合にデプロイされた新しい VM とスケール セットへの信頼された起動が既定で有効になります。
- ソース Marketplace OS イメージは、信頼された起動をサポートしています。
- ソース ACG OS イメージは、信頼された起動をサポートし、検証されます。
- ソース ディスクでは、信頼された起動がサポートされています。
- VM サイズでは、信頼された起動がサポートされます。
一覧に示されている条件の 1 つ以上を満たしておらず、トラステッド起動なしで新しい Gen2 VM とスケール セットの作成が正常に完了した場合、デプロイは既定で [トラステッド起動] に設定されません。
パラメーター securityTypeの値としてStandardを設定することで、VM とスケール セットのデプロイの既定値を明示的にバイパスするように選択できます。 詳細については、「 新しい VM デプロイで信頼された起動を無効にできますか」を参照してください。
既知の制限事項
プレビューへの登録後、信頼された起動の既定値をバイパスできず、Azure portal を使用して Gen2 (非信頼起動) VM を作成できません。
プレビューにサブスクリプションを登録した後、Azure portal でセキュリティの種類を Standard に設定すると、VM またはスケール セットが Trusted launchデプロイされます。 この制限は、トラステッド起動の既定の一般提供の前に対処されます。
この制限を軽減するには、特定のサブスクリプションの名前空間の下にある機能フラグTrustedLaunchByDefaultPreviewMicrosoft.Compute削除することで、プレビュー機能の登録を解除できます。
![ポータルの [セキュリティの種類] ドロップダウンのスクリーンショット。](media/trusted-launch/00-trusted-launch-default-portal-limitation.png#lightbox)
信頼された起動に既定設定した後、サポートされていない信頼された起動 VM サイズファミリ(例えば M シリーズ)に VM または VMSS のサイズ変更はできません。
信頼された起動 VM のサイズを 、信頼された起動でサポートされていない VM サイズ ファミリ に再サイズ変更することはサポートされません。
軽減策として、使用可能なクライアント ツール (Azure portal を除く) を使用してsecurityType = Standardを設定して、Microsoft.Compute名前空間の下に機能フラグ UseStandardSecurityTypeを登録し、VM を信頼された起動から Gen2 専用 (非信頼起動) にロールバックしてください。
TLaD プレビューのフィードバック
信頼できるローンチの既定プレビューフィードバックアンケートにて、今回の変更に関するご意見、ご質問、ご不安がございましたら、お気軽にお問い合わせください。
TLaD プレビューを無効にする
TLaD プレビューを無効にするには、仮想マシン サブスクリプションの名前空間でプレビュー機能TrustedLaunchByDefaultPreviewMicrosoft.Compute登録を解除します。 詳細については、「プレビュー機能の登録解除」を参照してください。
関連するコンテンツ
トラステッド起動 VM をデプロイする。