Windowsに搭載されている「CNG Key Isolation」サービスは、暗号化キーの安全性を保つために欠かせない存在です。本記事では、その役割や設定方法、トラブル対処法を分かりやすく解説します。
目次
サービスの基本情報
- サービス名:CNG Key Isolation
- サービス名(内部名):KeyIso
- 実行ファイル:
%SystemRoot%\System32\lsass.exe - スタートアップの種類:手動(トリガー開始)
- 対応OS:Windows 10 / 11
サービスの概要
CNG Key Isolation は、CNG(Cryptography Next Generation)によるキー操作の一部を保護プロセスで実行することで、暗号化キーの漏洩リスクを軽減するためのサービスです。ユーザーキーやスマートカードなどの秘密情報の処理を、システムと隔離された安全なプロセスで行います。
主な用途と機能
- 暗号化キーの安全な生成と管理
キー操作を分離し、他のアプリケーションからアクセスされないように保護します。 - スマートカードベースの認証サポート
スマートカード使用時のPIN管理や暗号処理に使用されます。 - ユーザーストアの秘密キー処理
ユーザーごとの秘密キーが安全な方法で保管・使用されます。
サービスの設定方法
設定手順
- スタートメニューで「サービス」と検索して起動
- 一覧から「CNG Key Isolation」を選択
- ダブルクリックして「スタートアップの種類」や「サービス状態」を確認
有効化/無効化の手順
- 「サービス」アプリを開き、「CNG Key Isolation」を右クリック
- 「プロパティ」を開く
- 「スタートアップの種類」を以下から選択:
- 自動(遅延開始)
- 手動(既定)
- 無効(非推奨)
- 状態が「停止中」の場合、「開始」ボタンを押して有効化
推奨設定とその理由
- 推奨設定:手動(トリガー開始)
- 理由:セキュリティに関連する処理が必要になった際に自動で起動するため、通常は手動設定で問題ありません。無効にするとスマートカード認証や一部のセキュリティ機能が正常に動作しなくなる可能性があります。
よくあるトラブルと対処法
トラブル事例
- スマートカード認証ができない
- 証明書ベースの認証でPIN入力画面が出ない
- アプリケーションが秘密キーにアクセスできないエラーを出す
解決手順
- サービス状態の確認と再起動
「CNG Key Isolation」の状態を確認し、停止中なら「開始」します。 - スマートカードの接続とドライバ確認
カードリーダーが正しく接続され、ドライバも認識されているか確認します。 - 証明書マネージャーでのキー確認
certmgr.mscを開き、個人キーの状態をチェックします。 - システムファイルの修復
sfc /scannowを管理者コマンドで実行して整合性を確認
関連サービスや補足情報
- Smart Card(ScardSvr):スマートカードとの通信を担当
- Certificate Propagation:証明書の取り込みを担当
- Cryptographic Services(CryptSvc):暗号サービス全般を担当
FAQセクション
Q1: CNG Key Isolation を無効にするとどうなりますか?
A1: 一部のスマートカード認証やセキュリティ機能が正しく動作しなくなります。セキュリティ面でのリスクもあるため、無効化は非推奨です。
Q2: 常に起動していなくても大丈夫ですか?
A2: はい。必要に応じて自動で起動する「トリガー開始(手動)」で問題ありません。
関連リンク
まとめ
CNG Key Isolation は、Windowsのセキュリティを根底から支える重要なサービスです。暗号化キーの処理を分離して保護することで、外部からの攻撃や不正アクセスを防ぎます。通常は「手動(トリガー開始)」のままで運用して問題ありませんが、スマートカードや証明書認証が正常に機能しない場合はこのサービスを確認しましょう。
Tamaglo最後までお読みいただきありがとうございます。
コメント