Windows 10 のセキュリティの新機能
Windows 10 で、マイクロソフトはいくつかの重要なクライアント セキュリティの機能強化を行いました。これらの機能強化は 3 つの重要な領域、つまり脅威への対抗、情報の保護、および ID 保護とアクセス制御に集中しています。この記事では機能自体の概要に加えて、新機能それぞれのハードウェア要件について説明し、構成の推奨事項と詳細なリソースへのリンクを示します。
マイクロソフトは、これまでの Windows オペレーティング システムの中で最も安全なバージョンになるように、Windows 10 オペレーティング システムを設計しました。この目標を達成するために、Windows 10 では広く利用可能になった高度なハードウェア機能を使って、現在のサイバー犯罪の脅威からユーザーとデバイスを保護しています。日々発見される何千もの新しいマルウェアの亜種や、急速に進化する悪意のあるハッキング テクニックのために、Windows クライアントのセキュリティが、かつてないほど重要になってきました。Windows 10 では、組織は Bring Your Own Device (BYOD) や企業所有のデバイスを使用するシナリオに加えて、キオスク、ATM、販売時点管理 (PoS) システムなどの特別な用途向けのデバイスにとって有益な方法で、脅威に対抗する新しいセキュリティ機能を展開してオペレーティング システムを強化できます。これらの脅威に対抗する新しい機能はモジュール形式であり、一緒に展開するように設計されていますが、個別に実装することもできます。これらの新機能をすべて有効にすると、現在の最も高度な脅威やマルウェアのほとんどに対して、直ちに組織を保護することができます。
脅威に対する効果の大きい新しい軽減策に加えて、Windows 10 には新しいデータ損失防止 (DLP) コンポーネントなど、組み込みの情報保護機能に関していくつかの機能強化が含まれています。これらの機能強化により、組織はビジネス データと個人データを簡単に分離し、どのアプリがビジネス データにアクセスできるかを定義して、データを共有する方法 (コピー、貼り付けなど) を決定できます。他の DLP ソリューションとは異なり、マイクロソフトはこの機能を Windows プラットフォームに緊密に統合して、コンテナー ベースのソリューションが提供するセキュリティ機能と同じタイプの機能を提供します。モードの変更やアプリケーションの切り替えが必要になるようなユーザー エクスペリエンスの変化はありません。
最後に、新しい ID 保護およびアクセス制御機能を使用すると、企業全体にわたって 2 要素認証 (2FA) を簡単に実装でき、組織はパスワードから移行できるようになります。Windows 10 では、新しい 2FA ユーザー資格情報である Microsoft Passport が導入されました。これは直接オペレーティング システムに組み込まれていて、ユーザーは PIN または Windows Hello と呼ばれる生体認証ベースの新しい機能を利用してアクセスできます。これらのテクノロジが連携して、多要素認証 (MFA) による堅牢なセキュリティと共にシンプルなログオン操作がユーザーに提供されます。サード パーティの多要素ソリューションとは異なり、Microsoft Passport は特に Microsoft Azure Active Directory (Azure AD) やハイブリッド Active Directory 環境と統合されるように設計されており、必要な管理の構成と保守は最小限です。
脅威への対抗
現在問題になっているセキュリティの脅威は、攻撃的で執拗なものです。以前は、悪意のある攻撃者は主に攻撃を通じてコミュニティで認められることに重点を置き、システムを一時的にオフラインにすることに個人的な楽しみを感じていました。その後、攻撃者の動機は攻撃を収益化することに移りました。これには、所有者が要求された身代金を支払うまでマシンとデータを人質に取っておく行為や、攻撃者が見つけた貴重な情報を金銭的な利益を得るために悪用する行為などが含まれます。これらの例とは異なり、最近の攻撃は次第に大規模な知的財産の窃盗に集中してきています。システムがターゲットとなったことによる名誉損失が金銭的な損失につながったり、サイバー テロによって世界中の個人、企業、および国家の利益のセキュリティまで脅かされるようになりました。通常、これらの攻撃者は高いスキルを持った個人やセキュリティの専門家であり、大規模な予算、(外見的には) 無制限の人材、不明な動機を持つ民族国家に雇われている場合もあります。このような脅威には、従来とは異なるアプローチと軽減策で対応する必要があります。
Windows 10 には、攻撃者の動機に関係なく最新の脅威を軽減し、サイバー攻撃者から組織を保護するのに役立つ新しいセキュリティ機能がいくつか導入されています。マイクロソフトは、これまでで最もマルウェアへの対抗力が大きい Windows オペレーティング システムにするために、Windows 10 に大規模な投資を行いました。以前の Windows リリースのように、単にオペレーティング システムに防御を追加するだけではなく、マイクロソフトは Windows 10 で、あらゆるクラスの脅威に対処できるようにアーキテクチャを変更しています。オペレーティング システムの動作方法を根本的に変更することで、マイクロソフトは Windows 10 を最近の攻撃者にとって非常に悪用しにくいものにすることを目指しています。Windows 10 の新機能には、Device Guard、構成可能なコード整合性、仮想化ベースのセキュリティ (VBS)、Windows Defender の機能強化などがあります。これらの新機能をすべて有効にすることによって、組織は現代の攻撃の約 95% に相当するマルウェアに対する防御を直ちに行うことができます。
仮想化ベースのセキュリティ
サーバーの世界では、Microsoft Hyper-V などの仮想化テクノロジによって、データ センター内の仮想マシン (VM) が非常に効果的に分離され、保護されることが実証されています。現在、これらの仮想化機能が最新のクライアント デバイスに広く普及してきており、Windows クライアントの新しいセキュリティ シナリオが生まれる絶好の機会が訪れています。Windows 10 では、仮想化テクノロジを使用して、コア オペレーティング システム サービスを VM と同様に別個の仮想化環境に分離することができます。このような、仮想化ベースのセキュリティと呼ばれる追加レベルの保護により、ホスト オペレーティング システムのカーネル モードが侵害された場合でも、誰もそれらのサービスを操作できなくなります。
クライアント Hyper-V と同様に、Windows 自体でも第 2 レベル アドレス変換 (SLAT) テクノロジと仮想化拡張機能 (Intel バーチャライゼーション テクノロジ (VT) x や AMD V など) を備えたプロセッサを利用して、機密性の高い Windows 機能とデータ向けの安全な実行環境を作成できるようになりました。この VBS 環境では、次のサービスを保護します。
ハイパーバイザー コード整合性 (HVCI)。 Windows 10 ので HVCI サービスは、カーネル モードで実行されているコードが安全に設計されていて、信頼できるかどうかを判断します。ドライバーを含め、カーネル モードで実行されるすべてのソフトウェアで、安全なメモリ割り当てと意図したとおりの動作を確保することで、ゼロ デイおよび脆弱性の悪用に対する保護を実現します。Windows 10 では、カーネル モードのコード整合性が構成可能であるため、プリブート コードの実行を希望の構成に制限できます。Windows 10 の構成可能なコード整合性について詳しくは、「構成可能なコード整合性」を参照してください。
ローカル セキュリティ機関 (LSA)。 Windows で LSA サービスは、NT LAN Manager (NTLM) と Kerberos メカニズムを含む認証操作を管理します。Windows 10 では、Credential Guard 機能がこのサービスの一部を分離し、ドメイン資格情報を保護することにより、pass-the-hash や pass-the-ticket の手法を使った攻撃を軽減します。この保護は、ログオン資格情報だけでなく、資格情報マネージャー内に保存された資格情報まで拡張されます。Credential Guard について詳しくは、「Credential Guard」をご覧ください。
注
クライアント コンピューターのモデルで仮想化がサポートされているかどうかを判断するには、コマンド プロンプト ウィンドウから systeminfo を実行します。
VBS は、Windows 10 が提供する最も効果的な軽減策のためのコア フレームワークです。最新の脅威に対抗するためには、クライアント コンピューターを使用している組織内でこの機能を採用することが重要です。VBS など、Windows 10 の各機能に必要なハードウェア機能について詳しくは、「Windows 10 のハードウェアに関する考慮事項」をご覧ください。
Device Guard
Microsoft Device Guard は、システムの整合性機能と強化機能を組み合わせた機能セットです。システム コアを保護するための新しい VBS オプションと、モバイル オペレーティング システムによく見られる "trust-nothing" (何も信頼しない) モデルを利用して、従来の Windows のセキュリティを一変させます。この機能セットでは、既存の優れた Windows 強化機能 (Unified Extensible Firmware Interface [UEFI] セキュア ブート、Windows トラスト ブートなど) を利用し、それらを新しい強力なアプリ制御機能 (VBS で強化された HVCI サービス、構成可能なコード整合性など) と組み合わせています。これにより、ユーザー モードとカーネル モードの両方で、脆弱性の悪用や承認されていないアプリの実行を阻止し、デバイスを保護します。Windows 10 の VBS と、これを利用した追加機能について詳しくは、「仮想化ベースのセキュリティ」をご覧ください。構成可能なコード整合性について詳しくは、「構成可能なコード整合性」をご覧ください。
Device Guard 機能は、Credential Guard などの Windows の新しいセキュリティ機能と一緒に実行することを意図して設計されましたが、単独で実行することもできます。組織のクライアント リソースに応じて、環境とデバイスの互換性に合った機能を選択できます。Device Guard およびその他の Windows 10 のセキュリティ機能のハードウェア要件については、「Windows 10 のハードウェアに関する考慮事項」をご覧ください。Credential Guard について詳しくは、「Credential Guard」をご覧ください。
ほとんどの組織で、Device Guard 機能の実装形態は、デバイスの役割とデバイスのプライマリ ユーザーによって異なります。キオスクなどの単一ワークロードのデバイスでは多くの機能が使用され、ユーザーが完全な制御を許可されている管理用のコンピューターでは使用される機能の数が少なくなります。IT 組織はこのモデルを使用し、デバイスのセキュリティとコード整合性制限に関連する Device Guard セキュリティ ポリシーに合わせて、ユーザーをグループに分類できます。構成可能なコード整合性について詳しくは、「構成可能なコード整合性」をご覧ください。
新しいデスクトップ コンピューターやノート PC では、Device Guard の実装作業を迅速に実行できます。Device Guard 完全対応デバイスでは、利用できる状態になるまでに行う、実際のデバイスに対する具体的な操作が最小限で済みます。今後は、デバイスが次の 3 つのカテゴリのいずれかに分類されます。
Device Guard 基本対応。Device Guard のすべてのハードウェア要件を満たすデバイスです。デバイスを適切に準備するには、Device Guard の展開のためのコンポーネントを使用します。これらは、有効化または構成を行う必要があります。デバイス上にあるデバイス ドライバーは、HVCI 互換である必要があり、OEM (Original Equipment Manufacturer) からの更新プログラムが必要になる場合もあります。
Device Guard 完全対応。Device Guard 完全対応デバイスは、Device Guard を実行するために必要なすべてのハードウェア コンポーネントおよびドライバーと共に、OEM から直接提供されます。また、これらすべてのコンポーネントは事前に構成および有効化されているため、Device Guard を展開するために必要な作業が最小限に抑えられます。これらのデバイスを展開するために BIOS の操作は不要で、グループ ポリシー、System Center Configuration Manager、または Microsoft Intune を使って管理することができます。
Device Guard 非対応。現在の多くのデバイスでは、Device Guard の機能をすべて利用できるわけではありません。それらのデバイスは、必要なハードウェア コンポーネントや HVCI 互換ドライバーを備えていないためです。ただし、これらのデバイスの多くで、構成可能なコード整合性など、Device Guard の一部の機能を有効にすることはできます。
Device Guard の準備、管理、および展開について詳しくは、「Device Guard 展開ガイド」をご覧ください。
構成可能なコード整合性
コード整合性は、Windows で実行されているコードの信頼性と安全性を検証する Windows コンポーネントです。Windows 自体の操作モードと同じように、Windows のコード整合性にも 2 つの主要なコンポーネント (カーネル モードのコード整合性 (KMCI) とユーザー モードのコード整合性 (UMCI)) が含まれています。マイクロソフトは最近のバージョンの Windows に KMCI を採用し、署名されていないドライバーが Windows カーネルで実行されないよう保護してきました。この方法は効果的ですが、マルウェアがオペレーティング システムのカーネル モード領域へ侵入する際に利用する手段は、ドライバーだけではありません。そのためマイクロソフトは、Windows 10 について、メモリ管理に関するセキュリティのベスト プラクティスを使用するよう求めることで、導入直後のカーネル モード コードに関する基準を引き上げ、独自の UMCI 基準および KMCI 基準を設定する手段を企業に提供しました。
これまで、UMCI は Windows RT と Windows Phone デバイスでのみ利用できました。このため、これらのデバイスは攻撃者にとってウイルスやマルウェアに感染させづらいデバイスでした。感染率の低さは、実行するコードをオペレーティング システムがある方法で判断しているためです。バイナリは、オペレーティング システムによって実行が許可される前に、ネイティブのプロセスに従い、自身の信頼性をオペレーティング システムに証明します。このプロセスは、任意コード実行を制限し、それによってマルウェア感染のリスクを減らすためのものです。このように優れた "trust-nothing" (何も信頼しない) のオペレーティング システム モデルは、構成可能なコード整合性と呼ばれる機能を通じて Windows 10 で利用できるようになりました。
構成可能なコード整合性によって、IT 組織は環境内で実行できるバイナリを正確に明記したコード整合性ポリシーを作成および展開できます。管理者は、実行される各バイナリの個々のハッシュ値まで、証明機関または発行者のレベルでこの信頼性を管理できます。このレベルでのカスタマイズが可能であるため、組織では、必要に応じた制限を設定してポリシーを作成することができます。また、コンピューターの種類に応じてさまざまな制限レベルを提供できます。たとえば、キオスクや PoS システムなど、ワークロードが固定されたデバイスでは、毎日同じサービスを提供することが目的であるため、一般的には厳密なポリシーが設定されます。ユーザーの PC などワークロードが変化するデバイスの場合は、特定のソフトウェア発行元のアプリケーションをインストール用に提供したり、デバイスを組織のソフトウェア カタログに合わせるなど、より高いレベルで管理することができます。
注
構成可能なコード整合性は、AppLocker や組織のウイルス対策ソフトウェアなどのプログラムを許可または禁止するテクノロジを置き換えるものではなく、補完するものです。セキュリティのベースラインを確立し、追加テクノロジを使用してクライアント セキュリティを微調整します。
構成可能なコード整合性は、Windows ストア アプリケーションに限定されません。既存の署名付きアプリケーションにも限定されません。Windows 10 には、基幹業務アプリケーションまたはサード パーティ製アプリケーションを再パッケージ化することなく、それらに署名する方法があります。アプリケーションのインストールと最初の実行を監視して、カタログ ファイルと呼ばれるバイナリの一覧を作成することができます。作成したら、これらのカタログ ファイルに署名し、カタログ ファイルに含まれるバイナリが実行を許可されるように、コード整合性ポリシーに署名証明書を追加します。これらのカタログ ファイルは、グループ ポリシー、Configuration Manager、またはその他の使い慣れた管理ツールでクライアント コンピューターに配布できます。以前から、ほとんどのマルウェアは未署名でした。コード整合性ポリシーを展開するだけで、最近のほとんどの攻撃の原因である未署名のマルウェアから、組織を直ちに保護することができます。
注
構成可能なコード整合性の展開および計画について詳しくは、「Device Guard 展開ガイド」をご覧ください。
コード整合性ポリシーを作成、テスト、および展開するプロセスは次のとおりです。
コード整合性ポリシーを作成します。 Windows 10 では、Windows PowerShell コマンドレット New-CIPolicy を使って新しいコード整合性ポリシーを作成します。 このコマンドレットは、PC をスキャンして特定のポリシー レベルの内容をすべて調べます。たとえば、規則のレベルを Hash に設定している場合、コマンドレットは検出されたすべてのバイナリのハッシュ値をスキャンで得られたポリシーに追加します。ポリシーを適用および展開すると、このハッシュ値のリストによって、そのポリシーが適用されたコンピューターで、どのバイナリの実行を許可するかが正確に決まります。コード整合性ポリシーには、カーネル モードとユーザー モードの両方の実行ポリシーを含めることができ、いずれかのモードまたは両方のモードで何を実行できるか制限することができます。このポリシーは、作成時にバイナリ形式に変換されます。ポリシーがクライアントのコード整合性フォルダーにコピーされたとき、そのポリシーをマネージ クライアントが使用できるようにするためです。
コード整合性ポリシーの例外を監視します。バイナリの実行を実際にブロックすることなくコード整合性ポリシーの効果をシミュレートできるように、初めてコード整合性ポリシーを作成したときは、監査モードが既定で有効になっています。代わりに、後で例外をポリシーに追加できるように、ポリシーの例外が CodeIntegrity イベント ログに記録されます。ポリシーは、展開する前に監査し、潜在的な問題を検出してください。
監査結果を既存のポリシーにマージします。ポリシーを監査した後、監査イベントを使って追加のコード整合性ポリシーを作成することができます。各コンピューターで処理できるコード整合性ポリシーは 1 つのみであるため、この新しいコード整合性ポリシー内のファイル規則を元のポリシーにマージする必要があります。これを行うには、Merge-CIPolicy コマンドレット (Windows 10 Enterprise に用意されています) を実行します。
ポリシーを適用し、ポリシーに署名します。コード整合性ポリシーを作成、監査し、結果をマージしたら、ポリシーを適用します。これを行うには、Set-RuleOption コマンドレット実行して、署名されていないポリシーの規則を削除します。適用されると、ポリシーの例外であるバイナリは実行を許可されません。ポリシーの適用に加えて、署名されたポリシーは、追加の保護レベルを提供します。署名されたコード整合性ポリシーは、変更や削除 (管理者による操作も含む) からポリシー自身を保護します。
コード整合性ポリシーを展開します。コード整合性ポリシーを適用し、必要に応じてポリシーに署名すると、展開の準備が整います。コード整合性ポリシーを展開するには、マイクロソフトのクライアント管理テクノロジ、モバイル デバイス管理ソリューション、またはグループ ポリシーを使うか、クライアント コンピューターの適切な場所にファイルをコピーします。グループ ポリシーによる展開では、Windows 10 および Windows Server 2016 オペレーティング システムの新しい管理用テンプレートを使うと、展開プロセスを簡略化できます。
注
構成可能なコード整合性は、Windows 10 Enterprise と Windows 10 Education で使用可能です。
Device Guard の展開の一部として、またはスタンドアロン コンポーネントとして、構成可能なコード整合性を有効にすることができます。また、Device Guard 完全対応ではなくても、Windows 7 オペレーティング システムと互換性があるハードウェアで、構成可能なコード整合性を適用することができます。コード整合性ポリシーは、既存のアプリケーション カタログ、既存の企業のイメージング戦略、または組織に必要な制限レベルを提供するその他の方法に合わせることができます。Device Guard による構成可能なコード整合性について詳しくは、「Device Guard 展開ガイド」をご覧ください。
メジャー ブートとリモート認証
ソフトウェア ベースのマルウェア対策およびウイルス対策ソリューションは有効ですが、オペレーティング システム起動前に発生するリソース変更や感染を検出する方法はありません。このような問題は、ブートキットやルートキットと呼ばれる、オペレーティング システムおよびマルウェア対策ソリューションの読み込み前にクライアントを操作する悪意のあるソフトウェアなどによって発生します。ソフトウェア ベースのソリューションだけを使って、ブートキットやルートキット、またはこれらと同様のソフトウェアを検出することはほとんど不可能であるため、Windows 10 では、クライアントのトラステッド プラットフォーム モジュール (TPM) と Windows のメジャー ブート機能を使って、ブートの全体的な整合性を分析します。Windows 10 では、要求に応じて、Windows のクラウド ベースのデバイス正常性認証サービスに整合性情報が報告されます。これを Intune などの管理ソリューションと一緒に使用することで、データを分析し、デバイスの正常性の状態に基づいてリソースへの条件付きアクセスを実現することができます。
メジャー ブートは、TPM の主要機能の 1 つを使用し、ユニークなメリットを提供して組織のセキュリティを確保します。この機能では、コンピューターの Trusted Computing Base (TCB) の状態を正確かつ安全に報告することができます。システムの TCB (ファームウェア、オペレーティング システム ローダー、ドライバーやソフトウェアなど、スタートアップ関連の重要なセキュリティ コンポーネント) を測定することによって、TPM はプラットフォーム構成レジスタ (PCR) に現在のデバイスの状態を保存できます。この測定プロセスが完了すると、Windows クラウド ベースのデバイス正常性認証サービスまたはマイクロソフト以外の同等のサービスに、署名またはレビューのためにメジャー ブート情報を送信できるように、TPM はこの PCR データに暗号で署名します。たとえば、企業がネットワーク アクセスを許可する前に、コンピューターの BIOS 情報だけを検証する必要がある場合は、認証サーバーに検証させるために、BIOS 情報が含まれる PCR である PCR [0] がポリシーに追加されます。こうして、認証サーバーは TPM からマニフェストを受け取ると、PCR にどの値が含まれているかを知ります。
メジャー ブートだけでは、起動プロセス中にマルウェアが読み込まれることを防止できませんが、メジャー ブートは TPM で保護された監査ログを提供し、それによって信頼できるリモート認証サーバーが PC のスタートアップ コンポーネントを評価して、その信頼性を判断することができます。PC に信頼できないコンポーネントが読み込まれ、規則に従っていない状態になっていることがリモート認証サーバーによって示されている場合、管理システムでは条件付きアクセスのシナリオの情報を使って、PC からネットワーク リソースへのアクセスをブロックすることも、その他の隔離操作を行うこともできます。
Windows Defender の機能強化
Windows 10 で、マイクロソフトは Windows Defender を刷新し、Microsoft System Center Endpoint Protection と組み合わせました。Microsoft System Center 2012 R2 の場合と異なり、Windows 10 コンピューターに展開する System Center Endpoint Protection クライアントはありません。Windows Defender はオペレーティング システムに組み込まれており、既定で有効になっています。
展開が簡素化されたことに加えて、Windows Defender にはいくつかの機能強化が含まれています。Windows Defender の最も重要な機能強化は次のとおりです。
起動時マルウェア対策 (ELAM) 互換。読み込まれているオペレーティング システムが信頼できることがセキュア ブートによって確認されると、ELAM はその他のオペレーティング システム コンポーネントの前に、登録および署名されたマルウェア対策アプリケーションを起動できます。Windows Defender は ELAM と互換性があります。
検出のローカル コンテキストと、一元化された検出データ。ほとんどのマルウェア対策ソフトウェアや以前のバージョンの Windows Defender とは異なり、Windows 10 の Windows Defender は、検出された脅威のコンテキストについて追加情報を報告します。この情報には、脅威が含まれているコンテンツのソースと、システム全体でのマルウェアの動きの履歴が含まれます。収集が完了すると、Windows Defender はこの情報を報告し (クラウド ベースの保護がユーザーによって有効に設定されている場合)、それを使って脅威を迅速に軽減します。
ユーザー アカウント制御 (UAC) の統合。Windows Defender は、Windows 10 の UAC メカニズムと密接に統合されました。UAC 要求が発生すると、Windows Defender はユーザー プロンプトを表示する前に脅威を自動的にスキャンします。これにより、ユーザーによって管理者特権がマルウェアに付与される事態を防止できます。
簡素化された管理。Windows 10 では、Windows Defender をこれまでよりもはるかに簡単に管理することができます。設定の管理には、グループ ポリシー、Intune、または構成マネージャーを使用します。
情報の保護
企業データの整合性保護、そのデータの不適切な漏洩および共有の防止は、IT 組織にとって最優先事項です。その一方で、BYOD やモビリティなどの利用傾向が高まり、情報保護の作業が従来より難しくなっています。Windows 10 には、DLP 機能を提供する新しいエンタープライズ データ保護 (EDP) 機能など、組み込みの情報保護機能に関していくつかの機能強化が含まれています。この機能を使うと、組織のユーザーは自分でデータを分類でき、ビジネス リソースから受信したときにデータが自動的に分類されるように設定することもできます。また、ユーザーがビジネス コンテンツを個人のドキュメントや Web サイトなど、承認されていない場所にコピーする状況を防ぐのに役立ちます。
市場にある他の DLP ソリューションとは異なり、EDP ではユーザーがモードやアプリを切り替えたり、データを保護するためのコンテナー内で作業したりする必要がありません。Windows に慣れているユーザーのエクスペリエンスを変更することなく、保護はバックグラウンドで処理されます。Windows 10 での EDP について詳しくは、「エンタープライズ データ保護」をご覧ください。
マイクロソフトは EDP 以外にも、Microsoft BitLocker Administration and Monitoring (MBAM) による簡素化された管理性、使用済み領域のみの暗号化、シングル サインオン (SSO) 機能など、BitLocker に大幅な機能強化を行いました。Windows 10 での BitLocker の機能強化について詳しくは、「BitLocker の機能強化」をご覧ください。
エンタープライズ データ保護
DLP システムは、データの使用時、移動時、または保存時に、暗号化と管理された使用によって機密性の高い企業データを保護します。従来の DLP ソフトウェアはユーザー操作の邪魔になることが多く、管理者から見ても構成や展開が複雑になることがありました。Windows 10 には、使いやすい EDP 機能が組み込まれ、これによって DLP 機能が提供されています。このソリューションでは、どのような種類のデータをビジネス データとして保護し、どのような種類のデータを個人データと見なすのか、判別するために役立つポリシーを柔軟に定義できます。これらのポリシーに基づいて、データ侵害を予見した場合やデータ侵害が発生した場合の (自動または手動の) 動作を選ぶこともできます。たとえば、従業員所有の個人用デバイスが管理対象デバイスになっており、このデバイスにビジネス データが含まれている場合、IT 組織では、このユーザーがビジネス データをコピーして業務用でないドキュメントや場所に貼り付けようとした場合にブロックすることも、デバイス上の個人データに影響を与えず任意のタイミングでデバイスからビジネス データを選択的に消去することもできます。
EDP ポリシーを構成することにより、電子メール サーバー、ファイル共有、Microsoft SharePoint サイトなど、コンテンツの取得先のネットワーク ソースに基づいて、自動的にファイルを暗号化して保護することができます。ポリシーは、組織内のリソースに対してもインターネットから取得したリソースに対しても機能します。指定されていれば、内部ネットワーク リソースから取得したすべてのデータがビジネス データとして常に保護されます。そのデータは、フラッシュ ドライブや CD などのポータブル記憶装置にコピーされても、そのまま保護されます。EDP によって個人データが誤って保護されていることに気付いたユーザーはデータの分類を変更できるため、データの誤分類は簡単に修正できます。このような変更が発生したときは、クライアント コンピューター上のデータにアクセスして監視できます。ポリシーを使って、ユーザーがデータを再分類できないように指定することもできます。Windows 10 の EDP 機能には、ビジネス データにアクセスできるアプリや、企業の仮想プライベート ネットワーク (VPN) にアクセスできるアプリを定義できるポリシー制御も含まれています。
EDP を管理するには、Configuration Manager や Intune など、既に Windows クライアント コンピューターの管理に使用しているものと同じシステム管理ツールを使います。EDP について詳しくは、「エンタープライズ データ保護の概要」をご覧ください。
BitLocker の機能強化
毎年、多くのノート PC が盗まれているため、保存されているデータを保護することは IT 組織の最優先事項です。マイクロソフトは 2004 年以降、BitLocker と呼ばれる暗号化ソリューションを直接 Windows 内で提供しています。ユーザーが Windows 7 で BitLocker を使用していた場合は、以前にはなかった管理性と SSO 機能が Windows 10 では含まれていることに気付くでしょう。これらの機能強化によって、BitLocker は Windows デバイスでデータを保護するための最適な選択肢になりました。Windows 10 は、Windows 8.1 および Windows 8 オペレーティング システムで行われた BitLocker の機能強化の上に構築されているため、BitLocker はさらに管理しやすくなり、その展開も今まで以上に簡単になりました。
マイクロソフトでは、主に次のような機能強化を BitLocker に加えました。
デバイスの暗号化による自動ドライブ暗号化。既定では、デバイスが Windows ハードウェア認定キットのデバイスの暗号化要件テストに合格した場合、BitLocker は Windows 10 の新規インストール時に自動的に有効になります。多くの Windows 10 互換 PC はこの要件を満たします。このバージョンの BitLocker は、デバイス暗号化機能と呼ばれています。ドライブ暗号化が有効になっているデバイスがドメインに参加すると、Active Directory または MBAM で暗号化キーをエスクローできます。
MBAM の機能強化。MBAM は、BitLocker 管理用のシンプルな管理コンソールを提供します。MBAM では、ユーザーがヘルプ デスクに電話しなくてもドライブを回復できるセルフ サービス ポータルも提供され、回復要求が簡単になります。
SSO。Windows 7 用 BitLocker では多くの場合、保護されたドライブの暗号化キーにアクセスしたり、Windows を起動したりするために、プリブート PIN を使用する必要がありました。Windows 10 では、TPM でキーが管理されるため、ユーザー入力に基づくプリブート認証 (PIN) は必要ありません。また、最近の多くのハードウェアでは、以前は PIN 保護を必要としていたようなコールド ブート攻撃 (ポート ベースのダイレクト メモリ アクセス攻撃など) が軽減されています。PIN 保護の使用が必要になる状況およびデバイスの種類を判断する方法について詳しくは、「BitLocker の対策」をご覧ください。
使用領域のみの暗号化。ハード ドライブ全体を暗号化するのではなく、ドライブ上の使用領域のみを暗号化するように BitLocker を構成することができます。このオプションで、暗号化に必要な時間が大幅に削減されます。
ID 保護とアクセス制御
ユーザー資格情報は、組織のドメインの全体的なセキュリティにとって不可欠です。Windows 10 まで、ユーザーがコンピューターまたはシステムに自分の身元を証明するための主要な方法は、ユーザー名とパスワードの組み合わせでした。残念ながら、パスワードは簡単に盗まれ、攻撃者はそれを使ってリモートでユーザーの ID を偽装できます。パスワードの脆弱性に対処するために、スマート カードなど、公開キー基盤 (PKI) ベースのソリューションを展開している組織もあります。しかし、このようなソリューションは複雑でありコストが高いため導入のハードルが高く、導入されても、ほとんどは企業 VPN など最優先の資産の保護だけを目的として使用されています。Windows 10 には、新しい ID 保護およびアクセス制御機能が導入されています。これにより、組織で今日のソリューションの欠点に対処し、ユーザー パスワードを効果的に排除することも可能になります。
Windows 10 には、Microsoft Passport と呼ばれる機能も含まれています。これは、オペレーティング システムに直接組み込まれている新しい 2FA メカニズムです。2 要素認証には、知っていること (PIN など)、持っているもの (PC、携帯電話など)、またはユーザーに関すること (生体認証など) の組み合わせが含まれます。Microsoft Passport が有効であれば、ユーザーがコンピューターにログオンすると、Microsoft Passport がネットワーク関連のユーザー認証を仲介し、使い慣れているものと同じ SSO エクスペリエンスを提供します。Microsoft Passport について詳しくは、「Microsoft Passport」をご覧ください。
Microsoft Passport に利用可能な生体認証要素は、Windows Hello と呼ばれる Windows 10 の別の新機能によって処理されます。Windows Hello は、さまざまな生体認証センサーを使って、顔、虹彩、指紋などの生体認証の測定点を受け取ります。組織は、ユーザーとデバイスにとって最適なものは何かについて検討するとき、これを使ってさまざまなオプションから選択できます。Windows Hello を Microsoft Passport と組み合わせることで、ユーザーは企業リソースにアクセスするためのパスワードを覚えておく必要がなくなります。Windows Hello について詳しくは、「Windows Hello」をご覧ください。
最後に、Windows 10 は VBS を使って、Credential Guard と呼ばれる機能を通じて派生したユーザー資格情報 (Kerberos チケットや NTLM ハッシュなど) を管理および仲介する Windows サービスを分離します。TPM はサービスの分離に加えて、コンピューターの実行中も電源がオフになっている間も資格情報データを保護します。Credential Guard は、実行時および停止時にユーザー指定の資格情報を保護する包括的な戦略を提供して、pass-the-hash タイプの攻撃による資格情報へのアクセスと使用を防ぎます。Credential Guard について詳しくは、「Credential Guard」をご覧ください。
Microsoft Passport
従来、企業は 2FA を実装して資格情報盗難のリスクを軽減してきました。この方法では、知っていること (PIN など)、持っているもの (従来はスマート カードやトークン)、またはユーザーに関すること (生体認証など) の組み合わせでログオン プロセスを強化します。知っていること以外の要素を組み合わせておくことで、資格情報を盗むにはデバイスを物理的に獲得することが必要になります。生体認証が指定されている場合は、該当するユーザー本人が必要になります。
Microsoft Passport には、Windows に直接統合された強力な 2FA メカニズムが導入されています。今日、多くの組織が 2FA を使用していますが、コストと時間が必要になるため、機能が組織に浸透していないケースも少なくありません。そのため、ほとんどの組織は VPN 接続の保護とネットワーク上で最も価値の高いリソースの保護だけを目的として MFA を使い、デバイスへのログオンやネットワークの他の部分の操作には従来のパスワードを使っています。Microsoft Passport は、2FA ソリューションの複雑さ、コスト、およびユーザー エクスペリエンスの課題に対処した設計という点で、従来の 2FA ソリューションとは一線を画しています。これによって、既存のインフラストラクチャおよびデバイスから企業全体に展開することが簡単になりました。
Microsoft Passport では、Windows Hello の生体認証情報を使うことも、デバイスの TPM に保存されている暗号化署名キーと共に固有の PIN を使うこともできます。既存の PKI がない組織では、TPM で (TPM が存在しない場合は Windows で) これらのキーを生成および保護することができます。組織でオンプレミスの PKI を使用している場合や、PKI を展開する必要がある場合は、PKI からの証明書を使ってキーを生成し、それらを TPM に保存できます。ユーザーがデバイスを登録している場合に、Windows Hello または PIN を使ってそのデバイスにログインすると、後続の認証要求に対して Microsoft Passport の秘密キーが使用されます。Microsoft Passport では、従来のスマート カードの展開に必要とされた追加のインフラストラクチャ コンポーネントや、カードとリーダーなどのハードウェアを必要とせず、仮想スマート カードの展開の柔軟性と物理スマート カードの堅牢なセキュリティを結合しています。
Windows 10 では、物理的な認証要素はユーザーのデバイス (PC または携帯電話) です。2016 年の初めにプレビューとして Windows Insider に提供される、電話での新しいサインイン機能を使うと、ユーザーは PC に触れることなくロックを解除できます。ユーザーは、Wi-Fi または Bluetooth を使って電話を PC とペアリングして Microsoft Passport に登録し、ロックを解除する PC を選択できる使いやすいアプリケーションを電話にインストールするだけです。PC を選択したら、電話から PIN を入力するか、生体認証によるログインを行い、PC のロックを解除することができます。
Windows Hello
パスワードは、危険性の高い ID およびアクセス制御メカニズムとして代表的です。パスワードに基づく Windows 認証を利用している場合、攻撃者は 1 つの文字列を特定するだけで、それらの資格情報で保護している企業ネットワーク上のあらゆるものにアクセスできます。残念ながら、攻撃者はいくつかの方法を使用してユーザーのパスワードを引き出し、資格情報の盗難を比較的簡単に行うことができます。MFA メカニズムによるユーザー ID の検証に移行すれば、組織はパスワードのような 1 要素オプションにある脅威を排除できます。
Windows Hello は、Windows 10 のエンタープライズ クラスの生体認証統合機能です。この機能を使うと、パスワードではなく、顔、虹彩、または指紋を使って認証することができます。生体認証によるログオン機能は、Windows XP オペレーティング システムの頃からありましたが、Windows 10 の生体認証ほど安全、簡単、シームレスな機能ではありませでした。Windows での以前の生体認証の使用は、オペレーティング システムがデバイスのロック解除にのみ生体認証情報を使用するというものでした。その一方で、組織のネットワーク上のリソースにアクセスするためには、従来のユーザー パスワードが使用されていました。また、Windows またはアプリケーションにログインするために生体認証デバイスを構成するには、IT 組織が追加のソフトウェアを実行する必要がありました。Windows Hello はオペレーティング システムに直接統合されているため、追加のソフトウェアを実行する必要はありません。ただし、他の生体認証ベースのログインの場合と同様、Windows Hello を使用するには次のようなハードウェアが必要になります。
顔認識。Windows Hello は特殊な赤外線 (IR) カメラとなりすまし対策テクノロジを使って、写真と実際の人物の違いを確実に見分けます。この要件によって、高解像度の写真を手に入れるだけでは、他人の PC でそのユーザーになりすますことができなくなります。多くの製造元が既に、このようなカメラを備えた Windows Hello 互換の PC モデルを提供しています。このような特殊なカメラを装備していないコンピューター用に、外付けカメラも販売されています。
指紋認識。一般ユーザーおよびビジネス ユーザー向けの多くの PC に、既に指紋センサーが備わっています。それらのほとんど (外付け、またはノート PC や USB キーボードに内蔵) は、Windows Hello で動作します。Windows 10 で利用できる検出およびなりすまし対策テクノロジは、以前のバージョンの Windows に備わっていたものよりずっと進歩しており、攻撃者がオペレーティング システムを欺くことはさらに難しくなっています。
虹彩認識。虹彩ベースの認識では顔認識と同様に、特殊な赤外線カメラとなりすまし対策テクノロジを使って、ユーザーの虹彩と本人以外の虹彩の違いを確実に見分けます。虹彩認識は、2016 年の終わりまでにモバイル デバイスで利用できるようになりますが、PC に組み込むことができるよう、独立系ハードウェア ベンダーや OEM 用にも販売されています。
Windows Hello を Microsoft Passport と組み合わせて使うと、ユーザーはドメインの資格情報でログオンしている場合と同じ SSO エクスペリエンスが得られます。代わりに生体認証を使用するだけです。さらに、パスワードが関係しないため、ユーザーがパスワードを忘れてヘルプ デスクを呼び出すことはありません。攻撃者がユーザーの ID を偽装するには、物理的にユーザー本人とユーザーが Windows Hello 用にセットアップしたデバイスの両方が必要になります。プライバシーの観点からは、Windows Hello が使う生体認証データは一元的に保存されないため安心です。ユーザーの指紋、顔、または虹彩は画像に変換できません。デバイスから持ち出すことができないように設計されています。つまり、Windows Hello と Microsoft Passport により、Azure AD や Azure AD/Active Directory のハイブリッド環境でも、ID サービス用にパスワードに依存していたアプリや Web サービスでも、パスワードの必要性が完全に解消されます。Microsoft Passport について詳しくは、「Microsoft Passport」をご覧ください。
Credential Guard
現在、pass-the-hash は最もよく使われる派生資格情報攻撃です。この攻撃は、攻撃者がユーザー アカウントの派生資格情報 (ハッシュ値) をメモリから抽出することから始まります。その後、攻撃者は Mimikatz などの製品を使うことで、ネットワーク上の他のコンピューターおよびリソースにそれらの資格情報を再利用して (渡して)、アクセス対象を拡大します。マイクロソフトは、特に pass-the-hash タイプの攻撃で派生した資格情報の盗難および悪用を除去するために Credential Guard を設計しました。
Credential Guard は、Windows 10 Enterprise の新機能の 1 つです。これは VBS を採用して、ホスト オペレーティング システムが侵害された場合もドメイン資格情報が盗難されないよう保護します。このような保護を実現するために、Credential Guard は、仮想化されたコンテナー内で認証を管理する LSA サービスの一部を分離します。このコンテナーはハイパーバイザーで実行されている VM と同様のものですが、非常に軽量であり、LSA とその他の分離されたサービスを操作するために必要なファイルとコンポーネントだけが含まれます。この仮想化環境内で LSA サービスの一部を分離することで、システム カーネルが侵害された場合でも、資格情報は保護され、pass-the-hash 攻撃が排除されます。
Credential Guard のハードウェア要件について詳しくは、「Windows 10 のハードウェアに関する考慮事項」をご覧ください。Windows 10 での VBS について詳しくは、「仮想化ベースのセキュリティ」をご覧ください。
注
Credential Guard は、分離されたユーザー モードと Hyper-V ハイパーバイザーを必要とするため、VM では構成できません。構成できるのは、物理コンピューター上のみです。
Credential Guard 機能は、pass-the-hash や pass-the-ticket の手法を使った攻撃に対抗することに重点を置いています。Credential Guard と共に Microsoft Passport などの MFA オプションを使うことによって、このような脅威に対する追加の保護機能を実現することができます。Credential Guard の機能と、提供される具体的な軽減策について詳しくは、「Credential Guard によるドメインの派生資格情報の保護」をご覧ください。
Windows 10 のハードウェアに関する考慮事項
この記事で説明されているほとんどの機能では、その機能を最大限に活用するために特定のハードウェアが必要になります。次の購入サイクルでこれらの機能を含むハードウェアを購入すると、Windows 10 で提供される最も包括的なクライアント セキュリティ パッケージを利用できるようになります。組織のクライアント セキュリティ ポートフォリオを成功に導くには、どのモデルを購入するか、どのハードウェア ベンダーから購入するかについて慎重に検討することが重要です。表 1 に、Windows 10 の新しいセキュリティ機能とそのハードウェア要件の一覧を示します。
表 1. Windows 10 のハードウェア要件
| Windows 10 の機能 | TPM | 入出力メモリ管理ユニット | 仮想化拡張機能 | SLAT | UEFI 2.3.1 | x64 アーキテクチャのみ |
|---|---|---|---|---|---|---|
| Credential Guard | R | N | Y | Y | Y | Y |
| Device Guard | N | Y | Y | Y | Y | Y |
| BitLocker | R | N | N | N | N | N |
| 構成可能なコード整合性 | N | N | N | N | R | R |
| Microsoft Passport | R | N | N | N | N | N |
| Windows Hello | R | N | N | N | N | N |
| VBS | N | Y | Y | Y | N | Y |
| UEFI セキュア ブート | R | N | N | N | Y | N |
| メジャー ブートによるデバイスの正常性の認証 | Y* | N | N | N | Y | Y |
* TPM 2.0 を使用する必要があります。
注
この表で、R は推奨を意味します。Y は、その Windows 10 の機能に必要なハードウェア コンポーネントであることを意味します。N は、その Windows 10 の機能で使用されないハードウェア コンポーネントであることを意味します。