ベンダーとともにユーザーを守るWindows 11のセキュリティ

マイクロソフト コーポレーション セキュリティ レスポンスチーム セキュリティ プログラム マネージャー 垣内由梨香氏

　日本マイクロソフト株式会社は6日、Windows 11を中心としたセキュリティ機能に関するメディア説明会を開催した。同会では、マイクロソフト コーポレーション セキュリティ レスポンスチーム セキュリティ プログラム マネージャーの垣内由梨香氏より説明が行なわれた。

【お詫びと訂正】初出時に垣内由梨香氏の肩書きに誤りがありました。お詫びして訂正いたします。

Windows 11でついに実現した「チップからクラウドまでの保護」

　プラットフォームにおけるセキュリティは、Windows 8.1以前は「Ten Immutable Laws of Security」と呼ばれるルールを原則として考えられてきた。たとえば悪意ある攻撃者に騙されてプログラムを実行した場合、そのPCはそのユーザーだけの所有デバイスだとは考えない(安全が保証できる範囲ではない)とするなど、10個の不変的なルールが定められていた。

Windows 8.1以前のルール「Ten Immutable Laws of Security」

　その下で、ユーザーが自由に触れるユーザー空間と、管理者権限が必要となるカーネル空間に分けるセキュリティ設計などを行なってきた。一方この場合では、攻撃者によって管理者権限が取得されてしまうと、攻撃者は標的のデバイス上で何でもできてしまうことになる。そこで、管理者権限を攻撃者に渡さないための仕組みも実装してきた。ユーザーアカウント制御(UAC)などもその1つだ。

　また、従来のセキュリティ設計はWindows空間を保護することに焦点をあてており、ユーザー/カーネル空間を守る仕組みは用意されていたが、これはUEFIなどOSより下のレイヤーへの攻撃には対処できない。さらに、PCのユーザー層やユースケースが多様化したこともあり、従来の原則が当てはまらなくなってきたという。

ユーザーとカーネルで空間を分けてシステムを保護

WindowsではOSの外側は守れない

ファームウェアの脆弱性が悪用されるケースも増えてきた

　そこでWindows 10の設計においては、悪意あるコードがデバイス上に留まらないことや、簡易的な物理アクセスによる攻撃を防止することなどを含めた、より広範囲な保護を目指した新たなプラットフォームセキュリティを定義。その上でセキュアなデバイスに必要な要素として7つの項目を設定した。これらはOSだけでは実現できず、CPU(シリコン)やクラウドサービスによるサポートが欠かせないため、各ベンダーと一体となって取り組んできたという。

新たなプラットフォームセキュリティの定義

セキュアなデバイスに必要な7つの要素。CPU、OS、クラウドサービスが一体となって実現する

Windows 11が実現するチップからクラウドまでの保護

さまざまな機能でユーザーを保護する

　Windows 10のリリース時点ではこういった環境を完全に揃えることが難しかった。しかし、Windows 11では各ベンダーとの協業の下、条件を満たした状態でデバイスを出荷できる準備が整ったことで、チップからクラウドまでの強力な保護機能が提供可能になったという。

　たとえばブートプロセスについては、新たにSecure Launchが使えるようになった(一部Windows 10でも利用可能)。従来のSecure Bootでは信頼の基点(Root of Trust)が侵害を受けてしまうと、以降のコンポーネントも連鎖的に影響を受けてしまうが、Secure LaunchではCPUが信頼の基点を動的に検証することで、安全性をより高められる。

従来のSecure Bootでは、信頼の基点が侵害されると影響が連鎖する

Secure Launchでは、CPUが動的に検証することで安全性を向上

そのほか、BitLockerやWindows Helloなどにもハードウェアセキュリティが活用される

増加する認証情報への攻撃。パスワードレスで安全性と利便性を両立

パスワードへの攻撃は増加を続けている

　また、より家庭でも身近な脅威としては、ID(認証情報)への侵害が挙げられる。同社の調査によれば2018年と2022年を比べると、パスワードへの攻撃は26%、フィッシング攻撃は35%増加しているという。保護に向けては多要素認証の活用があるが、同社サービスの場合では、多要素認証を有効にしているのは全体の28%に留まるという。一方で、侵害を受けたアカウントのうち99%が多要素認証を有効にしていなかったというデータもあるという。

　こういった状況に対して、同社およびWindows 11ではパスワードレスサインインによるセキュアかつ利便性の高い認証の導入を進める。FIDO Allianceへの参画、FIDO 2やPasskeyへの対応に加え、Windows 365などのサービスにおけるパスワードレスサインイン化などに取り組んでいる。

　Windowsにおいては、FIDO 2やパスワードレスサインインにおけるWindows Helloの活用を推進。ユーザーとデバイス間、デバイスとサービス間の2つで認証区画を分けることで、機密情報をデバイス内に保ったまま、安全な認証を実現できるとする。また、WebブラウザのMicrosoft Edgeにパスワードマネージャーを統合したことで、パスワード管理も容易に行なえるようになった。

パスワードレスサインイン化を推進

TPMを活用して外部に機密情報を出さない仕組み

Microsoft Edgeにパスワードマネージャーが統合

　さらに、OS標準のMicrosoft Defenderにより、マルウェアやフィッシングといった脅威からデバイスやユーザーを保護。安全ではないWebサイトからユーザーを守るSmartScreenに加え、パスワードフィッシングに特化した保護機能となるEnhanced Phishing Protection、マルウェア攻撃などで用いられる危険なアプリケーションをブロックするSmart App Controlも利用可能となっている。

　あわせて、各種セキュリティ機能を適切に管理しやすくするため、Windowsセキュリティセンターをはじめとした管理機能も用意。PCに詳しくないユーザーでも、この同センターのダッシュボード上がすべて問題ない状態を保つことで、デバイスの最低限の安全が確保できるよう設計した。

　そのほか、複数のデバイスのセキュリティを一元管理できる個人向けMicrosoft Defenderアプリ、家族をまとめて管理できるMicrosoftファミリーセーフティなどといった機能も提供している。

マルウェアやフィッシング対策をOS標準で提供するMicrosoft Defender

パスワードフィッシングに特化したEnhanced Phishing Protection

エンタープライズ向けに実装していたSmart App ControlがHomeエディションでも使えるように

簡単にセキュリティ管理が行なえるWindowsセキュリティセンター

複数デバイスを一括管理できるMicrosoft Defenderアプリ

家族をまとめて管理できるMicrosoftファミリーセーフティ