Windows 10 のセキュリティ イノベーション: Device Guard、Windows Hello、Microsoft Passport を RSA で発表
本ブログは、Windows for Your Business ” Windows 10 Security Innovations at RSA: Device Guard, Windows Hello and Microsoft Passport″ の抄訳です。
昨年 10 月に、Windows 10 のセキュリティおよび ID 関連機能の継続的な進化についての記事を公開しました。これが企業ユーザーの皆様にとってどのような意味を持つのか、その詳細が今週サンフランシスコで開催される RSA Conference で発表されます。
先日、Trustworthy Computing (信頼できるコンピューティング) 担当コーポレート バイス プレジデントを務める Scott Charney が、マイクロソフトのクラウド サービスの透明性を高め、お客様のデータの制御性を向上させるためのセキュリティ イノベーションの取り組みについてお話し、その中で Windows 10 の重要なセキュリティ機能である Device Guard、Microsoft Passport、および Windows Hello について発表しました。
Device Guard は、以前ブログ記事で紹介したときにはまだ名称が決定していなかった機能です。デバイスをロック ダウンし、新種または既知のマルウェアやその変種による攻撃、および持続的標的型攻撃 (APT 攻撃) に対する高度な保護機能を提供します。この機能では、特定のソフトウェア ベンダー、Windows ストア、またはお客様の企業の署名を持つ信頼されたアプリ以外をすべてブロックすることにより、Windows 10 へのマルウェア攻撃やゼロデイ攻撃に対するセキュリティを強化します。Device Guard がアプリの信頼性を判断するソースは、お客様がご自身で管理することが可能です。初期状態ではソフトウェア ベンダーの署名を持たないユニバーサル アプリや Win32 アプリにも、ツールを使用して簡単に署名を追加できます。
Device Guard の使用方法
マルウェアからユーザーを保護するには、アプリ実行時にそのアプリが信頼できるかどうかを Windows が判断し、信頼できない場合にはその旨をユーザーに通知します。Device Guard では、ハードウェア テクノロジと仮想化により意思決定機能が Windows OS の他の部分から分離されているため、システム権限を完全に乗っ取ろうとする攻撃やマルウェアからの保護が可能です。従来型のウイルス対策テクノロジやアプリケーション制御テクノロジ (AppLocker、Bit9 など) では管理者やマルウェアにより改ざんされる可能性がありますが、Device Guard ではこの点が大幅に強化されています。実際には、多くの場面で Device Guard が従来型のウイルス対策テクノロジやアプリケーション制御テクノロジと組み合わせて使用されることが予想されます。そうすると、実行可能ファイルやスクリプトをベースとするマルウェアのブロックには Device Guard が対応できるので、従来型のウイルス対策ソリューションは Device Guard の対象範囲外である JIT ベースのアプリ (Java など) やドキュメント内に潜むマクロなどからの保護を担当し、アプリケーション制御テクノロジはデバイスでどのアプリの実行を許可するかの決定に使用されます。この場合 IT 担当者は、マルウェアの実行防止よりも生産性やコンプライアンス管理の目的で、アプリケーション制御を使用することになります。
Device Guard を搭載した OEM 製品
下記 OEM メーカーの Windows 8 認定デバイスでは、Device Guard の使用が承認されています。
大規模運用に対応する Windows 10 の ID ソリューション
Windows 10 には Device Guard という重要なセキュリティ機能がありますが、これ以外にも、企業や一般ユーザーが直面する ID 関連機能についての課題に対応するソリューションが必要です。この分野については、主に先月の WinHEC で発表された Windows Hello* および Microsoft Passport の 2 つの機能で対応します。Windows 10 では生体認証およびエンタープライズ レベルの 2 要素認証がサポートされ、ビジネス データおよびオンライン エクスペリエンスが保護されると共に、定期的にパスワードを変更する必要がなくなります。
一部の Windows デバイスでは指紋認証用のセンサーが既に採用されていますが、Windows Hello ではこの機能がサポートされています。現在、マイクロソフトでは Windows Hello に対応する Windows 10 搭載デバイスの開発をハードウェア パートナーと緊密に協力して進めています。Intel® RealSense™ 3D カメラ (F200) を使用しているすべての OEM 製品で、Windows Hello の顔認証によるロック解除システムがサポートされるため、Windows に自動サインインしたり、PIN コードを使用せずに Microsoft Passport のロックを解除したりといったことが可能です。この機能は下記の 3 種類のデバイスでサポートされていますので、ぜひ詳細をご確認ください。
Dell Inspiron 15 (i5548-4167SLV) ノート PC· 15.6 インチ Full HD タッチ スクリーン· Intel Core i5-5200U· メモリ: 12 GB/HDD: 1 TB
· カメラ: Intel RealSense 3D 1080p |
HP ENVY 15 (v010nr) ノート PC (英語)· 15.6 インチ Full HD タッチ スクリーン
· Intel Core i5-5200U · メモリ: 8 GB/HDD: 1 TB · カメラ: Intel RealSense 3D 1080p |
Lenovo B50-30 オールインワン PC (英語)· 23.8 インチ Full HD タッチ スクリーン
· Intel Core i7-4790S · メモリ: 6 GB/SSHD: 2 TB · カメラ: Intel RealSense 3D 1080p |
これらのデバイスが対応する Windows Hello テクノロジでは、赤外線レーザーや複数のレンズ、特別な処理回路を搭載した Intel® の RealSense™ F200 カメラ テクノロジ (英語) を使用して Windows Hello 用の画像を分析します。今後 Windows Hello の顔認証機能は、Intel RealSense テクノロジ以外でも使用できるようになる予定ですが、現時点で市販されている製品として有力な選択肢となりますので、このテクノロジを採用しているデバイスの利用をぜひご検討ください。
企業で Device Guard、Microsoft Passport、Windows Hello を展開すれば、これに相当する一般的な戦略を実施する必要がなくなります。また、Windows 10 に移行する主な理由としてセキュリティ上のメリットを挙げるお客様もいらっしゃいます。Windows Insider Program にまだ参加されていないお客様は、ぜひこちらのページからプログラムにご登録ください。Windows 10 の進化をいち早くご体験いただけます。Windows 10 Technical Preview のインストールをご検討されているお客様は、実際にインストールする前によく寄せられる質問をお読みになり、参加条件を満たしているかどうかをご確認ください。
RSA に関するマイクロソフトの最新ニュースは、本日投稿されたマイクロソフト公式ブログの記事 (英語) の記事をご覧ください。
* Windows Hello で Windows 生体認証フレームワークの顔認証、虹彩認証、指紋認証の各機能を使用するには、特別な照射装置を持つ赤外線カメラが必要です。