2014年12月21日 11:33 AM

Windows 10: 最新のセキュリティおよび ID 保護

ジム アルコブJim Alkove)  によるWindows 10  のセキュリティ機能に関するブログ、”Windows 10: Security and Identity Protection for the Modern World”の日本語訳を以下にご紹介します。

 

 

現在、Windows 10 Technical Preview は大きな盛り上がりを見せています。特に Windows インサイダー プログラムでは、先日合計登録者数が 100 万人を超え (英語)、200,000 件以上のフィードバックがユーザーの皆様から寄せられています。皆様のプログラムへのご参加と、フィードバックのご提供に感謝いたします。マイクロソフトでは Windows 10 に皆様のビジネス ニーズが反映されるように取り組みを続けており、皆様に提供できることを非常に楽しみにしています。前回のブログ記事では、重要分野に関してフォローアップ記事を投稿していく予定について触れましたが、今回は、Windows 10 のセキュリティに焦点を当てたいと思います。Technical Preview の公開を発表して以来、多くのお客様にお話を伺ってきましたが、その中でもセキュリティには多大な関心が寄せられています。多くの企業にとってセキュリティおよび情報保護が最優先課題となっている背景には、相応の理由があります。

今日、企業に対するサイバー攻撃の脅威は広範にわたるうえ、攻撃は以前よりも顕著になり、被害例も増えてきました。ネットワークへの侵害は、ユーザー名とパスワードの窃盗という非常に単純な手口によって引き起こされます。最近発生した複数の事例では、盗まれたユーザー名とパスワードを使用してハッカーが Fortune 500 企業に侵入し、POS システムおよび同システムで処理されていたクレジット カードのデータが不正にアクセスされました。この攻撃の結果、何百万件ものクレジット カード番号が盗まれ、即座にブラック マーケットに流出しました。また、最近の New York Times 紙の報道 (英語) によると、単一のサイバー犯罪組織によって 12 億件ものユーザー名とパスワードが盗まれたということです。オンラインの世界に約 18 億人のユーザーしかいないことを考えると、この数字は衝撃的です。企業が直面している脅威は、こういった執拗な犯罪組織や一部の国家によるものだけにとどまりません。悪意のない従業員でさえも重大なリスクを冒しかねないため、対策が必要となっています。セキュリティ企業 Stroz Friedberg が発表した今年度のレポート (英語) によると、シニア マネージャーの 87% が個人のメールまたはクラウドのアカウントに業務用のファイルを日常的にアップロードしていると認めているほか、ユーザーの 58% が機密情報を誤って別のユーザーに送信したことがあると回答しています。

Windows 10 では、ID 保護とアクセス制御、情報保護、脅威対策の強化を通じて、最新のセキュリティ脅威に積極的に対処すべく取り組みを行っています。今回のリリースでは、パスワードなどの単一要素認証オプションを廃止するための準備が整いつつあります。強力なデータ損失防止機能がプラットフォーム自体に組み込まれ、マルウェアなどのオンラインの脅威が発生した際には、PC へのマルウェア感染の一般的な原因から企業を保護するための幅広いオプションを提供します。

ID 保護とアクセス制御

まずは、ID とユーザー資格情報に対して最先端のアプローチを提供する、次世代の ID 保護とも言えるソリューションをご紹介したいと思います。9 月 30 日付けの私のブログ記事でも触れたように、このソリューションにより、Windows 10 ではデータ センターへの侵害が発生した場合にユーザー資格情報を保護します。また、デバイスが侵害された場合にはユーザーを保護し、ID に対するフィッシング攻撃を受けた場合には攻撃をほぼ完全に無効化します。このソリューションは、企業のお客様と個人のお客様の両方にメリットをもたらし、パスワードの利便性を保ちながら、真の意味でのエンタープライズ クラスのセキュリティを提供します。これは、パスワードなどの単一要素認証オプションを不要にするための取り組みがついに最終段階に至ったことを表しています。このソリューションは新しい次元の ID 保護を実現します。現在ではスマートカードなどのソリューションに限定されている多要素認証を採用し、オペレーティング システムやデバイス自体に直接組み込まれているため、ハードウェア セキュリティ用の周辺機器を追加する必要はありません。

デバイスの登録が完了すると、デバイス自体が、認証に必要な 2 つの要素の一方となります。もう一方の要素は、PIN、あるいは指紋などの生体認証です。つまり、攻撃を行うためにはユーザーの物理デバイスが必要となるうえに、ユーザー資格情報を入力し、ユーザーの PIN または生体認証情報を提示しなければならないのです。ユーザーは所有するすべてのデバイスを登録してこれらの新しい資格情報を利用することも、携帯電話などの単一のデバイスのみを登録して実質的なモバイル資格情報として利用することもできます。携帯電話が手元にある限り、ユーザーはすべての PC、ネットワーク、Web サービスにサインインすることができます。この場合、携帯電話は Bluetooth または Wi-Fi 通信を利用してリモートのスマートカードの役割を果たし、ローカルでのサインインとリモート アクセスの両方に 2 要素認証を提供します。

この Windows 10 のコンポーネントをもう少し詳細に見てみると、IT およびセキュリティ チームにとっては非常になじみのあるシステムであることがおわかりになるでしょう。資格情報として、次の 2 種類のいずれかを利用できます。1 つは、Windows 自体によって生成された暗号化キーのペア (秘密キーと公開キー)、もう 1 つは、既存の PKI インフラストラクチャからデバイスにプロビジョニングされた証明書です。この両方のオプションを提供することで、既に PKI への投資を行っている企業にも、PKI による ID 保護が実用的ではない Web や個人ユーザーのシナリオにも対応します。Active Directory、Azure Active Directory、Microsoft アカウントにより、新しいユーザー資格情報ソリューションを設定不要で利用できるため、Microsoft Online Services をご利用の企業および個人のお客様はすぐにパスワードの利用を廃止できます。このテクノロジは、他のプラットフォーム、Web、他のインフラストラクチャで幅広く採用されるように設計されています。

ユーザーの ID の保護は、ID 保護のアプローチの半分でしかありません。もう半分は、ユーザーの認証後に生成されるユーザー アクセス トークンの保護です。今日、これらのアクセス トークンに対して、Pass the Hash や Pass the Ticket といった手法による攻撃が増加しています。攻撃者はこれらのトークンを不正に入手することで、ユーザーの実際の資格情報を入力することなく、ユーザーの ID を偽装してリソースにアクセスします。この手法は APT (Advanced Persistent Threats) 攻撃と併用されることが多いため、マイクロソフトでも対策を急いでいます。Windows 10 では、Hyper-V テクノロジ上で稼働する安全なコンテナーにユーザーのアクセス トークンを格納するアーキテクチャ ソリューションによって、この種の攻撃への対応を目指しています。このソリューションでは、Windows カーネル自体が侵害された場合にも、デバイスからトークンが抽出されるのを防止することが可能です。

情報保護

Windows 10 では、ID 保護の分野と同様に、情報保護についても大きな進歩を遂げつつあります。まずは、マイクロソフトの取り組みをいくつかご説明しましょう。BitLocker は、デバイス上に存在するデータを保護する業界トップクラスのテクノロジです。しかし、デバイスを離れるとデータは保護されません。デバイスを離れたデータを保護するために、Microsoft Office では Azure Rights Management サービスと Information Rights Management (IRM) を提供しています。通常これらのサービスでは、保護を有効化するためにはユーザーによるオプトインが必要になります。そのためユーザーが事前に対応を行わないと、企業データの漏えいが起こりやすくなるという課題がありました。Windows 10 では、封じ込め機能を利用して企業データと個人データを分離するデータ損失防止 (DLP) ソリューションによってこの問題に対処します。この機能はプラットフォーム自体に組み込まれ、既存のユーザー エクスペリエンスと統合されているため、保護を有効にする際に他のソリューションでよく見られるような中断は発生しません。企業データを保護するために、ユーザーがモードを切り替えたり、アプリを用意したりする必要もありません。つまり、これまでの作業環境を変えることなく、データの安全を確保することができるのです。Windows 10 における企業データの保護では、企業のアプリ、データ、メール、Web サイトのコンテンツなどの機密情報が企業ネットワークからデバイスに移動する際に、それらを自動的に暗号化することができます。また、ユーザーが新しい独自のコンテンツを作成した際に、各ドキュメントが企業データなのか個人データなのかを定義できます。必要に応じて、ポリシーによって、デバイスで作成された新しいコンテンツをすべて企業データとするように指定することもできます。さらに、ポリシーを追加することで、企業のコンテンツから個人のドキュメントに、またはソーシャル ネットワークなどの外部の Web にデータがコピーされるのを防止することも可能です。

Windows 10 では、デスクトップだけでなくモバイルにも高度なデータ保護ソリューションを提供します。このソリューションは Windows Phone でも Windows デスクトップと同様に機能し、保護されたドキュメントを複数のプラットフォームからアクセスできるように相互運用性を確保しています。このほかに、ポリシーによって企業データにアクセスできるアプリを定義することも可能です。マイクロソフトではこの機能をさらに強化し、皆様からのご要望の多い VPN に関する要件にも対応するようポリシーを拡張しました。

外出時や自宅から仕事をする場合、生産性を維持するためには重要なデータやアプリへの接続が欠かせません。また、リモート ユーザーをサポートする場合は (BYOD デバイスを利用する際は特に)、VPN 接続に関連するリスクを低減する方法を検討する必要があります。Windows 10 では、常時接続をはじめ、VPN 経由でアクセス可能なアプリを指定するなど、幅広い VPN 制御オプションを提供します。許可するアプリと拒否するアプリのリストを利用することで、IT 担当者は VPN にアクセスできるアプリを定義し、デスクトップ用とユニバーサル アプリ用の両方の MDM ソリューションによって管理することができます。より細かく制御する必要がある場合は、ポート単位または IP アドレス単位でアクセスを制限できます。こうした機能強化により、企業の IT 担当者は、アクセスに関するニーズとセキュリティおよび制御に関するニーズのバランスを取ることが可能になります。

脅威対策

Windows 10 では、デバイスのロックダウン機能によって脅威やマルウェアへの対策がさらに強化されています。マルウェアはユーザーが無意識のうちにデバイスにインストールしてしまうことが多いため、Windows 10 では、信頼されたアプリ、つまりマイクロソフトが提供する署名サービスを使用して署名されたアプリのみを、特別に構成されたデバイス上で実行可能にすることでこの脅威に対応します。署名サービスへのアクセスは、審査プロセスによって制御されます。このプロセスは、ISV による Windows ストアへの発行アクセスを制御するための審査プロセスと同様のもので、デバイス自体が OEM によってロックダウンされます。OEM が使用するロックダウン プロセスは、Windows Phone デバイスの場合と似ています。企業のお客様は、自社で署名したアプリ、ISV によって提供される特別に署名されたアプリ、Windows ストアのアプリ、またはそのすべての中から、信頼できるアプリを柔軟に選択することができます。Windows Phone の場合と異なるのは、これらのアプリにデスクトップ (Win32) アプリも含まれるという点です。そのため、Windows デスクトップで実行できるアプリはすべてこれらのデバイスでも実行できます。この Windows 10 のロックダウン機能は最新の脅威に対抗する効果的なツールとして利用することが可能で、多くの環境に対応する柔軟性を備えています。

セキュリティの分野についてはご説明したいことがまだまだたくさんあります。今後も新たなセキュリティ機能や機能強化が製品ビルドに追加されしだい、こちらのブログでご紹介する予定です。Windows 10 をビジネスに最適なものとする取り組みについて、引き続き今後の発表にご期待ください。それまでの間、Windows 10 Technical Preview を試用してぜひ皆様のご意見をお聞かせください。