2016年7月13日 11:36 AM

Windows 10 スタックの各層に、一般ユーザーと企業ユーザー向けの先進のセキュリティ機能を実装

※本ブログは、Windows Blog “Advancing Security for Consumers and Enterprises at Every Layer of the Windows 10 Stack” の抄訳です。

サイバー攻撃はまさに革命的に進化しているさなかにあり、皆様も苛立ちを覚えているように、かなり前から攻撃者に優位な状況が続いています。企業が現在対峙している攻撃者はますます資金力を高めており、十分に防御された環境でもたやすく侵入し、攻撃によって経済的価値を引き出しています。実際、攻撃者が企業に対して用いる攻撃テクニックを前にしては、プラットフォームやセキュリティ インフラストラクチャの防御体制も敵いません。事実上、企業は「意のままに侵入できる」状態です。多額のセキュリティ予算を投じている企業であっても、侵入を受けることは少なくありません。

一方、経済的な影響と攻撃者の手にする金銭はもはや推測の話ではなく、マスコミが頻繁に報じているように、金額的影響と混乱が実際に生じており、こうしたセキュリティ侵害による影響は看過できないレベルに到達しています。攻撃者がテクニックをさらに巧妙化させ、あらゆる規模の企業に対象を広げ、そして攻撃の成功率が高くなるにつれて、知的財産を盗んで金銭を巻き上げ混乱させようとする者たちは爆発的に増加するばかりです。

こうした脅威の現状に対処するには、まったく新しいアプローチを採用する必要があります。その 1 つとして、一連の防御策を境界部に敷いて保護する方法ではいずれ迂回されてしまうため、そうではなく境界の内側から外側に向けて防御するようにプラットフォームのアーキテクチャが設計されるようになりました。マイクロソフトは、Windows 10 の企画と設計のごく初めの段階から、あらゆる方面からの攻撃を Windows 10 スタックのすべての層で防げるように構築しています。

プラットフォームのアーキテクチャ

仮想化ベースのセキュリティ (VBS) によるハードウェアを利用した分離は、攻撃に対して Windows 10 の堅牢性を確保するうえで 1 つのカギとなります。VBS はプロセッサの仮想化拡張機能を利用することで、機密性を要する Windows のコンポーネントおよびデータと、OS の残りの領域の間にハードウェア ベースのセキュリティ境界を作ります。このように Windows 10 では、VBS が支える仮想 TPM、Device Guard、Credential Guard といったマイクロソフトの最も効果的なセキュリティ機能を活用して実行環境を保護しています。Credential Guard は、ユーザーの皆様から「最も重要なセキュリティ機能であり、この機能だけでも Windows 10 を導入する意味があるくらいの魅力がある」という評価が寄せられており、高いセキュリティ効果が証明されています。近ごろ企業に対して仕掛けられている中でも非常に効果のある決定的な「Pass the Hash (PtH)」という手法に対抗できるのが Credential Guard であるため、このように高く評価していただけるのも不思議ではありません。

ハードウェア ベースの分離と機密性の高い実行環境や情報の保護は、Windows 10 における機能強化という点でも重要な要素であり、デバイス システム プロセッサに搭載された仮想化拡張機能 (Intel VT など) とトラステッド プラットフォーム モジュール (TPM) によって、その取り組みを前進させることができました。また、TPM 2.0 が国際標準として承認 (英語) されたことにより、Windows の OEM 各社が PC 製品ライン全体で TPM 2.0 を標準装備する道が開かれ、フル ボリューム暗号化や強固な多要素認証などのセキュリティ機能を実装することが可能になりました。

Windows 10 Anniversary Update では、Windows Hello の生体認証用検証コンポーネントとユーザーの生体認証データがこうした安全な環境に移行され、非常に高度化した脅威からデータがいっそう安全に保護されるようになります。詳細については、デバイスとアーキテクチャに関するこちらのブログ記事 (英語) をご覧ください。

侵入される前の防御

マルウェアや高度な脅威に対するプラットフォームの抵抗力を確保することは、マイクロソフトの最優先事項の 1 つです。侵入前の防御は、Windows デバイスを脅威に接触させないことを目的としています。マイクロソフトの SmartScreen テクノロジでは、アプリや URL をクラウド ベースで評価する世界トップクラスのサービスを通じて、Windows デバイスとユーザーが脅威に遭遇するのを阻止します。たとえば、ユーザーが Microsoft Edge または Internet Explorer を使用してアクセスしようとしているサイトが悪意のあるサイトとして認識されている場合、SmartScreen はユーザーに警告を表示し、ブラウザーでそのサイトにアクセスしないようにします。Windows 10 Anniversary Update の SmartScreen は新たにマイクロソフトのインテリジェント セキュリティ グラフを活用することで、次々と生まれている脅威に対して広範囲に対応し、迅速に評価分けを行います。

Windows 10 では次のような点で Microsoft Edge のセキュリティ機能を大幅に強化してきました。

  • マイクロソフトの AppContainer サンドボックス テクノロジを活用することで、ブラウザーが OS、アプリ、ユーザー データから分離されます。
  • 新しいプラグイン モデルでは、安全を考慮した設計になっていないプラグインは実行されません。
  • ASLR と制御フロー ガードにおける新たな脆弱性緩和テクノロジにより、ブラウザーへのコード インジェクションやメモリ破壊攻撃に対する防御力が高まり、ヒープ スプレーや ROP といった一般的な脆弱性悪用テクニックが無効化されます。
  • Web ページで使用されている、またはドキュメントに埋め込まれている信頼できないフォントや害のあるフォントがブロックされるようになり、フォント解析コードがサンドボックス化されます。

これらの機能強化によって大きな成果が上がっています。現在のところ、悪用されて実際に被害が出ているような脆弱性は Microsoft Edge ではいっさい発見されていません。これは上記の機能強化の効果が表れているためだと考えられます。

ユーザーの皆様にとっては嬉しいニュースだと思いますが、マイクロソフトはこれで満足しているわけではありません。Windows 10 Anniversary Update では優れた機能を新たに導入し、攻撃者に対する防御水準をさらに高めています。まず、Flash をブラウザーの外部に隔離します。これにより、Flash の脆弱性をねらった攻撃を阻止し、ブラウザーや、システムのその他の領域への影響を抑えます。また、重要ではない Windows サブシステムへのアクセスを制限することにより、Microsoft Edge と Internet Explorer 内の攻撃に接する領域を劇的に抑えています。

脅威への対策について考えるときに多くのユーザーがまず思い付くのは、ウイルスやスパイウェアを検出するためのマルウェア対策ソリューションです。Windows 10 ではこの種の脅威への対策として、堅牢性の高いエンタープライズ クラスのマルウェア対策ソリューション「Windows Defender」を提供しています。Windows Defender は、規模と巧妙さを増している現在の脅威に対抗するべく、Windows 10 Anniversary Update で大幅に機能強化が実施されます。この数年にわたる継続的な努力が実り、業界を代表する第三者評価機関 AV-comparatives によるテストで、Windows Defender はこの 12 か月間で著しくスコアを伸ばし、2016 年 4 月の感染テストでは 99.8% の検出率を達成しました。前年に比べると 11% 以上改善されています。

ID の保護

Windows Hello は多要素認証を可能にする組み込みのソリューションです。Anniversary Update では主に、IT 部門やユーザーに多要素認証テクノロジを手軽にご利用いただけるようにすること、幅広い業界シナリオに対応できるように機能を充実させることの 2 点において機能強化を実施します。Windows Hello は 1 つのシームレスなスタックに完全に統合されています。Windows Hello の統合コード ベースはあらゆる種類の生体認証をサポートし、認証に使用されるユーザー資格情報を管理します。

現在 Windows Hello を利用するには、使用するデバイスごとにユーザー ID の登録を行う必要があります。しかし中には、ユーザー資格情報を PC またはモバイル デバイス上に登録したくないと考えるお客様もいらっしゃるはずです。その場合は Windows Hello のコンパニオン デバイスとアプリを利用することで、Windows Hello の認証要素と資格情報そのものを複数のデバイスに分散させ、ほぼあらゆる構成で利用できるようになります。たとえば、生体認証用のセンサーを搭載していない PC でも、Windows Hello をセットアップして、生体認証対応のウェアラブル機器または企業が承認しているコンパニオン デバイス (スマートフォンや従業員 ID カードなど) を使用すれば、PC のロックを解除することができます。Windows Hello のコンパニオン デバイスとアプリのフレームワークは、ほぼすべての一般ユーザーまたは企業ユーザーのシナリオに対応するコンパニオン デバイスの開発を可能にし、さまざまなレベルの柔軟性、エンタープライズ セキュリティ、コスト パフォーマンスを提供します。ID 保護の詳細についてはこちらのブログ記事 (英語) をご覧ください。

侵入された後の防御

Anniversary Update では、企業ネットワークへの高度な攻撃に関する検知、調査、対処を支援する新サービス「Windows Defender Advanced Threat Protection」を提供します。このサービスは Windows 10 で使用されているセキュリティ防御機能を基盤としており、脅威が Windows 10 のセキュリティ スタックをすり抜けた後の新たな保護層として機能します。Windows 10 に組み込まれているクライアント テクノロジや堅牢なクラウド サービスと組み合わせることで、他の防御機能を通過して侵入した脅威を検知し、エンドポイント全体に対して侵入を調査するために必要な情報を取得し、推奨される対策を講じることができます。侵入後の防御の詳細についてはこちらのブログ記事 (英語) をご覧ください。

情報の保護

情報の保護は企業にとって最重要課題であり、Windows 10 ではこの分野に大規模な投資を行ってきました。BitLocker はデバイスを紛失した場合、盗難された場合、または不適切に廃棄してしまった場合でも、デバイス上のデータを保護できるフル ボリューム暗号化ソリューションです。Windows 10 の BitLocker では特にエンタープライズ レベルの管理機能 (英語)シングル サインオン (英語) に関してユーザーが求めている要件に対応しています。Windows 10 への移行を計画される際は、BitLocker の企業向け機能を再度ご確認ください。

また、マイクロソフトは Windows プラットフォームでデータ漏えい防止機能を提供することにも注力しており、このたび Windows Information Protection (旧称「Enterprise Data Protection」) を Anniversary Update と共にリリースすることを発表いたしました。Windows Information Protection は、ビジネス関連の情報と個人の情報を分離し、情報を封じ込めることで、ユーザーやアプリケーションによる不慮の漏えいや不正なアクセスを防止し、必要に応じて企業がビジネス データを消去できるようにするサービスです。簡単に展開して利用することができます。Windows Information Protection はプラットフォームに完全に統合されているため、ユーザーの作業中断が最小限に抑えられており、他のソリューションとは違ってモードを切り替えるなどの操作は必要ありません。Office 365 ProPlus などの他のマイクロソフト製品や新しい Azure Information Protection サービス (英語) でも、ビジネス データの保護を支援し総合的なソリューションを提供するために Windows Information Protection を利用しています。Information Protection の詳細についてはこちらのブログ記事 (英語) をご覧ください。

コンプライアンスと認定

マイクロソフトは長年にわたって、自社製品、特に Windows についてセキュリティ関連の認定を取得するために取り組んできました。その中で常にマイクロソフトが第三者による審査を依頼しているのが、コモン クライテリア (CC) と米国の連邦情報処理標準 (FIPS) の 2 つの認定です。これらの認定を取得しておくと、他の国や地域で行われている認定でも迅速に審査と手続きを進めることができます。Windows 10 はこれまでにリリースしたすべてのビルドでセキュリティ認定を取得してきました。新しい Anniversary Update についてもリリース後、直ちに認定プロセスを進める予定です。CC と FIPS の準拠、認定、プロセスの詳細については、こちらのブログ記事 (英語) をご覧ください。

今回ご紹介する内容は以上です。Windows 10 Anniversary Update では、Windows 10 に既に備わっているセキュリティ機能に加え、さらに多くのイノベーションが提供されます。これらのイノベーションの多くはいつものようにユーザーや Windows Insider Program 参加者の皆様からのご意見を参考にしていますが、いかにセキュリティを確保していくかについて社内で計画を立てる際には、常にもっと高いレベルを追求しています。考え抜かれたエンドツーエンドのアプローチに始まり、アーキテクチャからボトムアップで構築し、さまざまな攻撃シナリオと重要な資産を突き合わせて検討し、脅威が激化する現代の情勢に対して総合的かつ計画的に取り組んでいます。こうした努力により、攻撃が成功してしまったときに対処することも、将来もっと優れたセキュリティを実現するために迅速にイノベーションを生み出すことも可能になります。

一般ユーザーの方も企業ユーザーの方も、ぜひ Windows 10 にアップグレードして、現在提供されているセキュリティ関連のあらゆる機能を体験してみてください。