2021年7月15日 8:11 AM

チップからクラウドまでのセキュリティ バイ デザインを実現する Windows 11

チップからクラウドまでのセキュリティ バイ デザインを実現する Windows 11

David Weston (エンタープライズおよび OS セキュリティ担当ディレクター)

※ 本 Blog は米国時間 2021 年 6 月 25 日に公開された Windows 11 enables security by design from the chip to the cloud の日本語抄訳です。

この 1 年間、私たちは PC を介して家族や友人とのつながりを保ち、ビジネスを継続してきました。このハイブリッド ワークという新しいパラダイムをきっかけに、マイクロソフトは 10 億人を超える Windows ユーザーに最適な品質、体験、セキュリティを継続的に提供する方法を考えるようになりました。私たちが自宅からのリモート ワークに慣れたとは言え、サイバーセキュリティの新たな脅威に関する報告を目にしない日はめったにありません。フィッシング攻撃、ランサムウェア、サプライ チェーン攻撃、IoT の脆弱性など、攻撃者はデジタル世界に多大な損害を与える新しい手口を次々に生み出しています。

しかし、攻撃の範囲や巧妙さが増す一方で、私たちも進化してきました。マイクロソフトは、現在と将来にわたってお客様を保護する方法について明確なビジョンを持っており、そのアプローチが有効であることは十分にわかっています。

本日、Windows 11 においてセキュリティ ベースラインを引き上げることを発表します。新しいハードウェア セキュリティ要件を組み込むことにより、認定デバイスのチップからクラウドまでのセキュリティがさらに強化されるという安心感をお客様にもたらします。Windows 11 は、ハイブリッド ワークとセキュリティを考慮して再設計されており、内蔵ハードウェアベースの分離、実証済みの暗号化、マルウェアに対する最も強力な保護機能を備えています。

組み込みのセキュリティ バイ デザインを既定で有効化

マイクロソフトにとって、セキュリティ バイ デザインは長年の優先課題です。セキュリティに年間 10 億ドル以上を投資し、3,500 人以上の専任のセキュリティ エキスパートを置いている企業は他にないでしょう。

チップからクラウドまでのゼロ トラストを標準で実装する取り組みにおいて、マイクロソフトは大きな進歩を遂げてきました。2019 年には、Windows の基盤となるファームウェア レイヤー (デバイスのコア) にセキュリティのベスト プラクティスを適用した Secured-core PC (英語) を発表しました。Secured-core PC は、ハードウェア、ソフトウェア、OS の保護機能を組み合わせることで、高度な新手の脅威に対するエンドツーエンドの保護を実現しています。その中には、ハードウェアやファームウェアに対する脅威からの防御も含まれます。米国立標準技術研究所 (NIST) や国土安全保障省 (英語) によると、こうした脅威は増加傾向にあります。マイクロソフトの Security Signals レポート (英語) によると、企業の 83% がファームウェア攻撃を経験しているにもかかわらず、この重要なレイヤーを保護するためにリソースを割いている企業は 29% にとどまっています。

Windows 11 では、こうした高度な攻撃からの保護機能を標準で簡単に利用できるようになります。すべての Windows 11 認定システムには TPM 2.0 チップが搭載されており、ハードウェアのルート オブ トラスト (信頼の基点) によるセキュリティのメリットを確実に得ることができます。

TPM (Trusted Platform Module) チップは、PC のマザーボードに組み込まれているか、CPU に別途追加されています。その目的は、暗号化キー、ユーザー資格情報、その他の機密データをハードウェア内で保護し、マルウェアや攻撃者がアクセスしたり改ざんしたりできないようにすることです。

将来的には、この最新のハードウェアのルート オブ トラストによって、ランサムウェアなどの一般的な攻撃と、国家による高度な攻撃の両方から PC を保護する必要があります。TPM 2.0 を必須要件にすることで、ルート オブ トラストの内蔵も必須になり、ハードウェア セキュリティの基準が引き上げられます。

TPM 2.0 は、Windows Hello や BitLocker でセキュリティを提供するための重要な要素で、お客様の ID とデータの保護を強化します。また、多くの企業のお客様にとって、TPM はデバイスの正常性を証明するための安全な要素となり、ゼロ トラスト セキュリティを促進します。

Windows 11 は、Azure ベースの Microsoft Azure Attestation (MAA) も標準でサポートしており、セキュリティの最前線にハードウェアベースのゼロ トラストをもたらします。これにより、クラウドに保存されている機密性の高いリソースに Intune などのサポート対象の MDM (モバイル デバイス管理) やオンプレミスからアクセスする場合にゼロ トラスト ポリシーを適用できます。

  • セキュリティ ベースラインを引き上げて進化する脅威に対応: Windows 11 では、VBS (仮想化ベースのセキュリティ)、HVCI (ハイパーバイザーで保護されたコード整合性)、セキュア ブートなどの保護機能を備えた最新の CPU を必須要件にし、既定で有効化することでセキュリティ ベースラインを引き上げ、一般的なマルウェアやランサムウェアと高度な攻撃の両方を退けます。サポート対象の Intel および AMD 製ハードウェアに対して Hardware-enforced Stack Protection (ハードウェア強制型スタック保護機能、英語) などの新しいセキュリティ イノベーションも提供し、お客様をゼロデイ攻撃からプロアクティブに保護します。Microsoft Pluton セキュリティ プロセッサなどのイノベーションが Windows エコシステムの優秀なパートナー様に活用されれば、堅牢なゼロ トラスト セキュリティの中核を成す基盤の強度がさらに高まります。
  • パスワード不要: Windows Hello を使用すれば、パスワード不要で情報を保護できます。企業向けの Windows Hello for Business は、シンプルなパスワード不要の展開モデルをサポートし、展開から稼働までが数分で完了します。IT 管理者は認証方法をきめ細かく制御できると同時に、クラウド ツール間の通信のセキュリティを確保して、企業データと ID の保護を強化できます。また、コンシューマー向けの新しい Windows 11 デバイスは、最初から既定でパスワード不要になります。
  • セキュリティと生産性を両立: すべてのセキュリティ コンポーネントはバックグラウンドで連携し、品質、パフォーマンス、エクスペリエンスを犠牲にすることなくユーザーを保護します。Windows 11 に適用される新しいハードウェア セキュリティ要件の目的は、認定デバイスへの攻撃に対してさらに強固で耐性のある基盤を構築することです。このアプローチが有効であることは、Secured-core PC ではマルウェア感染に対する耐性が 2 倍 (英語) になることからも明らかです。
  • 包括的なセキュリティとコンプライアンス: Microsoft Azure Attestation の標準サポートにより、Windows 11 は構成証明を通じて信頼の証を提示できます。構成証明はコンプライアンス ポリシーの基盤となり、企業は自社のセキュリティ態勢を正確に把握することができます。これらの Azure Attestation ベースのコンプライアンス ポリシーでは ID とプラットフォームの両方が検証され、それがゼロ トラストおよび条件付きアクセス ワークフローの主軸となり、企業リソースが保護されます。

この新たなレベルのハードウェア セキュリティは、今後発売される Pluton 搭載システムに加えて、Acer、ASUS、Dell、HP、Lenovo、Panasonic などの数多くのデバイス (英語) をはじめとする TPM 2.0 セキュリティ チップ搭載デバイスに対応しています。

Windows 11 のハードウェアによる保護機能により、だれもが安心してスマートにコラボレーション、共有、プレゼンテーションを行えるようになります。

関連情報

その他の詳細については、Windows 11 の機能をご確認ください。

マイクロソフトのセキュリティ ソリューションの詳細については、こちらの Web サイトをご覧ください。Microsoft Security ブログ (英語) をブックマークして、セキュリティ関連のトピックを随時チェックしていただくことをお勧めします。また、Twitter アカウント (@MSFTSecurity) をフォローしていただくと、サイバーセキュリティに関する最新情報やニュースをご確認いただけます。

Join the conversation