2022年10月12日 12:53 PM

ハイブリッドワークのために設計された Windows 11 の新しいセキュリティ機能

By

デビッド・ウェストン (David Weston)
エンタープライズ & OS セキュリティ 担当バイスプレジデント

※本ブログは、米国時間 9 月 20 日に公開された “New Windows 11 security features are designed for hybrid work” の抄訳を基に掲載しています。

ハイブリッドワークのために設計された Windows 11 の新セキュリティ機能

攻撃者は常に進化しており、ますます巧妙かつ破壊的になっています。フィッシングメールの被害に遭った場合、攻撃者に個人情報にアクセスされるまでの時間の中央値は、1時間12分です。1マイクロソフトは、35 種以上のランサムウェアファミリー、250 以上のユニークな国家支援攻撃者、サイバー犯罪者などのアクターを追跡しています。その脅威インテリジェンスは比類がないものであり、1 日あたり 25 億件のエンドポイント クエリー、毎秒 921 件のパスワード攻撃に対するブロックなどを含め、日々 43 兆件以上のシグナルを処理しています。セキュリティエコシステム内の 15,000 社以上のパートナーと協力し、77 カ国において 8,500 人以上のエンジニア、研究者、データサイエンティスト、サイバーセキュリティ専門家、脅威ハンター、地政学アナリスト、調査員、フロントラインレスポンダーを擁しており、攻撃状況から継続的に学習していくために人間と機械によるインテリジェンスを組み合わせています。また、脅威がお客様のデバイスに到達する前に阻止するために、Microsoft Offensive Research and Security Engineering (MORSE) という専門チームを設置しています。2これらの取り組みは、設計プロセスに反映されており、リリースごとに、より安全な Windows が提供されます。

「マイクロソフトは、Windows 11 のセキュリティモデルを、すでに何らかの構成要素が侵害されていることを前提として設計しているため、従来のアーキテクチャと比較して、攻撃者が、環境内で検知されずに、侵入し続けることは桁違いに困難になっています。」

SANS Institute

脅威の状況に合わせて進化する保護

本日マイクロソフトは、2022 年 4 月にお知らせしたセキュリティ機能が、Windows 11 で利用できるようになったことを発表します。

アプリケーション コントロール

厳重なセキュリティを確保しつつ、人々がアプリケーションを柔軟に選択できるようにするための機能を追加しました。スマート は、個人または小規模企業向けの新機能です。スクリプト攻撃を防止し、マルウェアや攻撃ツールの可能性がある信頼できないアプリケーションや署名がないアプリケーションの実行からユーザーを保護するために設計されています。3この機能は、日々収集される 43 兆個のセキュリティ シグナルを基にしたインテリジェンスを利用する AI モデルによって、アプリが安全かどうかを予測します。アプリケーション コントロールは、マルウェアから保護する、効果的なアプローチの 1 つとして知られていますが、その導入は複雑な場合があります。Windows 11 では、AI の力を使って継続的に更新されるアプリケーション コントロール ポリシーを生成し、一般的で安全性が確認されているアプリの実行を許可する一方で、新しいマルウェアに関連していることが多い未知のアプリをブロックします。お客様から、この機能をもっとシンプルにしてほしいというご要望があり、それにお応えしました。

スマート アプリ コントロールのアプローチは、高度なアプリケーション コントロール保護を広く利用できるようにするという目標を達成するものです。スマート アプリ コントロールは、Windows Defender Application Control で使用されているのと同じ OS のコア機能上で構築されています。スマート アプリ コントロールは、Windows 11 2022 Update をクリーンインストールしたすべての Windows クライアント エディションで提供されます。また、企業における代替の方法として、IT部門が、Microsoft Intune と Windows Defender Application Control を使用して、職場のデバイスで実行されるアプリケーションを制御するポリシーをリモートで適用できます。

脆弱なドライバーの保護

マルウェアが、脆弱性を悪用して、セキュリティエージェントを無効化し、システムに侵入するためにドライバーをターゲットにすることが多くなっています。Window 11 では、仮想化ベースのセキュリティ (VBS) を使用して、潜在的脅威に対するカーネルの保護を強化しています。

  • HVCI (ハイパーバイザーで保護されたコードインテグリティ) は、メモリ インテグリティとも呼ばれ、すべての新しい Windows 11 デバイス上では既定で有効化されます。HVCI は、VBS を使用して、Windows のメインカーネルの代わりに、安全な VBS 環境内でカーネル モード コード インテグリティ (KMCI) を実行します。これにより、ドライバーなどのカーネル モード コードを改変しようとする攻撃を防ぐことができます。KMCI の役割は、すべてのカーネル コードが適切に署名され、実行を許可される前に改ざんされていないことを確認することです。

HVCI は、検証されたコードのみがカーネル モードで実行できるようにします。ハイパー バイザーは、プロセッサの仮想化拡張機能を利用して、カーネルモード ソフトウェアが、コード インテグリティ サブシステムによってまだ検証されていないコードを実行することを防ぐためのメモリ保護を提供します。HVCI は、WannaCry のような、カーネルに悪意のあるコードを注入する手法を使った一般的攻撃からの保護を提供します。HVCI により、ドライバーなどのカーネルモード ソフトウェアにバグがある場合でも、悪意のあるカーネル モード コードの注入を防ぐことができます。

  • マイクロソフトの脆弱性ドライバーブロックリストは、既知の脆弱性ドライバーを悪用する APT (持続的標的型攻撃) やランサムウェア攻撃に対するもう一つの重要な安全策です。2022 Update 以降、すべての新しいWindows コンピューターでブロックポリシーが既定で有効化され、ユーザーは Windows セキュリティアプリからポリシーを強制するよう選択できるようになりました。

Windows カーネルは、最も特権レベルの高いソフトウェアであるため、マルウェア開発者にとって魅力的なターゲットです。Windows はカーネルで動作するコードに厳しい条件を設けているため、サイバー犯罪者はカーネルドライバーの脆弱性を突いてアクセスすることが一般的です。カーネルブロックリスト機能は、Windows Defender Application Control を活用して、脆弱なバージョンのドライバーの実行を防ぎます。マイクロソフトはエコシステムパートナーと協力し、潜在的な脆弱性を持つカーネルドライバーの特定と対応を継続的に行っています。従来通り、最高レベルの保護が必要なユーザーは、許可リストを指定してドライバー制御を行うこともできます。

ID 保護の強化とパスワード管理の簡素化

Windows 11 の最新の高度なセキュリティにより、中小企業における個人IDの盗難が 2.8 分の 1 に減少しました。5これにより、大切なデータを保護し、安全なハイブリッドワークを実現できます。ここでは、現在そして将来の安全性確保に役立ついくつかの機能拡張を紹介します:

  • Windows Defender Credential Guard は、Windows 11 Enterprise では既定で有効になっています。Credential Guard は、ハードウェア支援の仮想化セキュリティにより、Pass the Hash や Pass the Ticket などのクレデンシャル盗難技術からの保護を提供します。また、この機能は、プロセスが管理者権限で実行されている場合でも、マルウェアによるシステムの秘密情報へのアクセスを防止するのに有効です。
  • LSA (Local Security Authority) によるクレデンシャル隔離は、エンタープライズ環境で使用されている新しい Windows 11 デバイスに追加の保護を提供します。LSA は、ユーザーの身元を確認する重要なプロセスの 1 つです。LSA 保護により、Windows は信頼できる署名されたコードのみを読み込むので、攻撃者による認証情報の盗難は著しく困難になります。
  • Microsoft Defender SmartScreenで強化されたフィッシング対策は、既知の危険なアプリやウェブサイトにパスワードを入力する際に、それを検知し、警告を表示します。また、ユーザーがパスワードを再利用しようとしたり、テキスト ファイルなどの安全でない場所に保存したりしようとすると警告を発し、認証情報の適切な管理を促進します。ブラウザベースの保護にとどまらず、オペレーティング システム自体に高度なフィッシング保護が組み込まれていることで、パスワードが自分や組織に対して悪用される前に、ユーザーが積極的に行動を起こせるようにします。IT 管理者は、Microsoft Intune のようなモバイルデバイス管理 (MDM) ソリューションを使用して、アラートをカスタマイズできます。4
  • Windows Hello for Business はパスワードレス環境を実現します。最初から有効化されているビルトイン保護機能により、Windows 11 は、デバイスの電源を入れた瞬間からソフトウェアやファームウェアによる攻撃をブロックできます。また、Windows Hello for Business と顔、指紋、PIN などの一意の識別子を使用したパスワードレス認証の保護と利便性を利用して、安全で便利なシングルサインオン (SSO) を実現できます。これらの一意の識別子は、お客様のデバイスと結びつけられており、お客様がそのデバイスからコンピューターとクラウド サービスを横断して安全かつ便利に SSO を行うためにのみ使用できます。
  • また、Windows Hello for Business の導入がより簡単になりました。たとえば、PKI (公開鍵基盤) が不要になりました。今日的なパスワードレスのサインイン環境を簡単かつ安全に構築するためには、この導入モデルをご参照ください。
  • また、パスワードレスの環境では、プレゼンス センシングを利用してハンズフリーで安全にサインインできるようになります。プレゼンス センサーはWindows Hello と連携し、近づくとサインインし、離れるとデバイスをロックします。5この機能はオプションであり、プレゼンス センサーを搭載したデバイスであれば容易に有効化できます。

IT ポリシーとコンプライアンスのロックダウン

  • セキュリティのさらなる強化を目的として、Secured-core PCにのみ搭載される構成ロックは、ローカル管理者権限を持つユーザーが設定を変更することで発生する不適切な構成や、デバイスとITセキュリティ ポリシーとの不一致を防止します。構成ロックが有効化されると、Windows 11 は、デバイスがインターネットに接続されていない状態でも、各機能を設定するレジストリ キーを監視します。不一致が検知されると、即座に IT 部門が求める Secured-core PC 状態に戻されます。

構成ロックは、Windows 11 のセキュリティ基盤をベースにし、一部、特定のハードウェア機能によって保護されています。この機能は、あらかじめ設定された CSP (コンフィギュレーション サービス プロバイダー) とポリシーを監視します。これらのポリシーのいずれかをテナント内のデバイスに割り当てている場合、構成ロックを有効にすることで定義された設定を維持できます。

すべての人のセキュリティを向上させる継続的イノベーション

マイクロソフトは、セキュリティとハイブリッドワークに最適化されたハードウェア機能の最新デバイスを使用することの利点にフォーカスしながら、チップからクラウドまでの保護機能追加を継続していきます。

たとえば、機密性が高いデータを扱う業務を行う場合、Windows 11 を搭載した Secured-core PC は最適な選択肢となります。これらのデバイスは、高度なファームウェア保護など、さらなる安全対策が有効化されており、最高レベルの Windows セキュリティが実現されています。また、Windows Defender System Guard が実行可能なデバイスかどうかを検出し、Windows セキュリティ アプリで、この機能が有効化できることをユーザーに警告するようになりました。この Windows セキュリティ アプリのアップデートは、現在 Windows Insider のユーザーに提供されており、近日中に一般提供開始される予定です。

マイクロソフトとシリコン パートナーが設計した Microsoft Pluton セキュリティ プロセッサは、認証情報や暗号化キーなどの機密資産情報をCPU のシリコンに直接統合することで、他のシステムから隔離して保護します。Pluton のファームウェアは、Windows のアップデート プロセスを通じてクラウドから直接セキュリティ アップデートを取得するため、セキュリティおよび IT チームは管理を簡素化し、脅威に対する最新の継続的保護を確保できます。

マイクロソフトは、より安全な未来に向けて共に取り組んでおり、脅威を検知するだけでなく、その防止を支援するイノベーションを今後も提供していきたいと考えています。マイクロソフトは、セキュリティの研究開発に 5 年間で 200 億ドルを投資することを公約しています。4マイクロソフトは、お客様のセキュリティ確保にコミットし、既定で提供される基本的セキュリティを継続的に改善していくことで、お客様の現在および将来の成功を支援してまいります。

チップからクラウドまで、Windows 11 のセキュリティの詳細については、こちらのウェブサイトをご参照ください。また、マイクロソフトが Windows 11 をゼロトラストに向けて最適化する方法の詳細については、Windows 11 Security Book をご参照ください。

マイクロソフトのセキュリティ ソリューションの詳細については、ウェブサイトをご参照ください。セキュリティに関する専門家の情報にキャッチアップするには、セキュリティブログをブックマークしてください。また、サイバーセキュリティの最新情報については、@MSFTSecurity をフォローしてください。

1Cyber Signals: 3 strategies for protection against ransomware (Cyber Signals: ランサムウェアから保護するための 3 つの戦略)、バス・ジャカル (Vasu Jakkal)、2022 年 8 月 30日

2MORSE security team takes proactive approach to finding bugs (MORSE セキュリティチームがバグの発見にプロアクティブなアプローチ)、エリオット・スミス (Elliott Smith)、2022 年 8 月 30日

3提供状況は地域により異なります。

4Microsoft has a $20 billion hacking plan, but cybersecurity has a big spending problem (マイクロソフトが 200 億ドルの投資計画、しかし、サイバーセキュリティへの支出に課題が残る)、エリック・ローゼンバウム (Eric Rosenbaum)、2021 年 9 月 8日

5ハードウェアに依存します。

Join the conversation