情報とデバイスを漏洩やマルウェアから保護
企業に私物のPCを持ち込んで作業するBYODや、システム管理者の知らぬ内に稼働するPCが増えるシャドーITの増加は企業のデータ保護ポリシーと相反する。だが、過剰な規制は社員のモチベーション低下につながり、結果として生産性が低下しかねない。その解決方法としてMicrosoftが提示するのが「EDP(Enterprise Data Protection: 企業データの保護)」だ。
 |
日本マイクロソフトが作成したスライドによれば、企業の機密データを誤って送付したユーザー58%、業務データを個人のメールアドレスに送信、もしくはクラウドにアップしたユーザーは87%にも及ぶ |
EDP自体は単独の機能ではなく、既存の管理システムと組み合わせて使用する。そのため企業がMicrosoft IntuneやSystem Center 2012 R2 Configuration Manager、または他社のMDM(モバイルデバイス管理システム)の導入が必要になるが、クライアントはWindows 10 Proも対応。個人と企業のデータを明確に分離することで、個人データに影響を及ぼさずにデバイスから企業データだけを削除できる。
 |
EDPは保護レベルとしてユーザーの操作を停止する「ブロック」、ユーザーが不適切な操作を行う際に通知する「オーバーライド」、操作停止や通知を行わずにログ記録だけを行う「監査」、そして無効の4レベルがある |
具体例を示すと、例えばWordで作成した機密文書をメール添付やオンラインストレージへのアップロードを抑止し、ログを元に後からユーザーの行動を確認するといった情報管理が可能だ。ユーザー側からすれば常に監視されていることに不満を覚えるかも知れないが、逆に「意図しない情報漏洩が発生しない」ため、仕事にまい進できるだろう。
セキュリティ面では「Device Guard」の存在も頼もしい味方となる。Windows 10 Enterprise限定だが、マルウェアの侵入を未然に防ぐソリューションである。従来は署名(シグネチャー)ベースでマルウェア対策が講じられてきたが、次々と新種が現れる状態だ。そこでMicrosoftは企業側がホワイトリストを作成し、そのリストにあるアプリケーションのみ実行する仕組みを用意した。
UMCI(ユーザーモードコード整合性)を利用し、サービスやUWP(ユニバーサルWindowsプラットフォーム)アプリケーションもしくはデスクトップアプリをチェックして、信頼性があるものだけを起動する。つまりDevice Guardもシステム管理者側の設定次第となるため、ユーザーは企業ポリシーに応じて仕事を進めるだけだ。
 |
Device Guardが有効な状態では指定したアプリケーション以外は動作しない(FEST 2015のセッションより) |
Device GuardはHyper-V仮想技術を利用し、カーネルからコード整合性サービスを分離しているが、この仕組みは「Credential Guard(資格情報ガード)」にも用いている。以前のWindowsは、NTLMハッシュやKerberosチケットといった派生資格情報をハッキングし、その情報を元に他のPCへランダムアタックするPtH(Pass the Hash)攻撃が有効だった。
だが、Windows 10は「VSM(Virtual Secure Mode)」と呼ばれるマイクロOSをHyper-V上で実行し、資格証明書やセキュリティトークンをLSASS(ローカルセキュリティ機関サブシステムサービス)に保存することで、Credential Guardで攻撃を無効にしている。Windows 10とVSMはハードウェアベースで分離・保護されるため、仮にWindowsカーネルがハッキングされても盗難や不正使用を未然に防ぐ。このようにOSレベルで大幅なセキュリティ対策を講じているのがWindows 10だ。
 |
マイクロOSとして稼働するVSMに派生資格情報を保存し、PtH攻撃から資格情報を保護する |
