～インストールから設定・活用まで～ すべてが分かるWindows 10大百科

第5章 Windows 10のテクノロジー - Windows 10のセキュリティ強化ポイント その1

本来は第4章で述べる話だが、セキュリティ関連ということで本章で扱うことにした。Windows 10におけるセキュリティ対策機能と言えばWindows Defenderが際立つが、注目すべきは「Windows Defender Cloud Protection」の存在だ。

MicrosoftはOutlook.comに代表するメールサービスを運営しているが、常に多大なトラフィックが発生し、1分間に1,000万通のスパムメールをブロックしていると言う。そこから得た情報(攻撃者が使用する文面やマルウェア)を解析し、クラウド上に蓄積。加工したデータをクライアントに配信して、PCを保護する仕組みが、Windows Defender Cloud Protectionだ。

Windows 10の「設定」を見ると「クラウドベースの保護」という、これまでにない項目が確認できる。察するにこちらの機能を有効にすることで、Windows Defender Cloud ProtectionによるWindows 10の保護が可能になるのだろう。

Windows 10のセキュリティ機能を一言で説明すると、上図で示したde:code 2015のスライドが一番分かりやすい。ここに書かれたID保護に含まれるMicrosoft Passportは、FIDO 2.0準拠やPKIの仕組み(公開鍵と秘密鍵)を使ってチャレンジ&レスポンス認証を行い、キーロガー対策などあらゆる面でID管理のセキュリティレベルが向上を目的とした仕組みだ。なお、Windows Helloとも併用できる。

ここで扱うクライアント側の資格証明書だが、そのまま保存するだけではハッキングリスクを回避できない。そのため、ハイパーバイザー上で動作する「VSM(Virtual Secure Mode)」という隔離したマイクロOSを実装し、資格証明書やトークンをLSAS(Local Securty Auth Service)で管理する。VSMとWindows 10間はプロセス間通信でデータを送受信するため、ハッキングリスクは今まで以上に低下するとMicrosoftは説明している。

このロジックを理解するには下図も合わせてご覧頂きたい。Windowsは以前から各認証機能や暗号化機能を支援するサブシステムとして、LSASS(Local Security Authority Subsystem Service)を稼働させているが、サービス本体はVSMに移動する。具体的には、ユーザーを分離した状態で動作するVSMの中にLSAIsoという新しいプログラムを用意し、こちらで資格情報やトークン、キャッシュなどを保存している。そのため、攻撃者がLSASSから取得したユーザーハッシュを悪用した攻撃が不可能になるそうだ。

先の図にあった「データ保護」は、「Enterprise Data Protection」という機能で実現する。あらかじめポリシー設定で許可したアプリケーション同士ならコピー&ペーストできるが、それ以外の状態はプロテクトが働くというものだ。ITに詳しくないユーザーが、知らずにルールを破ってしまうようなセキュリティ脅威にも有効となる。

本機能はProエディションでも使用できるが、証明書アルゴリズムをアプリケーションにも拡張する「Credential Guard」「Device Guard」といったセキュリティ機能は、Windows 10 Enterpriseエディションなどが対象となる。場面によっては我々エンドユーザーも欲する機能だけに、今後の提供拡大を期待したい。