第5章 Windows 10のテクノロジー - Windows 10のセキュリティ強化ポイント その1

本来は第4章で述べる話だが、セキュリティ関連ということで本章で扱うことにした。Windows 10におけるセキュリティ対策機能と言えばWindows Defenderが際立つが、注目すべきは「Windows Defender Cloud Protection」の存在だ。

MicrosoftはOutlook.comに代表するメールサービスを運営しているが、常に多大なトラフィックが発生し、1分間に1,000万通のスパムメールをブロックしていると言う。そこから得た情報(攻撃者が使用する文面やマルウェア)を解析し、クラウド上に蓄積。加工したデータをクライアントに配信して、PCを保護する仕組みが、Windows Defender Cloud Protectionだ。

「Windows Defender Cloud Protection」の実装背景。Microsoftが運営するネットサービスはペンタゴンに続いて第2位の攻撃数を受けている

Windows Defender Cloud Protectionに参加するとサーバ上の最新情報を元にした定義ファイルを元にしたセキュリティ対策が可能になる

Windows 10の「設定」を見ると「クラウドベースの保護」という、これまでにない項目が確認できる。察するにこちらの機能を有効にすることで、Windows Defender Cloud ProtectionによるWindows 10の保護が可能になるのだろう。

「設定」の「更新とセキュリティ\Windows Defender」に加わった「クラウドベースの保護」。ここでWindows Defender Cloud Protectionへの参加を切り替える

日本マイクロソフトが作成したWindows 10のセキュリティ機能。ID保護やデータ保護、脅威への対策と3項目に分別している

Windows 10のセキュリティ機能を一言で説明すると、上図で示したde:code 2015のスライドが一番分かりやすい。ここに書かれたID保護に含まれるMicrosoft Passportは、FIDO 2.0準拠やPKIの仕組み(公開鍵と秘密鍵)を使ってチャレンジ&レスポンス認証を行い、キーロガー対策などあらゆる面でID管理のセキュリティレベルが向上を目的とした仕組みだ。なお、Windows Helloとも併用できる。

ここで扱うクライアント側の資格証明書だが、そのまま保存するだけではハッキングリスクを回避できない。そのため、ハイパーバイザー上で動作する「VSM(Virtual Secure Mode)」という隔離したマイクロOSを実装し、資格証明書やトークンをLSAS(Local Securty Auth Service)で管理する。VSMとWindows 10間はプロセス間通信でデータを送受信するため、ハッキングリスクは今まで以上に低下するとMicrosoftは説明している。

Windows 10から加わるVSM。マイクロOSとして稼働し、認証情報などをユーザーから分離させる

このロジックを理解するには下図も合わせてご覧頂きたい。Windowsは以前から各認証機能や暗号化機能を支援するサブシステムとして、LSASS(Local Security Authority Subsystem Service)を稼働させているが、サービス本体はVSMに移動する。具体的には、ユーザーを分離した状態で動作するVSMの中にLSAIsoという新しいプログラムを用意し、こちらで資格情報やトークン、キャッシュなどを保存している。そのため、攻撃者がLSASSから取得したユーザーハッシュを悪用した攻撃が不可能になるそうだ。

こちらはより詳細な内容。右がWindows 10、左がVSMだ。今後は新しいLSAIso.exeが資格情報を管理する

先の図にあった「データ保護」は、「Enterprise Data Protection」という機能で実現する。あらかじめポリシー設定で許可したアプリケーション同士ならコピー&ペーストできるが、それ以外の状態はプロテクトが働くというものだ。ITに詳しくないユーザーが、知らずにルールを破ってしまうようなセキュリティ脅威にも有効となる。

「Enterprise Data Protection」でプロテクトしたアプリケーション上で文字列をコピー&ペーストすると警告が発せられる

ファイルの保存ダイアログにも、企業情報を付加することでドキュメントを保護する機能を備える

本機能はProエディションでも使用できるが、証明書アルゴリズムをアプリケーションにも拡張する「Credential Guard」「Device Guard」といったセキュリティ機能は、Windows 10 Enterpriseエディションなどが対象となる。場面によっては我々エンドユーザーも欲する機能だけに、今後の提供拡大を期待したい。