昨今はオンライン銀行を模倣したフィッシング詐欺や、スマートフォンからの情報漏えいがニュースで報じられるなど、セキュリティ対策の見直しが重要視されている。MicrosoftはWindows XPをリリースした2001年末頃からセキュリティ対する考え方を改めると同時に、当時から問題視されていたセキュリティ対策を強化してきた。

同社は「Trustworthy Computing(信頼できるコンピューティング)」を実現するため、2002年初頭からNGSCB(Next Generation Secure Computing Base:新しくセキュアなPCシステム)プロジェクトを開始。

ソフトウェア開発者にはセキュアなコードを書くためのトレーニングデータを提供し、静的なコードに点在するオーバーフローバグの排除、外部からの侵入を許してしまう脆弱(ぜいじゃく)性の排除を行うセキュリティ開発ライフサイクル(Security Development Lifecycle)を導入した。

さまざまな角度からセキュリティ対策を講じてきた同社だが、その一環として研究されていたのが、「Secure Startup(セキュアな起動)」もしくは「Full Volume Encryption(フルボリューム暗号化機能)」という名称が用いられていた「BitLocker」である。

そもそもBitLockerは、ディスク全体を暗号化するためのセキュリティ機能だ。PCがハードウェアとして内蔵しているTPM(トラステッドプラットフォームモジュール)を利用して暗号化を行うため、BitLockerで暗号化した物理ディスクが盗まれた際も、実機を用いないと復元できないため、情報漏えいを未然に防ぐというものだ。

具体的にはTPM 1.2に準拠したチップが必要だが、TPMを内蔵していないPCでは、起動時や休止状態からの復帰時にUSB起動キーを挿入しなければならない。

Windows Vistaから搭載されたBitLockerだが、社外秘の書類を作成する場面や外部に漏れると支障を来すデータなど、数多くの重要データをPCに保存しているユーザーには欠かせない機能の一つとなった。多くのユーザーはBitLockerの利便性を既にご承知だと思うので、Windows 8における新機能を簡単にまとめてみよう。

以前はBitLocker PIN(暗証番号)もしくはパスワードをリセットするには、管理者特権が必要だったが、Windows 8では標準ユーザーでも実行可能に変更されている。ディスク暗号化に関してもディスクの一部分のみ暗号化する機能を新たに用意。これにより、全体的なパフォーマンスが向上するという。この他にも製造元で事前に暗号化されているWindowsロゴ付きHDDのサポートや、Windows Server 2012ドメインコントローラーと連動したクラスターの保護、Active DirectoryアカウントとBitLockerキー保護機能を関連付ける機能が加わっている。

BitLockerによる暗号化を有効にしたWindows 8 Pro。SSD(ソリッドステートドライブ)のTrim機能もサポートしている

Windows 8のBitLockerは使用済み領域に対してだけ暗号化する仕組みが選択できる

回復キーの保存先は従来のファイルや印刷以外に、Microsoftアカウントが新たに加わった

Windows 7では、Windows 7 EnterpriseやUltimateといった上位エディションでしか使用できなかったBitLockerだが、Windows 8はエディション構成が大幅に整理されたため、同ProおよびEnterpriseがBitLocker機能をサポートしている。ビジネスシーンでは利便性が高いBitLockerを使用できるのは大きなメリットとなるだろう。なお、USBメモリなどのリムーバブルディスクに対して暗号化を行うBitLocker To GoはWindows 8でも引き続きサポートされている。

常に安全な状態を保持するSmartScreenフィルター

IE(Internet Explorer)8から加わり、フィッシング詐欺をもくろむWebサイトやマルウェアに感染したWebページからの攻撃を未然に防ぐSmartScreenフィルターだが、IE 9ではダウンロードファイルに対しても適用され、IE 10ではWindows 8を含むOS全体で動作する仕組みに変更されている。以前はファイルのゾーン情報を元にネット上からダウンロードしたファイルを検出し、実行時に警告ダイアログを発していた。しかし、Windows 8はディスプレイ全体を暗転表示させ、警告を発しているため、反射的にボタンを押してしまうミスを未然に防いでいる。

Microsoftのデータベースに登録されたフィッシング詐欺サイトにアクセスするとWebページの表示を抑制し、ウイルス感染や攻撃から未然に防いでいる

ファイルのダウンロード時も同様にSmartScreenフィルターが動作し、データベースに登録されていないファイルは警告を発してくる

SmartScreenフィルターによる抑制はファイルの実行も適用範囲。インターネットからダウンロードした疑わしいファイルの実行を抑制することが可能だ

どのWebサイトが危険なのか、どのファイルが疑わしいのかはMicrosoftが運用するデータベースで管理されている。そのため、安全なファイルに対してもダウンロード回数が少ない(検知件数が少ない)場合も警告を発してしまう問題はあるものの、普段からセキュリティを意識せず、安全性が保持されるのは大きなメリットだ。なお、SmartScreenフィルターのロジック上、ユーザーがアクセスするWebサイトやダウンロードするファイルの情報は、Microsoftが管理するサーバー上の送信されるが、ロジック上致し方ないだろう。

個人を特定できるようなプライバシー情報は送信されていないと同社は述べているが、気になる場合は「インターネットのプロパティ」ダイアログの<セキュリティ>タブを開き、安全であると確認が得られているWebサイトのURLを「ローカルイントラネット」に登録。もしくは、同タブで「インターネット」の<レベルのカスタマイズ>ボタンをクリックし、一覧にある<SmartScreenフィルター機能を使う>を<無効にする>に変更すればSmartScreenフィルターは無効になる。ただし、セキュリティレベルは大幅に低下するので、それを踏まえた上で設定してほしい。

安全であることを確認しているWebサイトのURLを「ローカルイントラネット」に登録することで、SmartScreenフィルターを無効にできる

常に無効にする場合は「インターネット」の<レベルのカスタマイズ>ボタンをクリックすると開くダイアログから<SmartScreenフィルター機能を使う>で<無効にする>を選択する

OSに対するSmartScreenフィルターは、「アクションセンター」のナビゲーションウィンドウから動作の有無を制御できる

Windows 8の安全を高める「トラストブートプロセス」

Windows 8にはこの他に数多くのセキュリティ対策機能が備わっているが、特定の環境ではいくつかのセキュリティ対策機能を使用できる。UEFIバージョン2.3.1以降を備えたPCであれば、UEFIセキュアブートが使用可能だ。Windows 8の「トラストブートプロセス」は、その後の起動プロセスを監視するため、ブートプロセスを狙うマルウェアが侵入していても、システムへの攻撃やデータの改ざんといった処理を未然に防ぐことができる。万が一マルウェアのよるブートプロセスの改ざんが発生しても、先の監視機能が動作することで改ざんを自動検出し、システムの修復が行われるという。

もう一つの注目ポイントは「Measured Boot Process(慎重なブートプロセス)」と呼ばれる機能。TPMチップを備えたPCでは、ブートプロセスの測定と署名を作成し、TPMチップにその情報を保存している。Windows Server 2012で構成したサーバは、同情報を元にアクセス許可の有無を制御することが可能になる。これらの機能によるマルウェアの侵入や、感染したPCからマルウェアが拡散することを未然に防ぎ、スパイウェア/マルウェアの対策ツールとして標準で備わる「Windows Defender」によって侵入したマルウェアの駆除も可能だ。

Windows 8にはウイルス対策ソフトとして「Windows Defender」が標準搭載されている

このようにWindows 8はどのような場所で仕事をしても、電源投入後からシャットダウンまでの安全性が大きく増している。PCの仕組みやネットワークロジック、セキュリティ対策に明るい方なら自身の手で防衛することも可能だが、簡単かつ無意識的にセキュリティ強化を求めるのであれば、以前のWindows OSにとどまるメリットは皆無だろう。

最終回となる次回はWindows 8に備わったビジネス向けの機能として、VHDブートやHyper-Vといった機能を紹介する。