日本マイクロソフトは3月6日、Windows 11に備わっているID保護やフィッシング対策などのセキュリティ機能とともに、Windows 11におけるセキュリティの方向性を紹介するメディア向けのオンライン説明会を開催した。

【関連記事】
≪マイクロソフト、サイバーハイジーンのため「パスワードレスに移行すべき」≫
≪マイクロソフト、教育業界向け新サービス「Learning Accelerators」を発表≫

IDやデバイス保護のためにパスワードレスを推進

説明会に登壇したマイクロソフトコーポレーション セキュリティレスポンスチーム セキュリティプログラムマネージャーの垣内由梨香氏は、「IDとデバイス保護の領域において、マイクロソフトは現在、多要素認証とパスワードレスのサポートを最大の目標としている」と語った。

  • マイクロソフトコーポレーション セキュリティレスポンスチーム セキュリティプログラムマネージャー 垣内由梨香氏

    マイクロソフトコーポレーション セキュリティレスポンスチーム セキュリティプログラムマネージャー 垣内由梨香氏

背景にあるのは、年々増加しているパスワードへの攻撃増加がある。米マイクロソフトが自社サービスから得たセキュリティインサイトを分析したところ、マイクロソフトアカウントに同一のパスワードでログインを試みたパスワードスプレー攻撃の月間平均回数は、2018年が約3500件だったのに対して、2022年は500万件にまで増加していたという。

加えて、別調査では同社のサービスユーザーのうち、サイバー攻撃による侵害を受けた被害者の99%が多要素認証を利用していなかったうえ、そのうちの99%は多要素認証が有効であれば不正利用されなかったことがわかっている。

  • 米マイクロソフトが調査したパスワードへの攻撃状況

    米マイクロソフトが調査したパスワードへの攻撃状況

マイクロソフトではスマートフォン向けの二要素認証アプリである「Microsoft Authenticator」のほか、顔認証や指紋認証といった生体認証機能でWindowsへのログインを可能とする機能「Windows Hello」を提供している。

また、パスワードレス認証の標準化を推進するFIDO Allianceによる最新の技術規格「FIDO2」に対応したデバイスや、ハードウェアベースに紐づいたセキュリティキーの提供などを進めているところだ。

「エンタープライズもコンシューマーも、パスワードレスの利用率は低い。現状を変えるために、Windows 11では利便性を高い状態でパスワードと付き合い、認証できるような世界を目指し、デバイスそのものをセキュリティキーとして使ってもらえるような取り組みを進めてきている」と垣内氏。

Windows11で実現目指す、三位一体のセキュリティ

従来のパスワード認証では、他人に知られてはいけないパスワードやハッシュなどの情報がローカル認証を通じてネットワークに流れてしまっていた。マイクロソフトのパスワードレス認証では、ローカル認証と公開鍵認証を分けた2段階認証を採用している。

垣内氏は、パスワードレス認証について「Windows 11がプリインストールされているデバイスには、セキュリティ関連の機能を提供するマイクロチップであるTPM(Trusted Platform Module)が組み込まれている。Windows Helloによるパスワードレス認証では、外部に流出してはいけない情報をTPMに閉じ込めておき、そこに対して認証を行い、デバイス側がネットワークを通じて特定のアプリケーションへ認証をしていく2段階の認証になっている」と解説した。

  • 「Windows Hello」によるパスワードレス認証のイメージ

    「Windows Hello」によるパスワードレス認証のイメージ

そうした、新しいセキュリティを実装できるようになったのは、Windows 10の設計時に Windowsプラットフォームにおける新たなセキュリティを再定義したからだ。サイバー脅威が巧妙化し、ファームウェアの脆弱性が狙われるようになる中で、米マイクロソフトはセキュアなデバイスに必要な7要素を定義。垣内氏によれば、「7つの要素を基にOS、CPU、クラウドの三位一体でセキュリティを担保する方針に舵を切った」という。

Windows 11ではチップからクラウドまで、製品の企画・設計段階でセキュリティ対策を組み込むセキュリティバイデザインの考え方でサービス・機能を開発し、ハードウェアとソフトウェアのセキュリティが連携してユーザー、データ、デバイスを保護する方針でいる。

また、Root of Trust(信頼の基点)の考え方に基づき、ハードウェアとソフトウェアを分離することで脅威から保護し、ハードウェアにおいては、ファームウェアとOSのコードを監視する。このほか、マイクロソフトが設計したセキュリティチップ「Pluton」により、TPMセキュリティをCPUに直接構築している。

  • Windows 11においてはセキュリティバイデザインの考え方でサービス・機能を開発

    Windows 11においてはセキュリティバイデザインの考え方でサービス・機能を開発

Microsoft Defenderでフィッシング対策の機能拡張

パスワードレスを導入する過渡期においてもセキュアなパスワード運用が行えるように、Windows 11では、Microsoft Edgeの「パスワードマネージャー」というパスワード管理機能が標準機能として実装されている。同機能では、パスワードの漏えいを検知したらユーザーに警告する。

パスワードが漏えいしているかどうかは、マイクロソフトの製品・サービスから得られるセキュリティインサイトやダークネットから収集した情報、外部のセキュリティ研究者からの提供情報などを基にしているという。

  • Microsoft Edgeのパスワード管理機能「パスワードマネージャー」

    Microsoft Edgeのパスワード管理機能「パスワードマネージャー」

フィッシングやマルウェアからの保護は、Microsoft Defenderを中心に機能拡張が進められている。

2022年のOSアップデートでは、疑わしいスクリプトや実行可能ファイル、危険なリンクやサイトへのアクセスなどをブロックする「SmartScreen」に、「Enhanced Phishing Protection」というフィッシング対策機能が追加された。

同機能ではフィッシングの可能性がある場合、例えば、IDとパスワードの入力先が安全でない可能性がある場合に警告する。また、セキュリティインサイトを基にパスワードの変更が必要な場合に通知を行ったり、パスワードの再利用やメモ帳への保存時にも警告したりする。

  • 「Enhanced Phishing Protection」の提供機能

    「Enhanced Phishing Protection」の提供機能

Microsoft Defenderでは、インターネット経由でダウンロードしたファイルのうち、マルウェア攻撃でよく利用されるファイルタイプをブロックする「スマート アプリ コントロール」も提供されている。従来は法人向けライセンスなど一部のエディションでしか利用できなかったが、Windows 11では個人向けライセンスでも利用できるようになった。ただし、現状はWindows 11のバージョン「22H2」がプリインストールされた端末か、「ユーザーのデータを保持したままリセットする」機能でOSをアップデートした一部のユーザーのみ利用可能だ。

このほか、個人向けのMicrosoft Defenderでは、複数のデバイスの状態を一元管理できる機能が実装された。同機能は、Microsoft 365 Familyに契約していれば、子供向けのコンテンツフィルターなどの機能を提供する「Microsoft Family Safety」でも利用できる。