2025年10月14日をもってWindows 10のサポートが終了します。そしてWindows 11では、セキュリティがこれまで以上に強化されています。前後編の2回にわたって、Windows 11で強化されたセキュリティ機能と、企業がWindows 11搭載のPCを使用するうえで考慮するべき点について解説します。→過去の「デバイスをライフサイクル全体で保護 - デバイスセキュリティという考え方」の回はこちらを参照。
Windows11で強化された3つの主なセキュリティ機能は、以下のとおりです。
1. セキュアブート
セキュアブート機能によって、不正なソフトウェアやOSが起動時に読み込まれるのを防ぎます。
2. ハードウェア要件の強化
Windows 11は、TPM(Trusted Platform Module)を必須とし、セキュリティプロセッサーとして機能します。これにより、データ暗号化や認証情報の保護が強化されています。
3. 仮想化ベースのセキュリティ(VBS)
VBSにより、データやプロセスが隔離された安全な環境で実行されるため、悪意のある攻撃から保護されます。
前編では、1つ目のセキュリティ機能である、不正なソフトウェアやOSが起動時に読み込まれるのを防ぐ、セキュアブートについて詳しく説明します。
セキュアブートの役割と重要性
セキュアブートは、コンピュータのファームウェアに組み込まれているセキュリティ機能であり、オペレーティングシステム(OS)が起動する際にその安全性と信頼性を確保するためのものです。
この機能は、UEFI(Unified Extensible Firmware Interface)の一部として提供されており、コンピュータの電源が入るとすぐに働き始めます。セキュアブートは、起動時にロードされる各コンポーネント(ファームウェア、ブートローダ、OS)の署名を確認し、許可されたデジタル署名のついたソフトウェアのみが実行されることを保証します。
これにより、ブートプロセスでの不正なソフトウェアの介入を防ぎます。セキュアブートの大まかな仕組みは以下の通りです。
1. 起動時の検証