日本マイクロソフト セキュリティ レスポンス チーム セキュリティ プログラム マネージャー
ゆりか先生(村木 由梨香)

企業が取り扱う顧客情報や機密データは、ファイアウォールで守られた社内ネットワーク内にあり、「あらかじめ定めた業務PCからのみ利用できるようにする」といった情報保護対策が、多くの企業で運用されています。

しかし、モバイルデバイスやクラウドの普及によって、企業システムも大きく様変わりし、社外からインターネットを経由して社内情報にアクセスしたり、個人所有のデバイスを利用する「BYOD」を採用する企業も珍しくありません。

また、個人で利用しているさまざまなクラウドサービスが普及する今、これを活用して業務データを社外のシステムで取り扱ってしまう「シャドー IT」に頭を悩ます声も聞こえます。こうした環境変化に伴って、ネットワークの境界に依存したセキュリティ管理ではなく、情報を扱う「人」や「データ」を中心とした柔軟なセキュリティ管理が求められています。

第6回では、この新しい考え方を踏襲した新機能を解説します。

情報保護の区分けと、それに対するWindows 10の機能

デバイス保護の重要性

デバイスの保護は、情報を保護するための第一歩です。これは、デバイスに「窃盗・紛失」のリスクが存在するためで、デバイスに保存されているデータに第三者がアクセスすることを防ぐ必要があります。Windows 10はデバイス保護に2種類の機能を用意しています。

  • BitLocker : Windows Vistaより搭載しており、IT部門がグループポリシーによって一括管理できる。ITプロ向けのデバイス暗号化機能としてWindows 10ではPro/Enterpriseで利用可能

  • デバイスの暗号化: Windows 8. 1に新機能として導入したもので、AES 128ビット暗号化が行われている。Windows 10ではMicrosoft アカウントやドメイン アカウントに加えてAzure Active Directoryでも利用可能。Home、Pro、Enterpriseエディションで提供する

Windows 10では、これまでデバイス保護の機能を利用する上で必要だったハードウェア要件を緩和しています。

Windows 8. 1までは暗号化キーがシステム メモリにロードされることから、物理的にデバイスへアクセスできる場合は、メモリからキーを抽出できる可能性がありました。そのため、InstantGo(旧称: Connected Standby)や、ブート中のDMA(Direct Memory Access)制限などの対策を行う必要があります。

しかしWindows 10では、プリブート認証を強化。ホットプラグ DMA拒否を実装したことでデバイス要件を緩和できました。さらにBitLockerの新しい機能として、Windows 10のバージョン 1511以降は「XTS-AES」の暗号化アルゴリズムが利用できるようになりました。このアルゴリズムは、暗号モジュールに関するセキュリティ要件の仕様を規定する米国連邦標準規格「FIPS」に準拠しており、特定の種類の攻撃から暗号を保護することができます。

企業データと個人データの分離

BYODや、社内PCにおける個人アカウントのWebメール、SNS経由の情報漏えいを防止する必要性が出てきた昨今、対策として「個人のデータと企業のデータを分離して、企業のデータだけを管理する」ことが挙げられます。これには、悪意ある攻撃者による情報漏えいの対策以外にも「個人メールに業務データをうっかりコピペした」といった操作ミスから生じる情報漏えい対策を行う必要があるのです。

これまでのWindows OSは、こうした対策にサードパーティ製品を導入する必要がありましたが、Windows 10ではWindows Information Protection(WIP、旧称:Enterprise Data Protection)という新機能を提供しています。これは、MDMソリューションでポリシーを有効にするだけで機能を利用でき、企業用データと個人データをOSレベルで分離して処理します。

Windows Information Protection

モバイル デバイスなどで採用されている「特定の隔離された領域でデータを保存・処理する」という方式とは異なり、WIPではWindows がアクセス ブローカーとなって、ファイルや処理データというアイテムレベルでコンテナ化し、企業と個人のデータを切り分けます。このため、特別なフォルダやアプリを利用したり、モードを切り替えたり、セキュリティ設定を変更する必要がありません。

例えばブラウザの利用中に、あるタブでは個人的なWebサイトを閲覧しつつ、ほかのタブではOffice 365上にある企業データへアクセスしてWord ファイルを保存するという操作も、自動的に企業データと個人データの分離が行われます。Office 365からダウンロードしたWordファイルは自動的に「企業データ」としてマークされ、暗号化されることになります。

こうしたわかりやすい「ファイルのダウンロード」といった単純な操作以外にも、企業データと個人データ・アプリ間のデータ移動を禁止したり、処理の監査が可能となっています。例としては、ユーザーが企業データであるWord ファイルの内容をコピーしてTwitterにペーストして投稿するといった行動を禁止することもできるのです。

Intuneなどの管理ソリューションとWIPを組み合わせれば、企業領域のアプリケーションやデータのみを削除する「セレクティブ ワイプ」なども実現できます。

メリットは導入へのハードルを一気に下がったこと

モバイルやクラウドは、業務効率や生産性の向上に必要不可欠な存在となりました。しかし、さまざまな情報保護機能をすべてオンにすることで禁止・制限項目が増えてしまい、利便性を損ねてしまうケースが多く見受けられます。

これまでもデータ分離や漏えい防止といったData Loss Prevention (DLP)ソリューションは多く存在していましたが、PCとモバイルで異なるソリューションを導入しなければならなかったり、エンドユーザー自身に負担がかかるといった「導入コスト・利便性の壁」が存在していました。

Windows 10では、これらの問題を解決すべく、OSに情報保護の基本機能を組み込み、導入障壁を取り払うことを目指しました。ベースとなる対策をOSが担うことでより高い情報漏えい対策を実現できますし、多彩な情報漏えいのシナリオに対する高い柔軟性はDLPソリューションによって対応可能になります。

より使いやすく、より安全なモバイル・クラウド環境の構築に、ぜひこれらの機能を活用してみてください。