特集 情シス事情を知る
Windows 10のセキュリティ機能。何が変わり、何が使えるのか
2016年7月
2015年7月29日にリリースされた最新OS、Windows 10。無償アップデートというコスト面での魅力もあり、導入を検討したり、すでに利用している企業も増えている。そんな最新OS、Windows 10のセキュリティ機能は実際のところ、どうなっているのだろうか。Windows 10を安全に使用するために、セキュリティ情報をまとめた。
2015年夏にリリースされた最新OS、Windows 10。「日経コミュニケーション」が2015年8月に行った調査(※)によると、2015年夏の時点で個人使用のPCに「導入済み」は19%程度。しかし、「無償アップデート期間中に切り替えたい」が23%あるなど、昨年段階で企業の半数が導入の意向を示している。
OSの切り換えには常にユーザーの慣れが必要で、アプリケーションの対応度が低い初期には導入を「様子見」するユーザーが多いのはやむを得ない。それでも新OSへの期待は高く、その中でも「セキュリティ全般の強化」は同調査の期待度でランク上位に挙げられていた。
実際、Windows 10はセキュリティ面での進化がリリース以前から注目されていた。Windows XPやWindows 7などを利用し、Windows 10に変更しようか迷っているユーザーにとっては、セキュリティの進化を知ることは重要だろう。企業・個人のデータをマルウェアやサイバー攻撃、さらにはうっかりミスによる情報漏洩から守るために、OSは常に進化し続けているのである。
「認証」「デバイス保護」「データ保護」でセキュリティ機能を強化
Windows XP以降のすべてのWindowsマシンにプリインストールされていたウイルス対策機能の「Windows Defender」はWindows 10でも引き続き装備されている。これですべてのウイルスを検出できるとは言えないが、標準的なウイルスに対する対策は可能で、Windows 10が知らない間に“丸腰”になることを予防してくれる。
「Windowsファイアウォール」もWindows XP以来の伝統的ともいえる機能。ファイアウォールを構築してきたユーザーは、Windows 10でもこの機能が有効になっているかどうかをチェックしておきたい。
Windows 10が注目されるのは、こうした従来からある機能に加えて、先端的な技術を活用した新しいセキュリティ機能が標準装備されていることだ。セキュリティ対策は、「認証」「デバイス保護」「データ保護」の3つの面で強化されている。
認証機能で注目されるのが「Windows Hello」 だ。虹彩認証、指紋認証、顔認証によって構成される生体(バイオメトリクス)認証システムで、指紋読み取りデバイスや顔認証や虹彩認証に対応したカメラなど、PC側に対応デバイスが搭載または接続されていれば、特別なソフトウェア不要で生体認証が可能になる。
生体認証システムを使うことで、これまでのようなパスワード入力の手間が減らせる一方で、パスワードの偽造や流出のリスクを減らせる。マイクロソフトはこれによって「パスワードのない時代の幕開け」と高らかに宣言している。
しかしながら、顔や虹彩認証に対応したデバイスはまだまだ少ない。生体認証システムを使えないユーザーのために、マイクロソフトは「Microsoft Passport」機能をアップデートし、新たな認証管理システムとして再構築した。従来のID/パスワードよりも高度な公開鍵認証システムを活用した技術だ。PINコード(暗証番号)を使ったWindowsの端末ロック解除のほか、そこで登録された各種Webサービスにパスワード入力なしに自由にアクセスできる。
新しい「Microsoft Passport」では2段階認証を採用しており、信頼されていないデバイスにサインインするたびに、ユーザーを確認するため、メールまたは電話でセキュリティコードが通知されることになっている。
- 図 ID,パスワードが漏洩すると不正アクセスされてしまう
従来のOSでの認証は基本的にユーザーIDとパスワードを通して行われていた。デバイスに入力されたパスワードは、ネットワーク経由で認証サーバーに送信されるが、その過程で誰かに傍受されたり、認証サーバーへの悪意ある攻撃によって盗まれる可能性がある。ユーザーIDとパスワード情報を知られたら、ネットワーク経由でPC本体を操作されたり、Webサービスに不正にアクセスされてしまうこともあり得る。
- 図 Windows 10はPINコードが漏洩しても不正アクセスされることはない
一方、Windows 10のMicrosoft Passportでは、パスワードの代わりに「秘密キーで署名されたサインイン要求」を認証サーバーに送ることになっている。認証サーバーは公開キーでその要求の正当性をチェックする。秘密キーはPCなどのデバイス内に設定されており、それを取り出すにはPINコードを入力する必要がある。たとえネットワーク経由でPINコードが盗まれたとしても、デバイス本体が盗まれない限りは、盗んだ側はサインイン要求を認証サーバーに送ることができない。つまり、「PINコード」と「デバイス」をひも付けることで単純なパスワードよりも強固なセキュリティを実現している。
企業内でPCを使う上で重要な「デバイス保護」では、ハードウェアベースでマルウェアをブロックする「Device Guard」機能が新たに搭載された。IT管理者が指定したアプリケーションしか動作しないようにできるので、社員が業務に関係ないアプリケーションを使ってウイルスに感染するといったリスクを軽減することができる。
一方、「データ保護」の機能としては、「Enterprise Data Protection」も注目だ。企業と個人のデータを切り分けで管理でき、企業向けと定義されたアプリケーションから個人のアプリケーションへのコピー&ペーストを禁止することができるなど、個人が故意または意図しない形で情報を外部に漏洩させてしまうことを未然に防ぐ仕組みだ。
標準セキュリティ機能で認証機能とウイルス防衛を強化
Windows 10には様々なセキュリティ機能が備えられており、全体的に従来のOSに比べてセキュリティ度は高まっているといえる。しかし何事も100%の安全というのはあり得ない。搭載されているセキュリティ機能をしっかり確認しつつ、自社の方針に沿ってセキュリティポリシーを決めるのがよいだろう。
自社方針を決める場合の参考として、以下のような段階(セキュリティレベル)が考えられることを示したい。
一つ目は、「Microsoft Passport」を導入し、その利用をセキュリティポリシーとして社内に周知徹底することだ。ユーザーが登録されたマシンに初めてログインするときは「ユーザージェスチャ」の設定が求められる。もし生体認証デバイスが利用できるのであれば、ここで指紋などを登録することができるが、そうでない場合は、PINコードを設定する。上で触れたように、PINコードは2段階認証で守られる。
「Microsoft Passport」導入の前提としては、セキュリティコードを受信できる用意をしておくことや、ユーザー各自がMicrosoftアカウントを取得しておくことが必要だ。
データをマルウェアから守るためには、「Windows Defender」「Windowsファイアウォール」などWindows 10に標準装備のセキュリティソフトを有効化して利用することを考えたい。ただしこの場合、市販のセキュリティソフトはWindows Defenderとは併用できない。標準装備の機能と市販ソフトについて、機能の比較検討を行い、そのうえでどちらを選ぶべきかを判断すべきだろう。
パスワードに頼らないセキュリティ機能を検証
「Windows Hello」を活用し、Windows 10ならではの高度化したセキュリティ対策を全社的に実施するのは次の段階だ。
生体認証センサーを実装したPCが必要であるため、いきなり全社的な導入は難しい。経営戦略、営業、人事、会計・経理部門など高度なセキュリティ対策が求められる部署から順次、導入するという方針が考えられる。これらの部署では、Windows 10アップデートと共に、指紋認証を標準搭載したPCに買い替える、または、USB型の指紋認証デバイスを接続すればよい。「デバイスマネージャー」で認証デバイスが認識されているかどうかをチェックしたうえで、「アカウント」にある「サインイン・オプション」で指紋などを設定する。
マイクロソフトはWindows 10の「Windows Hello」を、単にPCのログイン機能だけでなく、アプリケーション利用でも使えるようにしたり、ウェアラブル機器でも利用できるようにする方針をすでに発表している。すでにスマートデバイスでは浸透し始めている指紋認証機能だが、これがPCでも標準化されるのはそう遠い話ではないだろう。
ユーザー数が多く、かつIT部門の権限が定着している企業の場合は、これらに加えて、「Device Guard」や「Enterprise Data Protection」の導入も考えたい。アプリケーションの起動や動作を、システムレベルでコントロールできる機能であり、万一マルウェア感染などが生じても、その被害を最小限に食い止めることができる。その反面、ユーザーにはアプリケーション利用の制限をもたらすわけで、そのことの周知徹底が肝心になるだろう。
まとめ
企業におけるあらゆる業務がPC無しでは成り立たず、PCで処理する業務内容の秘匿性も高まる一方だが、同時に外部からの攻撃やデータ漏洩などPCをめぐる脅威も多様化・高度化している。例えばマイナンバー制度が導入されて以降、それを取り扱う部署や社員のPCはより高度なセキュリティ対策が求められるようになってきており、これまでのような単純なパスワード認証だけでは、データ漏洩のリスクからPCを守れないという認識も生まれている。
こうしたユーザーのニーズに応じて、OSメーカーはセキュリティ対策も強化せざるを得なくなっている。これまで述べてきたようにWindows 10では、「Windows Hello」による生体認証や「Microsoft Passport」による安全性の高いパスワード認証などが標準機能として搭載された。従来、特殊なソフトウェアやサービスの導入でしか実現できなかった高度なセキュリティ対策が、OSレベルで実装されたことの意味は大きい。
今の時代にOSをアップデートする目的は、単により使いやすいユーザー・インターフェースや処理スピードの向上で業務を効率化するというだけではない。OSのアップデートによる強固なセキュリティ対策の導入もまた重要な目的の一つなのだ。このような観点から見れば、セキュリティ対策が従来と比べ飛躍的に強化されたWindows 10へのアップデートは、そのリーズナブルな導入コストも含めて、十分に検討する価値のあるものだといえよう。
- (※)調査概要
- 調査対象:「日経コミュニケーション」読者モニター
- 調査方法:日経BPコンサルティングのインターネット調査システムで実施
- 調査日程:2015年8月20~28日
- 回答企業数(回収率):416社中170社(40.9%)