Windows 10 スタックの各層に、一般ユーザーと企業ユーザー向けの先進のセキュリティ機能を実装

Windows 10 スタックの各層に、一般ユーザーと企業ユーザー向けの先進のセキュリティ機能を実装

【外部リンク】
https://blogs.windows.com/japan/2016/07/13/advancing-security-for-consumers-and-enterprises-at-every-layer-of-the-windows-10-stack/
※本ブログは、Windows Blog “Advancing Security for Consumers and Enterprises at Every Layer of the Windows 10 Stack” の抄訳です。

マイクロソフトは、Windows 10 の企画と設計のごく初めの段階から、あらゆる方面からの攻撃を Windows 10 スタックのすべての層で防げるように構築しています。

プラットフォームのアーキテクチャ

仮想化ベースのセキュリティ (VBS) によるハードウェアを利用した分離は、攻撃に対して Windows 10 の堅牢性を確保するうえで 1 つのカギとなります。このように Windows 10 では、VBS が支える仮想 TPM、Device Guard、Credential Guard といったマイクロソフトの最も効果的なセキュリティ機能を活用して実行環境を保護しています。近ごろ企業に対して仕掛けられている中でも非常に効果のある決定的な「Pass the Hash (PtH)」という手法に対抗できるのが Credential Guard であるため、このように高く評価していただけるのも不思議ではありません。

ハードウェア ベースの分離と機密性の高い実行環境や情報の保護は、Windows 10 における機能強化という点でも重要な要素であり、デバイス システム プロセッサに搭載された仮想化拡張機能 (Intel VT など) とトラステッド プラットフォーム モジュール (TPM) によって、その取り組みを前進させることができました。また、TPM 2.0 が国際標準として承認 (英語) されたことにより、Windows の OEM 各社が PC 製品ライン全体で TPM 2.0 を標準装備する道が開かれ、フル ボリューム暗号化や強固な多要素認証などのセキュリティ機能を実装することが可能になりました。

Windows 10 Anniversary Update では、Windows Hello の生体認証用検証コンポーネントとユーザーの生体認証データがこうした安全な環境に移行され、非常に高度化した脅威からデータがいっそう安全に保護されるようになります。

侵入される前の防御

マイクロソフトの SmartScreen テクノロジでは、アプリや URL をクラウド ベースで評価する世界トップクラスのサービスを通じて、Windows デバイスとユーザーが脅威に遭遇するのを阻止します。

Windows 10 では次のような点で Microsoft Edge のセキュリティ機能を大幅に強化してきました。

マイクロソフトの AppContainer サンドボックス テクノロジを活用することで、ブラウザーが OS、アプリ、ユーザー データから分離されます。
新しいプラグイン モデルでは、安全を考慮した設計になっていないプラグインは実行されません。
ASLR と制御フロー ガードにおける新たな脆弱性緩和テクノロジにより、ブラウザーへのコード インジェクションやメモリ破壊攻撃に対する防御力が高まり、ヒープ スプレーや ROP といった一般的な脆弱性悪用テクニックが無効化されます。
Web ページで使用されている、またはドキュメントに埋め込まれている信頼できないフォントや害のあるフォントがブロックされるようになり、フォント解析コードがサンドボックス化されます。
これらの機能強化によって大きな成果が上がっています。現在のところ、悪用されて実際に被害が出ているような脆弱性は Microsoft Edge ではいっさい発見されていません。これは上記の機能強化の効果が表れているためだと考えられます。

Flash をブラウザーの外部に隔離します。

Windows 10 ではこの種の脅威への対策として、堅牢性の高いエンタープライズ クラスのマルウェア対策ソリューション「Windows Defender」を提供しています。

ID の保護

Windows Hello は多要素認証を可能にする組み込みのソリューションです。Anniversary Update では主に、IT 部門やユーザーに多要素認証テクノロジを手軽にご利用いただけるようにすること、幅広い業界シナリオに対応できるように機能を充実させることの 2 点において機能強化を実施します。

侵入された後の防御

Anniversary Update では、企業ネットワークへの高度な攻撃に関する検知、調査、対処を支援する新サービス「Windows Defender Advanced Threat Protection」を提供します。

情報の保護

BitLocker はデバイスを紛失した場合、盗難された場合、または不適切に廃棄してしまった場合でも、デバイス上のデータを保護できるフル ボリューム暗号化ソリューションです。

このたび Windows Information Protection (旧称「Enterprise Data Protection」) を Anniversary Update と共にリリースすることを発表いたしました。Office 365 ProPlus などの他のマイクロソフト製品や新しい Azure Information Protection サービス (英語) でも、ビジネス データの保護を支援し総合的なソリューションを提供するために Windows Information Protection を利用しています。

コンプライアンスと認定

マイクロソフトが第三者による審査を依頼しているのが、コモン クライテリア (CC) と米国の連邦情報処理標準 (FIPS) の 2 つの認定です。Windows 10 はこれまでにリリースしたすべてのビルドでセキュリティ認定を取得してきました。新しい Anniversary Update についてもリリース後、直ちに認定プロセスを進める予定です。