「Windows」のセキュリティを大幅に強化--「Microsoft Ignite 2024」で発表の新機能
CrowdStrikeが引き起こした2024年夏の大規模障害では、膨大な額の損害が発生し、「Windows」プラットフォームのアーキテクチャーの根本的な問題が露呈した。1社のベンダーが不具合のある更新を1つリリースしただけで、世界中で多数のPCとサーバーがクラッシュし、自動化された修正が展開されるまでは、マシンを復旧するために人間がそれらのエンドポイントの多くに直接介入しなければならなかった。 先週の「Microsoft Ignite 2024」カンファレンスの開幕時に公開されたブログ投稿で、MicrosoftのエンタープライズおよびOSセキュリティ担当バイスプレジデントのDavid Weston氏が発表した変更は、このような大規模障害の再発の可能性を劇的に低減するはずだ。 米国時間11月19日の発表は、Microsoftとエンドポイントセキュリティベンダーのコミュニティーによる共同の取り組みから初めて生まれた具体的な成果だ。これらのベンダーは企業ネットワークの保護によって合計で年間数十億ドルの売り上げを得ている。セキュリティ製品の開発元は、一連の新しい「Safe Deployment Practices」(安全なデプロイプラクティス)を順守しなければならなくなる。このプラクティスは、追加テストの実施や、製品の更新の段階的な提供を義務付けるもので、セキュリティベンダーは更新をインストールベース全体に一度に配信するのではなく、展開リングと監視ツールを使用して不具合のある更新を検出し、被害が広がる前に展開を一時停止またはロールバックすることを求められる。 「Quick Machine Recovery」と呼ばれる新機能は、不具合のある更新やドライバーが原因で再起動ループに陥ったマシンをリモートで修復しやすくするものだ。Microsoftによると、「IT管理者はこの機能を利用することで、マシンを起動できない場合でも、PCに物理的にアクセスすることなく、PCの『Windows Update』から的を絞った修正を実行できる」という。この機能は「Windows回復環境」を使用しており、Microsoftやサードパーティーの修正のインストールに利用可能だ。2025年前半に「Windows Insider」プログラムでテスト用にリリースされる。 最大の変更点は、カーネルモードを必要とせず、ユーザーモードで動作可能なセキュリティ製品を開発できるようになることだ。Microsoftは、2025年7月にプライベートプレビュー版をセキュリティエンドポイントコミュニティーのパートナーに共有するとしている。この変更が根本的なものであることを考えると、これらの変更を活用したセキュリティ製品が広く提供されるのは、数カ月か数年先になりそうだ。 「Windows 11」の新しいセキュリティツール 2021年のWindows 11のリリース以来、Microsoftは新OSのセキュリティ強化を売りにしてきたが、その大部分は、「Windows 10」でオプションだった機能を有効にする新しいデフォルト設定によるものだった。 今後1年間でWindows 11に追加される予定の新しいセキュリティ機能群は、より根本的なセキュリティ上の懸念に対処する。 セキュリティに関する最大の問題は、Windowsユーザーの圧倒的大多数が管理者権限を持つアカウントを使用していることだ。だまされて悪意あるコードを実行してしまった場合、マルウェアが同じ管理者権限を持ち、追加のソフトウェアをインストールして、システム全体に大損害を与えられるようになってしまう。 この問題を解決するのが、デフォルトで標準ユーザー権限を付与する「Administrator Protection」という機能だ。アプリのインストールやシステム設定の変更など、管理者権限が必要なアクションを実行するには、「Windows Hello」生体認証やデバイス固有の暗証番号(PIN)を使用して認証する必要がある。認証を終えると、現在のアクションにのみ有効な一時トークンが作成され、タスクが完了するとすぐに破棄される。Microsoftはこの変更について次のように主張している。「カーネルなどの重要なシステムセキュリティに、特定のWindows Hello認証なしで自動的に直接アクセスできなくなるため、攻撃者に破壊的な影響を与えるだろう」 Windows Helloの追加により、ユーザー権限に関する状況が一変する。パスワード入力が不要の生体認証を使用できるため、面倒な要素が劇的に減るはずだ。 現在、この機能はプレビュー段階で、一般提供は2025年になるとみられる。 次に紹介する「Smart App Control」は、Windows 11 PCで未知のアプリの実行を防止することで、マルウェアをブロックする機能だ。よく知られたアプリは問題なく実行されるが、署名のない未知のアプリは実行されない。また、インターネットからダウンロードされたスクリプトは、「PowerShell」をマルウェアのインストール経路として利用しようとするものを含め、すべてブロックされる。 Smart App Controlは、コンシューマーPCではデフォルトで有効になる。企業環境では、IT管理者が「App Control for Business」ポリシーを有効にして、「署名済みの信頼できるポリシー」テンプレートを選択する必要がある。その後、管理ツールを使用して社内アプリを追加できる。 最後に紹介する「Windows Protected Print mode」(Windows保護印刷モード)は、攻撃者の侵入手段として積極的に利用されているサードパーティー製のプリンタードライバーを不要にする機能だ。
