情報漏えいの不安がかなり減る？ Windows 10のイマドキセキュリティ

時間や場所を選ばず働きたいが、PCは持ち出し禁止……。Windows 10には大切な情報を脅威から守るべく3つのセキュリティ対策が搭載されている。情報漏えいのリスクを減らしてくれるこれらの対策を紹介しよう。

[PR／ITmedia]

PR

厳しいルールがもたらす情報のリスク

　セキュリティの脅威を振り返ると、2000年代の始めはITシステムにダメージを与えるワームやウイルスが大流行した。当時の攻撃者は不正プログラムの拡散を通じて世の中に騒ぎを起こす愉快犯だ。今では企業・組織や個人が持つ情報の金銭的な価値が高まり、攻撃者は情報を盗み取る犯罪者として高度なマルウェアやだましのテクニックなど巧妙な手口を幾つも駆使してくる。

　現在はあらゆるシーンで情報を活用しなければ、もはやビジネスが立ち行かなく時代でもある。PCやモバイルデバイス、インターネットやクラウドサービスを利用して情報を活用することが半ば必然となってきたが、情報を取り巻くリスクには犯罪者の攻撃に加え、デバイスの盗難・紛失といった過失もある。

セキュリティの脅威とリスクはビジネスシーンに潜んでいる

　これまで企業・組織は、情報を取り巻くリスクにさまざまなセキュリティ対策を講じてきたが、旧来からのセキュリティ対策が複雑化になればなるほど、セキュリティ対策を有効に機能させる運用は難しくなる。その結果、多くの企業・組織が選択したのは「○○してはいけない（禁止）」「必ず○○すること（義務）」といったというルールによる“縛り”である。

　ただし、厳しさばかりを社員に押し付けるルールは、ビジネスを動かすために必要なITや情報の利活用の妨げになりかねない。社員はルールに息苦しさを感じるようになり、管理者の目の届かないところで、ルールの抜け道に走ろうとする。実際、社員が密かに業務データを持ち帰り、マルウェアに感染した自宅のPCから業務データが外部に漏えいするといった事態は良く耳にするだろう。

日本マイクロソフト クラウド＆ソリューションビジネス統括本部 デバイス＆モビリティ営業部 テクニカル営業部 シニアテクノロジースペシャリスト 胡口敬郎氏

　「『パスワードの文字列は大小英文字＋数字＋特殊文字で12桁以上』や『パスワードは必ず3カ月ごとに変更せよ』といった例にみられるルールは、ユーザーにその管理を委ねるものです。しかし、厳しいルールはユーザーに負担をかけるだけであり、その結果、パスワードをメモした紙をPCに貼り付けてしまうような行為に及んでしまいます」（日本マイクロソフト クラウド＆ソリューションビジネス統括本部 シニアテクノロジースペシャリストの胡口敬郎氏）

　人に依存したセキュリティ対策に限界がある以上、情報の安全を守るにはやはりテクノロジーで補うアプローチが必要だ。そこでマイクロソフトは、最新OSのWindows 10において「マルウェアを実行させない」「パスワードに依存しない」「データを悪用させない」という3つの観点によるセキュリティ対策を提供している。

マルウェアを実行させない「Device Guard」

　上述したように情報を取り巻く脅威の1つが、サイバー犯罪者による攻撃だ。

　特に標的型攻撃と呼ばれる手口では巧妙な偽装メールを相手に送り付け、メールの本文に記したリンク先のWebサイトからマルウェアをダウンロードさせたり、メールに添付したマルウェアを含むファイルを開かせたりすることで、マルウェアに感染させる。これまで「怪しいメールを開いてはダメ」といったルールが叫ばれてきたが、標的型攻撃のメールは“怪しくない”ように作成されているので受信者は開いてしまう。

　また、攻撃に使われるマルウェアは非常に多くの新種や亜種が登場しているため、ウイルス対策ソフトによる検出や駆除が追い付かない状況にもある。

　Windows 10に搭載された「Device Guard」は、コンピュータに侵入するマルウェアを実行させないことで、マルウェアの脅威を実質的に無効果する機能だ。Device Guardを有効にすれば、信頼されているアプリケーションだけをWindows 10上で実行できるようになる。

信頼されているアプリケーションだけを実行することで安全を確保するDevice Guard

　信頼されているアプリケーションとは、正しいコード署名が付与されているアプリケーションだ。具体的には、「Windows ストア」や「ビジネス向け Windows ストア」、Microsoft以外の署名機関、組織が発行しているデジタル証明書によって署名されたアプリケーションとなる。近年のWindowsで導入されているユニバーサルアプリケーションやデスクトップアプリケーション（Win32アプリ）、広く利用されているビジネスアプリケーションなどが対象だ。

　「企業のIT管理者はホワイトリストに基づいて安全性の高いアプリケーションだけを社員に実行させることができるようになります。ホワイトリストに無いアプリケーションは実行できませんので、例外的なアプリケーションを使用することによるリスクも軽減します」（胡口氏）

　また、アプリケーションに付与されたコード署名の検証や信頼済みのコード署名リストの改ざんを防ぐために、「Credential Guard」という機構も備える。Credential Guardは、Windows 10のOS領域とは異なる論理空間の専用の仮想マシン（VSM＝Virtual Secure Mode）上で実行され、万一OSにマルウェアが侵入してもVSMにあるCredential Guardに手を出すことができない。マルウェアの実行はDevice Guard とCredential Guardでブロックされることから、マルウェアは感染先のコンピュータで身動きすらできないというわけだ。

　なお、企業や組織で以前から利用されている自社開発の業務アプリケーションなどの中にはコード署名されていないものもある。このためマイクロソフトでは企業や組織がこうしたアプリケーションにコード署名を付与できるサービスを近日中に開始することにしているという。

ユーザーをパスワードの制約から解放する

　コンピュータやシステムへのログオン、サービスへのログインといった認証で長く使われてきたパスワードは、今ではセキュリティリスクの温床にもなってしまっている。その理由は、胡口氏が指摘しているようにパスワードの管理をユーザーの記憶に委ねざるを得ないという点にある。

　現在は1人のユーザーがたくさんのデバイスとサービスを日常的に利用している。その1つ１つについて異なるIDとパスワードを設定しなければならないだけでなく、複雑かつ長い文字列の組み合わせを何度も変更しなければならないので、ユーザーはもはや覚え切れない状況だ。結果的に、ユーザーは幾つかのIDとパスワードの組み合わせの使い回しや、第三者が推測しやすい簡単な文字列を設定しているケースが散見される。

　このためサイバー犯罪者は、高性能なコンピュータを駆使して全てのIDとパスワードを試すブルートフォース（総当たり）攻撃をしなくても、頻繁に利用されるIDとパスワードの文字列のリストをアンダーグランドから購入できるし、ユーザーが使い回しているIDとパスワードの組み合わせさえ分かれば、複数の異なるサービスへ簡単に不正アクセスして、ユーザーの情報を容易に盗み取ることができる。

　パスワードはのぞき見にも弱い。パスワードだけでログインするPCを会社の外で利用しづらいのはもちろん、社内であっても悪意を持つ人物に知られてしまう恐れがある。

　マイクロソフトは、Windows 10で「パスワードのいらない世界」を目指しているというパスワードに依存しない認証を実現するために提供しているのが、「Windows Hello」と「Microsoft Passport」という機能だ。

　Windows Helloは、顔や指紋、虹彩といったユーザーの生体情報を認証に利用する。ユーザー登録さえ完了すれば、後はパスワードを覚えたり、変更したりすることなく、すぐに認証できる利便性と安全性を高められる仕組みであり、業界標準の「FIDO 2.0」もサポートしているので、サードパーティーの認証方式と組み合わせることも可能だ。

Windows HelloとMicrosoft Passportでパスワードの無い世界が実現する

　Windows 10ではWindows HelloとMicrosoft Passportを組み合わせることで、セキュリティレベルをさらに高めている。まずユーザー情報を登録すると、クライアントコンピュータで鍵ペアが生成され、秘密鍵がクライアントコンピュータのTrusted Platform Module（TPM）チップに、公開鍵がサーバに置かれる。

　認証時はユーザーがサーバにIDを提示し、サーバから「nonce」と呼ばれる使い捨ての値がユーザーに送信され、ユーザーのクライアントコンピュータのTPMに格納されている秘密鍵で署名をしてからサーバに返される。サーバでは公開鍵を使ってnonceの署名が正しいユーザーによるものかを検証し、それを確認するとユーザーに接続のためのトークンを発行する。これによってユーザーはサーバへ接続し、サービスを利用する。

　一見すると複雑な流れかもしれないが、ここでのポイントはパスワードを使わないという点だ。パスワード認証ではユーザーのPC側とサーバ側の両方にパスワードを保存する必要があり、ユーザーが自身のパスワードをどんなに守っていても、ユーザーのPC側が攻撃されるとパスワードが盗まれてしまう危険がある。一方、Windows HelloとMicrosoft Passportの仕組みならPC側にパスワードを保存する必要も無いので、PC 側のセキュリティ対策をしやすくなる。

　このようにWindows 10のWindows HelloとMicrosoft Passportを利用すれば、既に「パスワードのいらない世界」をいつでも実現することができるというわけだ。

データの悪用を防ぐEnterprise Data Protection

　ユーザーがさまざまなデバイス、サービスを活用するようになれば、大切な情報を記録したデータもまたさまざまな環境で利用されるようになり、漏えいのリスクは高まってしまう。第三者による悪用から情報を守るには、情報を記録しているデータそのものの保護も欠かせない。

　Windows 10ではデータを保護する「Enterprise Data Protection」という新たな機能が提供される。Enterprise Data ProtectionではWindows 10の中をユーザーのプライベートなデータを扱う領域とジネスデータを扱う領域に分け、ビジネスデータを扱う領域では企業や組織がセキュリティポリシーを適用できるようになるというものだ。

1つのデバイスの中で企業専用の領域を設けてビジネスデータを守るEnterprise Data Protection

　例えば、ビジネスデータを扱う領域の中のデータだけを暗号化したり、アプリケーション間でのデータのやり取りを禁止したりすることや、ビジネスデータのみを削除、特定ネットワークのみでの業務システムへのアクセス許可といったきめ細かいポリシーが可能だ。企業や組織ではビジネスデータを扱う領域だけを管理することもできるため、欧米で導入が進むBYODと呼ばれる社員個人のデバイスを業務に使用する運用も安全な形で実現していける。

　Enterprise Data Protectionでの暗号化やさまざまセキュリティポリシーは、マイクロソフトのクラウド型クライアント管理サービス「Microsoft Intune」から行え、社員の個人デバイスはもちろん、社外に持ち出されるさまざまなデバイスに対して適用したり、管理したりできるだろう。

　Enterprise Data Protectionは、Windows 10の次期メジャーバージョンアップにおいて提供される予定だ。

---

　胡口氏は、「ユーザーが日常的に利用するPCやモバイルデバイス、サーバといったエンドポイントは、情報の安全を守るセキュリティ対策の要といえるでしょう。そのため、Windows 10ではユーザーがセキュリティ対策に負担を感じることなく、セキュリティを高めることに注力しています」と語る。

　標的型攻撃などの脅威が増し続ける状況で企業や組織は、これからもセキュリティ対策を強化しなければならないだろう。しかし、従来の方法によって強化するだけでは複雑で難しい運用を強いられ、社員の負担も軽くはならない。最新のテクノロジーが常に提供されるWindows 10のセキュリティ対策は、ユーザーの利便性と情報の安全性を両立できる新しい常識となるはずだ。