「Windows 10 S」を機能不足と見るか、セキュアと見るか：鈴木淳也の「Windowsフロントライン」（1/2 ページ）

　米Microsoftが5月2日（米国時間）に発表した「Windows 10 S」は、教育機関向けにWindows 10 Proの機能を限定した新エディションだ。ただし、「WindowsストアからダウンロードしたUWP（Universal Windows Platform）アプリしかインストールできない代わりに、高速かつ安全性が高い」という話以外、あまり内部情報が積極的に公開されていないので、実体がよく分からないかもしれない。

　同OSに関する分析記事を以前に公開したが、機能制限版のWindows 10ということで「Windows 8.1 with Bing」のような廉価PC向けのマーケティング施策的な性格を持つ一方で、いわゆる野良アプリの導入ができず、マルウェアの侵入もブロックする可能性が高いことから、非常にセキュアなOSの側面もある。

　例えば、米Microsoftが公式ブログのWindows Security Blogで6月8日に公開した記事では、同社がWindows XP向けの緊急パッチを提供したことで話題になった「WannaCry」というランサムウェアに触れているが、この中で「Windows 10 Sで発動するランサムウェアは確認されていない」と述べている。

Windows 10 Sで利用が制限されるもの

　Windows 10 Sに関する大前提として、まず「Windowsストア経由でダウンロードしたUWPアプリのみがインストール可能」ということが挙げられる。

　このルートを通らないアプリ、例えばATOKなどの日本語入力ソフトは現時点で使えない。また単純にUWPアプリというだけでもダメで、Windowsストア経由、つまり「署名入りUWPパッケージ」でなければならない。Microsoftとして安全性を担保したアプリのみインストールを許可する仕組みで、これによりセキュリティを確保している点が特徴だ。

　逆に言えば、Windowsストア経由で提供されるUWPアプリは基本何でも動作するということでもある。Windows RTにあったようなARMバイナリの実行のみを許可することもなく、Desktop Bridge（Project Centennial）を使ってUWPに変換された従来のデスクトップアプリでも問題ない。

　Microsoftの審査を通ったいうことが重要で、これがWindows 10 Sが従来の機能制限版OSと比べても使いやすいという点につながっている。基本的に、通常のPC向けWindows 10に仕様上の制限を加えたエディションであり、内部的な違いはほとんどないからだ。

　Windows 10 Sではアプリのインストールに関する制限だけでなく、既にOS本体に含まれている幾つかのファイルの実行に関する制限も含まれている。代表的なものが「コマンドプロンプト（cmd.exe）」で、コマンドラインを通じてのインタフェースが利用できない。Windows 10 S Driver Requirementsの文書によれば、OS本体に組み込まれているにもかかわらず、Windows 10 Sでは以下の実行がブロックされる。

• bash.exe
• cdb.exe
• cmd.exe
• cscript.exe
• csi.exe
• dnx.exe
• kd.exe
• lxssmanager.dll
• msbuild.exe
• ntsd.exe
• powershell.exe
• powershell_ise.exe
• rcsi.exe
• reg.exe
• regedt32.exe
• windbg.exe
• wmic.exe
• wscript.exe

　Bashを含むコマンドシェルの他、レジストリの操作など、OS本体に影響を及ぼす可能性のあるファイルは全て対象となる。また、PowerShellなどが含まれていることからも分かるように、あらゆるスクリプトは実行がブロックされる仕様だ。

　ドライバに関してもWHQLなどの署名が入ることが大前提だが、プリンタやスキャナなどに見られる専用のUIを含む設定メニューや実行ファイルを含んだものについてはインストールがブロックされるため、ドライバベンダーに対してこれらを含めないようMicrosoftが通知している。各種アップデートについても独自のプログラムは認めず、必ずWindowsストア経由で行うよう定められている。

　Windows 10 Sのさらなる各種制限については、米ZDNetのエド・ボット氏が詳しく書いている。

　制限の最たるものがブラウザだ。Windows 10 SではChromeやFirefoxがインストールできない。これはWindowsストアのポリシーとして、HTMLレンダラやJavaScriptエンジンがWindows標準のものに制限されているためで、サードパーティーのブラウザが自社エンジンを利用することを禁じている。デフォルトの検索エンジンやブラウザについても固定されており、MDMのような管理ツールを使ってポリシーを変更するしかない。

　また機能的な理由により、バックアップ系ツールやアンチウイルス、ディスク操作系ツールといったカテゴリーのサードパーティー製品も許可されない可能性があるようだ。また管理機能が充実しているのがWindows 10 Sの特徴ではあるが、一方でActive Directoryによって管理されるWindowsドメインには参加できず、Azure ADに接続する必要がある。

　以上をまとめると、Windows 10 Sが投入された背景にもあるように、教育分野や一部組織、あるいは比較的多くのコンシューマーには向いているものの、エンタープライズ用途や、比較的PCを使いこなしているユーザーには使いにくい面が大きい。

　日本でWindows 10 S搭載PCが投入されるのは2017年7月20日の「Surface Laptop」発売のタイミングとなるが、今後同OSをプリインストールしたデバイスが登場したとしても、これらの制限を認識したうえで利用する必要がある。逆に、これらの制限について問題を認識していない多くのユーザーにとっては、Windows 10 Sで十分なのかもしれない。