Windows 10の次期大型アップデート「19H1」でさらなるセキュリティ強化を目指す：鈴木淳也の「Windowsフロントライン」（1/2 ページ）

[鈴木淳也（Junya Suzuki），ITmedia]

　「バージョン1903」の名称で2019年春ごろのリリースが見込まれるWindows 10の次期大型アップデート「19H1（開発コード名）」について、いくつか目玉となる機能が出そろいつつある。

　春と秋という年2回の更新ペースに移行してから新機能の追加ペースがゆっくりとなったWindows 10だが、19H1はどういった方向性を目指しているのだろうか。主な変更点から見ていく。

本項執筆時点で最新のWindows 10 Insider PreviewであるBuild 18305

超軽量な仮想マシン「Windows Sandbox」が追加

　Microsoftが2018年12月19日（米国時間）にWindows Insider ProgramのFast Ring参加者向けにリリースした「Build 18305」では、新たに「Windows Sandbox」という機能が追加されている。同機能の追加は2018年8月ごろから話題が出始め、当時は「InPrivate Desktop」の名称で呼ばれていた。

　名称からも分かるように、Webブラウザでは既におなじみとなっている「プライベートモード」をデスクトップ環境に適用したものだ。一時的に仮想マシンでWindows環境を作り出し、“信頼されていない”実行型ファイルを起動してテストするなど、開発やテストで利用される「Sandbox（砂場）」を一般向けに提供するものとなる。

　100MB程度の軽量のWindows仮想マシンが“素”の状態で立ち上がる点が特徴で、Sandboxアプリを終了すると環境そのものが抹消されてPC内には何も残らない。企業ネットワークのハッキング事例を見る限り、社内に存在するPCに何らかの形でマルウェアをまず侵入させ、その後に内部からハッキングを試みるケースが多々存在する。

　ゆえに実行型ファイルの隔離はネットワークの安全性を保つ上で重要な意味を持っており、こうした環境が用意される背景となっている。

　Sandboxの詳細については、Microsoftが公開している文書が詳しい。以下に、要求環境をまとめてみた。

• Build 18305以降のWindows 10 ProまたはEnterprise
• AMD64に対応したハードウェアのBIOS上で仮想化機能が有効化されていること
• 4GBのメモリ（8GB以上を推奨）
• 1GBの空きストレージ容量（SSDの利用を推奨）
• 2つ以上のCPUコア（4コア以上でHyper-Threading Technology対応を推奨）

　仮想化が有効な状態になっていれば、「Windowsの機能」ダイアログを開いて「Windows Sandbox」を有効化すれば準備終了だ。スタートメニューからSandboxを起動するとウィンドウの中にWindowsが起動している状態となり、後は実行可能ファイルなどをアプリ内で実行させればいい。

　メインのホストPCに影響を与えることなくファイルが実行され、アプリ終了時点でSandbox内のWindows環境そのものが破棄されるので、マルウェアの常駐や設定変更を気にする必要がない。実質的にHyper-Vの仕組みを使って独立したカーネル実行環境を生み出しているが、最大の利点としてVHDのような仮想マシンのイメージをわざわざ用意する必要がなく、出所不明の実行ファイルをテストするためだけの使い捨て環境になっている点が挙げられる。

「Windowsの機能」で「Windows Sandbox」を有効化する

Windows Sandboxの起動例

　Windows Sandboxは一例だが、開発途上にある19H1の最近のアップデートでは比較的セキュリティ機能の追加が多い。例えばOSのセキュリティ機能を一括管理できるWindows Securityでは、新たに活動履歴と詳細の確認を行う機能が追加されている。

　また「Tamper Protection（改ざん防止）」機能により、Windows Securityアプリそのものの意図しない設定変更を防ぐことが可能になっている。設定用の項目は「ウイルスの脅威の防止」からアクセスできる。

履歴や設定項目がリニューアルされたWindows Securityアプリ

SMSを使ったサインイン

　Windows 10では現在、アカウントサインインに「顔認証」「指紋」の2つのWindows Hello、「PIN」「セキュリティキー（USBやスマートカードなど）」「パスワード」「ピクチャーパスワード」の計6つの手段が用意されている。Build 18305ではこれに新たに携帯電話番号を使った「SMS認証（パスワードレス）」が追加されている。

選択可能なサインインオプションの例

　仕組みとしてはシンプルで、サインインのタイミングで登録済み携帯電話番号に対してSMSでPINコードが送信されてくるので、これを入力することでサインインを行う。利点としてはパスワードを覚える必要がないことと、Windows Helloのように特殊なハードウェアがなくても、携帯電話さえあれば単純なPINやパスワードよりも強力なセキュリティが利用できる点にある。

　まずはMicrosoftが提供するモバイルアプリ（Wordなど）で電話番号アカウントを作成し、以後はサインイン画面でこの電話番号アカウントを選択すると、SMSでPINが送信されてくるのでこれを入力すればいい。当初はHomeエディションのみに提供されているオプションだったが、1月3日にアップデートした「Build 18309」で全てのエディションへ拡大したようだ。

電話番号アカウントによるパスワードレスサインインの例

　また、Build 18305のタイミングで通常のPINリセットも簡単に行えるようになっている。サインイン時に入力するPINを忘れた場合など、「I forgot my PIN」のリンクをクリックするとすぐにパスワード確認画面が現れ、ここで認証が終わればすぐにPINの再設定画面が出てくる。サインイン後に設定メニューを開いて再設定……という手順を踏まずにPINの再設定が行えるという仕組みだ。