Windows 10 Creators Updateで追加されるセキュリティ機能たち：Enterprise IT Kaleidoscope（2/3 ページ）

[山本雅史，ITmedia]

　多くの企業はサポートが切れたWindows XPからWindows 7へ移行し、ある意味でWindows 7が現在の企業におけるWindowsクライアントのスタンダートになっている（Windows 8は企業に受け入れられなかった）。そのため、Creatorsではセキュリティ機能だけでなく、企業でのWindows 10への移行を考えたツールもそろっている。

　Microsoftにとっての大きな課題は、こうした企業のクライアントPCをどのようにWindows 10へ移行させるのかということだ。企業側としては、Windows 10がリリースされた2015年は「状況の確認」、2016年は「導入に関する実際の調査」という段階にあった。Microsoftも実際にWindows 10の企業導入が始まるのは、2017年以降と考えているようだ。

　既にWindows 7のメインストリームサポートは2015年1月に終了し、延長サポートも2020年1月に終了する。このスケジュールを考えれば、企業ではそろそろ既存のクライアントPCのリース切れが始まり、Windows10をインストールしたPCへの移行がスタートする。

　もちろん、SA契約ベースによるダウングレード権を使ってWindows 7にダウングレードすることもできるが、2016年にリリースされたIntel 第7世代 Core iプロセッサ（Kabylake）やAMDのBristol Ridgeなどのプロセッサは、Windows 10のみサポートする。つまり、新しいPCでダウングレード権を行使するには、第6世代のSkylake以前のプロセッサを使ったPCでないといけない。

　現実的には、2017年中はSkylakeを採用したPCの大量購入も可能だろう。しかし、2018年になれば、多くのPCがKabylakeに移行し、Skylakeを搭載したPCの大量導入は難しくなる。遅かれ早かれ、Windows 10への本格移行を検討せざるを得ない。

　Creatorsでは、Windows 7環境からの移行をサポートするために、Windows Upgrade Analyticsの機能が強化された。ユーザー環境を分析して、アプリの互換性やデバイスドライバの対応状況などをチェックするWindows Analyticsダッシュボードが用意される。

　この機能強化では、個々のPCで実行したWindows Upgrade Analyticsの結果をIT管理者が集約して、移行に関する問題を管理できる。これによりIT管理者は、企業内のPCがWindows 10に移行できるのかを把握し、どのアプリケーションが移行の障害になるのか、どの周辺機器が利用できなくなるのかなどを企業全体でチェックすることができる。

　移行に関するもう一つツールが、インプレースUEFI変換ツールだ。Windows 10ではTPMチップとUEFIを利用してOSの正常性を確保する（rootkitなどに侵されない）ことで、高いセキュリティを実現している。一方、Windows 7では、UEFIを利用してブート時のセキュリティを担保するような仕組みになっていない。このためセキュリティとしては、Windows 10に比べると脆弱性が潜在的に存在する。

　だが、多くの企業ではWindows 10に対応したハードウェアを導入していても、実際にはWindows 7にダウングレードするため、旧来のBIOSモードでOSをインストールしている。こうした環境でWindows 10を導入する場合、Windows 7からのアップグレードではUFEIやTPMを使った高いセキュリティ機能を導入できない。導入には、インストール時に手動でディスクパーティションを切ったり、ファームウェアをUEFIに設定したりする必要があり、工数がかかってしまう。

　そこでCreatorsは、UEFI環境に対応したアップデートを自動化するようなツールが用意された。このツールは、System Center Configuration Managerなどの管理ツールと統合でき、IT管理者はSystem Centerから一括でアップデートを行える。

　また、モバイルデバイス管理のMDMも標準で用意される。ユーザーが個人のPCで会社のデータにアクセスする場合など、このMDM機能を利用すれば、IDやパスワードなどのユーザー確認後にアクセスができるようになる。もちろん、ダウンロードしたデータは暗号化され、特定のアプリケーション以外ではアクセスできなくなる仕組みだ。

　IT管理者もアクセスコントロールを行えるため、特定の日時や退職、部署異動などによりアクセス権限の変化に対応したコントロールが可能になる。つまり、個人のPCにダウンロードされた仕事の企画書やExcelなどのデータは、ユーザーが退職などをすると閲覧もアクセスもできなくなるわけだ。従来はMDMソフトウェアやサービスを別途導入する必要があったが、Creatorsでは標準機能になる。ただしMDM機能を利用するには、「エンタープライズ モビリティ スイート」（Enterprise Mobility ＋ Security）などの契約が別途必要になるだろう。