10月17日に配信が始まった「Windows 10 Fall Creators Update(バージョン番号1709)」は、コンシューマー向けにはMixed Realityなど、先端的なVR機能などが搭載された。その一方で、企業向けの機能も多数強化されている。

Windows 10 Fall Creators Update(以下、Win10 FCU)においては、OS自体が提供する機能よりも、クラウドを含めた機能強化が行われているのが特徴だ。今回はその機能を詳しく解説していこう。

●Fall Creators Updateで進化した、企業向けセキュリティ機能をチェック

Win10 FCUの企業向け機能としては、2016年8月にリリースした「Anniversary Update」で追加されたアンチウイルスやファイアウォールなどの機能を持つ「Windows Defender Advanced Threat Protection(WDATP)」が強化された。

それに加え、ブラウザのEdgeをコンテナ化し、不正なWebサイトにアクセスしても、ウイルスなどがクライアントPCに侵入しないようにする「Windows Defender Applicaiton Guard」、廃止された脆弱性緩和ツールのEMETを進化させた「Windows Defender Exploit Guard」などのセキュリティ機能が追加されている。

WDATPは、Windows 10に搭載されているセキュリティ機能のWindows Defender、AppLocker、Device Guardからの情報をクラウドで一括管理できるソリューションだ。利用するにはWindows 10 Enterprise E5などのライセンスが必要になる。

WDATPは、ウイルスなどの侵入を防ぐというよりも、侵入した後の検知や対策などに特化したソリューションだ(侵入防止については、Windows Defenderなどの対策ソフトウェアが対応する)。進化するセキュリティ上の脅威をいち早く検知し、クラウド上の管理ポータルから、どのクライアントにウイルスが侵入しているのか、普段とは異なる動作をしているのか、といった情報を瞬時に把握できる。

社内のクライアントからの情報に加え、Microsoftが持つセキュリティ関連の情報も管理できる。新たな脅威に関しても、Microsoftやセキュリティパートナー企業からの脅威情報データベースを参考にし、脅威が社内にまん延する前に防げるというわけだ。

これまでWDATPがサポートするのは、Windows 10のみだったが、今後は、サポートするクライアントをMacOS、Linux、iOS、Androidなどに拡張していくとMicrosoftは発表している。

これは、同社自体がWindows Defenderなどのセキュリティ対策機能を提供するのではなく、パートナー企業(Bitdefender、Lookout、Ziften)などが提供しているセキュリティ対策ソフトウェアとWDATPが連携するようになるということだ。これにより、WDATPの管理ポータルから、MacOS、Linux、iOS、Androidなど、多くのクライアントが一括管理できるようになる。

●Edgeをコンテナ化できる「WDAG」、その実力は?

Windows Defender Applicaiton Guard(WDAG)は、Windows 10 Creators Update(2017年4月リリース、バージョン番号1703)で登場する予定だったが、リリース直前に先送りになった機能だ。現時点では、Windows 10 Enterpriseでのみ提供されている。

WDAGは、Windows Serverが提供しているコンテナ化(仮想化)の機能を利用して、Edgeブラウザが動作する環境をコンテナ化しようというものだ。コンテナ化したEdgeは、セキュリティ上の脅威が埋め込まれたWebサイトにアクセスしても、Edgeの動作環境自体がコンテナ化されているため、Windows 10のOS本体にまで脅威が侵入することはない。

つまり、コンテナ化されたEdgeを終了すれば、Edgeブラウザの動作環境は消去されるため、OS上まで脅威が侵入しないというわけだ。また、Edgeの起動ごとに動作環境を一から作成するため、以前にアクセスしたWebサイトなどからのセキュリティ上の脅威もいったんクリアになっている。毎回、新たなOS環境でEdgeブラウザを使うイメージと考えると分かりやすいだろう。

企業にとっては、ブラウザから侵入する脅威に対して強力な対抗手段になるだろう。ただ、筆者の環境でテストしたところ、うまく動作するPCと動作しないPCが存在した。このあたりの状況を考えると、WDAGのみを目的として、社内のPCをWindows 10に移行するというのは、現状では時期尚早といえそうだ。

●EMETが大幅に進化した「WDEG」とは?

Windows Defender Exploit Guard(WDEG)は、以前提供されていた「Enhanced Mitigation Experience Toolkit(EMET)」の進化版といえる。EMETは、アプリケーションごとにメモリ処理のバグを保護する機能を提供していたが、MicrosoftはEMETの提供をやめ、Windows 10 FCUからはWDEGを提供することにした(EMETはWindows 7/8/10をサポートしていたが、WDEGはWindows 10のOSに埋め込まれたことで、サポートはWindows 10のみになった)。

WDEGは、EMETのように、アプリケーションのメモリ管理だけを保護するのではなく、ネットワーク保護(Windows Defender SmartScreenを使用)、フォルダーアクセスのコントロール、Officeソフトや電子メールを使った脅威をできるだけブロックして、マルウェアがクライアントに侵入することを、できる限り小さくする攻撃表面の縮小(Attack Surface Reduction)機能などを有している。

ネットワーク保護では、デバイスから信頼されていないホスト/IPアドレスに対してのアクセスをブロックすることで、Webを経由した脅威を防ぐ。

フォルダーアクセスのコントロールでは、信頼されていないプロセスが特定のフォルダーのファイルやプログラムにアクセスすることを防止する。これにより、ランサムウェアなどが侵入したとしても、重要なデータが盗まれたり、暗号化されたりすることを防げるというわけだ。

Attack Surface Reductionは、攻撃表面の縮小という日本語訳がやや分かりにくい。簡単に言ってしまえば、Officeアプリや電子メール、スクリプトなどから入ってくるマルウェアを防ぐ機能だ。Officeアプリは各種のマクロが実行できるようになっているが、Attack Surface Reductionでは、マクロの動作を制限することで、システムに大きな障害が起こらないようにする。

また、PowerShell、JavaScript、VBScriptなどのスクリプトなどの動作も制限することで、スクリプトベースの攻撃も排除する。Attack Surface Reductionが難読化されたスクリプトを解読し、機械学習などを使って、安全性を確認するという(機械学習データはMicrosoftのクラウドとやりとりを行い、頻繁にアップデートされる)。

電子メールに対しては、脅威を持つHTMLメールやスクリプトが埋め込まれたメールなどを排除できる。

●Windows 10のセットアップと管理を楽にする新機能

Fall Creators Updateのタイミングで提供された機能としては、このほかにも「Windows AutoPilot」や「Windows Analytics」がある。この2つの機能は、FCUの機能というよりも、企業がWindows 7などからWindows 10へ移行する場合の移行支援ツール、Windows 10 クライアントの管理を容易にするためのクラウドサービスだ。

Windows AutoPilotは、企業でWindows 10を展開する場合、さまざまな初期設定を行う必要がある。例えばセキュリティの設定やネットワークの設定、アプリケーションのインストールなどがある。これらの作業をWindows AutoPilotでは、簡単に行えるが、Azure Active DirectoryやIntuneの環境が前提となる。

Windows Analyticsは、クライアントのバージョン情報や更新プログラムの適応状況などをクラウドから確認できる「Update Compliance」、そしてデバイスの稼働状況や正常性を一覧できる「Device Health」が用意されている。

このほか、年2回行われる大型アップデート時にダウンロードするファイルサイズを小さくしたり、各クライアントのアップデート時間を短縮する「Unifed Updata Platform」と「Windows Update Agent」という機能も用意されている。これらの機能は、企業向けだけでなく、コンシューマーユーザーにもメリットがある。

●Win10 FCUは企業が今すぐ移行すべきOSか?

Win10 FCUは、さまざまな企業向け機能があるものの、Windows 7などから移行する決め手にならないかもしれない。WDAGはWindows 10 Enterprise版が必要で(Windows 10 Proでは機能が有効にならない)。WDATPはWindows 10 Enterprise E5のライセンスが必要になる。今後は、企業でクライアントOSとして、Windows 10 EnterpriseやWindows 10 Enterprise E5などのライセンスを採用してもらおうという意図が見え隠れする。

今後、Windows 10 Proを利用している企業は、徐々にWindows 10 Enterpriseへの移行やライセンスの変更が必要になってくるだろう。そうしないと、Windows 10の企業向け機能を十分に活用することができなくなる。

Windows 7を導入している企業は、Windows 7の延長サポートが2020年1月にあることを考えれば、できるだけ早くWindows 10への移行計画を検討すべきだ。Win10 FCUに移行しなかったとしても、2018年のアップデート時には移行できる状態にした方がいいだろう。2019年になると、さまざまな企業がSIなどに作業を依頼することを考えれば、慌ただしくなるのは避けられない。

既にWindows 10を導入している企業にとっては、サポートなどの問題がなければ、FCUをいったんパスするという選択肢もある。2018年春や秋のアップグレードの方がWDAGなど、多くの機能が安定し、クラウドサービスも充実していると考えられるためだ。

 

 

関連記事】

もしものときの対策を! MacとWindowsでUSBメモリを暗号化してセキュリティーを強化する方法

「Windows 10」、障がい者支援技術ユーザーへの無償アップグレードが終了へ