古いバージョンのブラウザーを使用しています。MSN を最適にご利用いただくために、サポートされているバージョンをご使用ください。

Windows 10 Creators Updateで追加されるセキュリティ機能たち

ITmedia エンタープライズ のロゴ ITmedia エンタープライズ 2017/01/09
Windows 10 Creators Updateで追加されるセキュリティ機能たち: WDATPのセキュリティインシデントの画面。どのような攻撃が行われているのかを視覚化し、管理者が確認できる © ITmedia エンタープライズ 提供 WDATPのセキュリティインシデントの画面。どのような攻撃が行われているのかを視覚化し、管理者が確認できる

 Windows 10の次期アップデート「Windows 10 Creators Update」(以下、Creators)のリリースは、2017年の春頃とみられている。Microsoftは、開発者向けカンファレンス「Build 2017」を5月10日〜12日まで米国シアトルで開催するため、5月前後にCreatorsがリリースされるだろう。また、一部の予想ではリリースが3月〜4月頃になり、Build2017ではCreatorsの次のアップデートに関する話題が中心となるとの見方もある。

 Creatorsは、3D機能やVirtual Reality/Mixed Reality(VR/MR)などに関する機能が中心だと思われているが、高度なセキュリティ機能や企業向けの機能なども充実している。

 まず注目すべきは、現行のWindows 10 Anniversary Updateで追加されたWindows Defender Advanced Threat Protection(WDATP)などのセキュリティ機能を管理するWeb上のセキュリティポータルサイト「Windows Security Center」だ。CreatorsではWDATPの情報だけでなく、Office 365のセキュリティ機能「Office 365 ATP」の情報も一括して扱えるようになり、IT管理者が各クライアントやOffice 365などに対する攻撃を確認できる。

 新しいWindows Security Centerでは、自社のWDATPやOffice 365 ATPの情報に加えて、Azure上に構築されているセキュリティ向けの機械学習システム「Microsoft Intelligent Security Graph」による情報も提供される。Microsoftが持つ膨大なセキュリティに関するビッグデータから危険な兆候や攻撃を学習し、IT管理者に警告してくれる。

 また、WDATP自体も強化される。現在の機能に加え、メモリ内部に潜伏する脅威やカーネルレベルの脆弱性攻撃を検知できるようになる。各クライアントが読み込んだドライバの正常性やメモリ内部のアクティビティなどをチェックすることで、カーネルに対する攻撃などを検知することが可能だ。ウイルスなどに侵されているマシンの隔離、フォレンジック(調査分析)による情報の収集、実行中のプロセスの強制終了と消去、ファイルの検疫やブロックなどもWindows Security Centerから簡単に行える。

 IT管理者は、これら多くの機能が集約されるWindows Security Centerからセキュリティ脅威に対するアクションをとれる。従来のように、IT管理者がいちいち攻撃を受けた可能性のあるPCを探し出し、実際にPCが存在する場所で対処しなくても、管理ポータルからある程度の対応ができるようになるだろう。

 これ以外にもWindows Security Centerには、IT管理者がセキュリティに関する独自の情報などを付け加え、独自のアラートを設定することができる。標準で用意されている「Microsoft Treat Intelligence」ではFireEyeの「iSIGHT Treat Intelligence」などの他社のセキュリティインテリジェントサービスを追加できるようになっている。

 ちなみに、WDATPやWindows Security Centerなどの機能を利用するには、Windows 10 Enterprise E5というサブスクリプションベース(SAベース)の契約が必要だ。さらに、Office365 ATPを含めたセキュリティ環境を構築するには、別途Office 365の契約も必要になる。

 多くの企業はサポートが切れたWindows XPからWindows 7へ移行し、ある意味でWindows 7が現在の企業におけるWindowsクライアントのスタンダートになっている(Windows 8は企業に受け入れられなかった)。そのため、Creatorsではセキュリティ機能だけでなく、企業でのWindows 10への移行を考えたツールもそろっている。

 Microsoftにとっての大きな課題は、こうした企業のクライアントPCをどのようにWindows 10へ移行させるのかということだ。企業側としては、Windows 10がリリースされた2015年は「状況の確認」、2016年は「導入に関する実際の調査」という段階にあった。Microsoftも実際にWindows 10の企業導入が始まるのは、2017年以降と考えているようだ。

 既にWindows 7のメインストリームサポートは2015年1月に終了し、延長サポートも2020年1月に終了する。このスケジュールを考えれば、企業ではそろそろ既存のクライアントPCのリース切れが始まり、Windows10をインストールしたPCへの移行がスタートする。

 もちろん、SA契約ベースによるダウングレード権を使ってWindows 7にダウングレードすることもできるが、2016年にリリースされたIntel 第7世代 Core iプロセッサ(Kabylake)やAMDのBristol Ridgeなどのプロセッサは、Windows 10のみサポートする。つまり、新しいPCでダウングレード権を行使するには、第6世代のSkylake以前のプロセッサを使ったPCでないといけない。

 現実的には、2017年中はSkylakeを採用したPCの大量購入も可能だろう。しかし、2018年になれば、多くのPCがKabylakeに移行し、Skylakeを搭載したPCの大量導入は難しくなる。遅かれ早かれ、Windows 10への本格移行を検討せざるを得ない。

 Creatorsでは、Windows 7環境からの移行をサポートするために、Windows Upgrade Analyticsの機能が強化された。ユーザー環境を分析して、アプリの互換性やデバイスドライバの対応状況などをチェックするWindows Analyticsダッシュボードが用意される。

 この機能強化では、個々のPCで実行したWindows Upgrade Analyticsの結果をIT管理者が集約して、移行に関する問題を管理できる。これによりIT管理者は、企業内のPCがWindows 10に移行できるのかを把握し、どのアプリケーションが移行の障害になるのか、どの周辺機器が利用できなくなるのかなどを企業全体でチェックすることができる。

 移行に関するもう一つツールが、インプレースUEFI変換ツールだ。Windows 10ではTPMチップとUEFIを利用してOSの正常性を確保する(rootkitなどに侵されない)ことで、高いセキュリティを実現している。一方、Windows 7では、

UEFIを利用してブート時のセキュリティを担保するような仕組みになっていない。このためセキュリティとしては、Windows 10に比べると脆弱性が潜在的に存在する。

 だが、多くの企業ではWindows 10に対応したハードウェアを導入していても、実際にはWindows 7にダウングレードするため、旧来のBIOSモードでOSをインストールしている。こうした環境でWindows 10を導入する場合、Windows 7からのアップグレードではUFEIやTPMを使った高いセキュリティ機能を導入できない。導入には、インストール時に手動でディスクパーティションを切ったり、ファームウェアをUEFIに設定したりする必要があり、工数がかかってしまう。

 そこでCreatorsは、UEFI環境に対応したアップデートを自動化するようなツールが用意された。このツールは、System Center Configuration Managerなどの管理ツールと統合でき、IT管理者はSystem Centerから一括でアップデートを行える。

 また、モバイルデバイス管理のMDMも標準で用意される。ユーザーが個人のPCで会社のデータにアクセスする場合など、このMDM機能を利用すれば、IDやパスワードなどのユーザー確認後にアクセスができるようになる。もちろん、ダウンロードしたデータは暗号化され、特定のアプリケーション以外ではアクセスできなくなる仕組みだ。

 IT管理者もアクセスコントロールを行えるため、特定の日時や退職、部署異動などによりアクセス権限の変化に対応したコントロールが可能になる。つまり、個人のPCにダウンロードされた仕事の企画書やExcelなどのデータは、ユーザーが退職などをすると閲覧もアクセスもできなくなるわけだ。従来はMDMソフトウェアやサービスを別途導入する必要があったが、Creatorsでは標準機能になる。ただしMDM機能を利用するには、「エンタープライズ モビリティ スイート」(Enterprise Mobility + Security)などの契約が別途必要になるだろう。

 最後に、Creatorsではアップグレード時のダウンロード容量が縮小され、インストール時間も短縮される。企業でのアップグレードの負担は小さくなる。また、ダウンロード容量が少なくなれば空き容量の少ないPCにもインストールできるようになるし、インストール時間が短くなれば、環境によっては今までのように数時間もかかるということがなくなる。

 このような変化は、企業におけるアップグレードにおいて大きなメリットになるだろう。ただし、ダウンロード容量を縮小に伴って差分アップデートになるため、毎月のセキュリティアップデートが行われていることが前提だ。もしセキュリティアップデートしていなければ、先にセキュリティアップデートをインストールして次にアップグレードするので、今までと同じように長い時間がかかる。

 この他としては、Creatorsに間に合うかどうか分からないが、MicrosoftはEdgeブラウザをコンテナ化によって仮想環境にし、別のプロセスで動かすことで、ブラウザを経由したマルウェアの侵入などを阻止する「Windows Defender Application Guard」の開発を進めている。もしEdge経由でマルウェアが侵入しても、コンテナ化されたEdgeの仮想環境を終了すれば、仮想環境内のマルウェアも消去されるため、OS環境に侵入することはない。Creatorsに間に合わなければ、2017年秋にリリースされる次のアップグレードで搭載されるだろう。

 3D機能ばかりが注目されているCreatorsだが、セキュリティや企業向けの機能も進化している。企業のIT管理者はそろそろWindows 10への移行を検討すべきだろう。その際には、Windows 10では毎年2回の大幅なアップグレードがあることを前提に導入を計画する。もちろんコンシューマーと同じタイミングでアップグレードはせず、Windows Update for Business(WUB)などの機能を使い、コンシューマーとは異なるスケジュール(数カ月遅れ)で検証しながら、アップグレードをコントロールしていく。かつてのWindowsのように、3〜4年周期で新バージョンがリリースされることない。これが「Windows as a Service」(WaaS)と同社が呼ぶアップグレードの考え方であり、OS自体が毎年進化していく。

ITmedia エンタープライズの関連記事

image beaconimage beaconimage beacon