Windows Defender Application Guardで実現するセキュアなブラウジング環境――Windows 10の新しいセキュリティ機能（その2）：企業ユーザーに贈るWindows 10への乗り換え案内（15）（1/2 ページ）

前回は、間もなく企業向け（半期チャネル）に配布が始まるWindows 10 Fall Creators Updateに搭載された新しいセキュリティ機能「Exploit Protection」を紹介しました。今回は、もう1つのセキュリティ機能「Windows Defender Application Guard（WDAG）」が提供する安全なWebブラウジング環境を紹介します。

[山市良，テクニカルライター]

企業ユーザーに贈るWindows 10への乗り換え案内

Microsoft Edgeの実行環境を完全に分離するWDAG

　「Windows Defender Application Guard（WDAG）」は、Windows 10 Fall Creators Update（バージョン1709）から利用可能になった、“Enterpriseエディション限定”の新しいセキュリティ機能です。次のバージョン（機能更新）では、Proエディションでも利用可能になると発表されています。

　なお、先に指摘しておくと、現状、WDAGは英語（en-us）環境での利用が想定されており、日本語環境でのセットアップと動作には幾つか制限があります。今回は、将来的に日本語環境に完全対応するものとして、WDAGの機能を説明します。

　WDAGは、通常のWindows 10オペレーティングシステム（OS）とは別に、Windows 10のインスタンス（完全なインスタンスではなく、小さなイメージのカスタムバージョン）を「WDAGコンテナ」と呼ばれるサンドボックス環境で動かします。そして、その分離されたOS環境で「Microsoft Edge」を実行することで、信頼できないWebサイトをブラウジングする際のセキュリティリスクを大幅に軽減します。最悪の場合でも、セキュリティ侵害はWDAGコンテナ内にとどまるため、通常のWindows 10環境のシステム侵害やデータ漏えい、データ破損につながることはありません。

　WDAGでは分離されたコンテナ環境を実現するために、「Hyper-Vハイパーバイザー」を利用します。また、重要なシステムコンポーネントを保護するために、本連載第10回でも説明した「仮想化ベースのセキュリティ（Virtualization-Based Security：VBS）」を利用します（図1）。最近になって、MicrosoftはVBSを「Windows Defender System Guard」と呼ぶようにもなっています。

• Windows 10に組み込まれた多層かつ高度なマルウェア対策機能（本連載 第10回）

図1　WDAGの実装イメージ（詳細な情報が公開されているわけではないため、実際とは異なる可能性があります）

　ユーザーエクスペリエンスはローカルで実行しているMicrosoft Edgeと変わりませんが（ただし、ロックダウンされています）、実際にはWDAGコンテナ内で実行されているMicrosoft Edgeのウィンドウをリモート表示している形になります。

　これは、Hyper-Vの仮想マシン接続クライアントの「拡張セッションモード」のようにネットワークを経由せず、Windows 7の「Windows XP Mode」やWindows Serverの「リモートデスクトップサービス」のウィンドウ単位の接続機能であるRemoteApp接続（RemoteAppは「Remote Application Integrated Locally：RAIL」と呼ばれることもあります）と同様の技術を利用して実現していると思われます（注：詳細な情報が公開されているわけではないため、筆者の想像が含まれます）。

WDAGでは信頼できないWebブラウジングはロックダウン

　WDAGには「スタンドアロンモード」と「エンタープライズモード」（公式ドキュメントでは「企業管理モード」と表現されています）の2つの展開および動作モードがあります。スタンドアロンモードは、ユーザーが自らMicrosoft EdgeからWDAGのウィンドウを新たに開始して、分離環境でWebブラウジングを行うモードです。主にWDAGの機能を簡単に評価するために利用できます。

　WDAGは初回使用時および再起動後のユーザーセッション開始時には、分離環境（OSおよびMicrosoft Edge）を準備するために時間がかかりますが、同じユーザーセッション内（シャットダウンや再起動を挟まない）での2回目以降は素早く起動できます（画面1）。ただし、後で説明しますが最適なパフォーマンスを得るためのシステム要件には注意が必要です。

画面1　Microsoft Edgeの「･･･（設定）」メニューから「新しいApplication Guardウィンドウ」を選択し、スタンドアロンモードのWDAGを開始する（注：分かりやすいようにメニュー選択画面と開始画面を合成しています）

　WDAGのウィンドウはオレンジ色の枠を持ち、左上に「Application Guard」と表示され、WDAGでブラウジング中であることが視覚的に分かるようになっています。タスクバー上のアイコンも、Microsoft Edgeのアイコンに「盾」のイメージが追加されたものになっています（画面2）。

画面2　オレンジ色の枠と左上のアイコン、そのアイコンをクリックしたときに表示される情報から、WDAGでブラウジングしていることを確認できる

　ローカルのデスクトップ環境で動いているアプリケーションのウィンドウのように見えますが、実際にはWDAGコンテナ内部で実行中のMicrosoft Edgeのウィンドウだけを表示しているイメージです（リモートデスクトップサービスのRemoteApp接続によく似ています）。

　WDAGのMicrosoft Edgeは、通常のMicrosoft Edgeよりもロックダウンされており、実行可能ファイルをダウンロードした際にも「実行」ボタン（画面1を参照）は表示されません。ダウンロードすることは可能ですが、ファイルはWDAGコンテナの中のサンドボックス環境に保存され、実行することはできません（画面3）。

画面3　通常のMicrosoft Edgeのようにダウンロード時に「実行」ボタンは表示されない。ダウンロード後のファイルは実行できないし、通常のローカルファイルシステムにコピーすることもできない

　また、WDAGコンテナの外（つまり、ローカルコンピュータ側）にコピーすることもできません。クリップボードの使用も制限されており、スタンドアロンモードではテキストのコピー＆ペーストだけが可能です。画像ファイルはコピーできません。

　サンドボックス環境に行われた変更（ダウンロードしたファイル、Cookie、お気に入り、履歴など）は同じユーザーセッション内では有効ですが、コンピュータを再起動すると破棄されます（エンタープライズモードでは永続化を許可することができます）。