Windows Defender Application Guardで実現するセキュアなブラウジング環境――Windows 10の新しいセキュリティ機能（その2）：企業ユーザーに贈るWindows 10への乗り換え案内（15）（2/2 ページ）

[山市良，テクニカルライター]

エンタープライズモードによるWDAG使用の強制

　WDAGのエンタープライズモードは、企業で使用するWebサイト（ローカルおよびクラウド）を事前に定義し、企業用のWebサイトには通常のMicrosoft Edgeや「Internet Explorer（IE）」でのアクセスを提供し、それ以外の信頼できないWebサイトはWDAGによるブラウジングに自動的にリダイレクトします。ローカルとWDAG間のクリップボード使用許可や、WDAGからの印刷設定などを詳細に許可または禁止することもできます（画面4）。

画面4　Microsoft Edge／IEから信頼されたWebサイトへのアクセス以外は、全てWDAGの分離されたMicrosoft Edgeにリダイレクトされる。クリップボード操作を完全に無効化することも可能

　また、エンタープライズモードは、グループポリシーやMicrosoft Intuneなどのモバイルデバイス管理（MDM）サービスを利用して構成および展開することが可能です。グループポリシー（またはローカルコンピューターポリシー）で展開するには、次の2つの場所にあるポリシーを、企業の環境やポリシーに合わせて構成します。

• コンピューターの構成\管理用テンプレート\ネットワーク\ネットワーク分離
• コンピューターの構成\管理用テンプレート\Windowsコンポーネント\Windows Defender Application Guard

　「ネットワーク分離」ポリシーでは、以下の3つの範囲を定義します。

• クラウドでホストされるエンタープライズリソースドメイン
• 職場用と個人用に分類されたドメイン
• アプリのプライベートネットワークの範囲

　WDAGはこれらのポリシーで構成された企業ネットワークの境界の定義に基づいて、企業以外のリソースにアクセスするための全ての要求をWDAGコンテナに自動的にリダイレクトします。また、WDAG環境からこれらのWebサイトへのアクセスはブロックされるため、ネットワークを介した攻撃リスクが大幅に軽減されます。

　「Windows Defender Application Guard」ポリシーでは、エンタープライズモードの有効化、セッション間でのデータの永続化許可（既定は無効）、監査イベントの記録、通常のMicrosoft Edge／IEへの非エンタープライズサイトのコンテンツ読み込み許可（既定は可能）、クリップボードの許可設定（片方向または双方向にテキストとイメージのコピーを許可することが可能。既定は全てをブロック）、印刷設定のカスタマイズ（PDFやXPSへのファイル出力許可、ローカル／リモートプリンタへの印刷許可が可能。既定は全て無効）を構成することができます（画面5）。WDAGとローカルコンピュータ間ではファイルのやりとりはできませんが、PDFまたはXPS形式のファイルに出力するという手段を許可することができます。

画面5　グループポリシーを使用したWDAGのエンタープライズモードの構成

WDAGのシステム要件に関する留意事項

　WDAGは、Hyper-Vハイパーバイザーを利用し、WDAGコンテナで小さなWindows 10インスタンス（英語版）を動かします。そのため、最適なパフォーマンスを得るには、Hyper-Vのシステム要件に加え、以下のシステム要件を満たしている必要があります。これらの要件を満たしていない場合、既定ではWDAGを有効化できないことがあります。

CPU	x64プロセッサ。4コアを推奨
メモリ	8GBを推奨
ディスク	5GB以上の空き。SSDを推奨
その他	Windows 10 Enterprise バージョン1709以降
▲WDAGのシステム要件

　Hyper-Vのシステム要件とは、Intel VT-xまたはAMD-Vのサポートと、第二レベルアドレス変換拡張（Second Level Address Translation：SLAT）のサポートです。これは、VBSのシステム要件でもあります。

　WDAGの概念やセットアップ手順については、以下の公式ドキュメントおよびブログを参照してください。

• Windows Defender Application Guardの概要（Windows IT Pro Center）
• Windows Defender System Guardでシステムのセキュリティを強化し整合性を維持する（Microsoft TechNet 日本のセキュリティチーム）

　WDAGはWindows 10 Enterprise バージョン1709で正式に利用可能になりましたが、先に指摘したように、本稿執筆時点（2018年1月初旬）では英語（en-us）環境での利用が想定されており、他の言語では正常にセットアップできなかったり、機能しなかったりする場合があります。

　例えば、日本語環境では、初期セットアップ時のエラーの問題やキーボード認識（WDAG内は101配列）の問題などがあります。現時点で日本語環境やシステム要件を満たしていない環境でWDAGを評価したい場合は、以下の筆者の個人ブログを参考にしてください。物理コンピュータまたは「入れ子構造の仮想化（Nested Virtualization）」を有効化したHyper-V仮想マシンで評価することが可能です。

• Windows Defender Application GuardをVMと日本語環境で使う（筆者の個人ブログ）

筆者紹介

山市 良（やまいち りょう）

岩手県花巻市在住。Microsoft MVP：Cloud and Datacenter Management（Oct 2008 - Sep 2016）。SIer、IT出版社、中堅企業のシステム管理者を経て、フリーのテクニカルライターに。Microsoft製品、テクノロジーを中心に、IT雑誌、Webサイトへの記事の寄稿、ドキュメント作成、事例取材などを手掛ける。個人ブログは『山市良のえぬなんとかわーるど』。近著は『Windows Server 2016テクノロジ入門−完全版』（日経BP社）。