基本のセキュリティ機能からクラウドベースのリスク評価や自動修復まで、Windows Defenderの知られざる能力：企業ユーザーに贈るWindows 10への乗り換え案内（46）

Windows Defenderは、Windows OSに付属する無料のウイルス／マルウェア対策ツールですが、無料だからといって決して簡素なものではありません。必要最小限のセキュリティ対策機能はもちろん、攻撃面を縮小し、攻撃が成功するリスクを軽減させるさまざまな機能も備えています。

[山市良，テクニカルライター]

企業ユーザーに贈るWindows 10への乗り換え案内

Windows Defenderは、単なるウイルス対策ツールではない！

　「Windows Defender」というと、必要最小限のセキュリティ対策機能を提供する、Windows 10に付属する無料のウイルス対策ツールというイメージを持っている人は多いと思います。おそらく、Windows XPやWindows Vista、Windows 7に無料提供された「Microsoft Security Essentials」のイメージが強いのでしょう。

　ただし、Microsoft Security Essentialsもまた、企業向け製品「Forefront／System Center Endpoint Protection」と共通のエンジンであったことも事実であり、ウイルス対策ソフトウェアとして何ら劣っていたわけではありません。

　現在、Windows 10に搭載されているWindows Defenderは、単なるウイルス対策ツールの枠には収まりません。ウイルス対策、マルウェア対策、ネットワーク検査システム（Network Inspection System：NIS）を提供する「Windows Defenderウイルス対策（Windows Defender Antivirus）」はその一つにすぎません。

　現在、Windows DefenderはWindows 10が備える“セキュリティ機能の総称”になっており、Windows 10に以下のような多重のセキュリティ機能を提供しています。

• Windows Defender SmartScreen：不審なアプリやWebサイトからの保護
• セキュリティが強化されたWindows Defenderファイアウォール：ホストベースのファイアウォール（旧称、セキュリティが強化されたWindowsファイアウォール）
• Windows Defender Exploit Protection：脆弱（ぜいじゃく）性軽減策
• Windows Defender Exploit Guard（WDEG）：攻撃面の縮小（Attack Surface Reduction）やフォルダアクセスの保護、ネットワーク保護を提供
• Windows Defender Application Guard（WDAG）：ハードウェアベースの隔離された「Microsoft Edge」のブラウジング環境を提供
• Windows Defenderアプリケーション制御：コードの整合性をハードウェアベースで検証（旧称、Device Guard）
• Windows Defender Credential Guard：資格情報を保護

　高度なセキュリティ機能は、Windows 10の上位エディションで提供されます（表1）。全ての機能を利用できるのが、Windows 10 Enterpriseです。

	Windows 10 Home	Windows 10 Pro	Windows 10 Enterprise E3	Windows 10 Enterprise E5
OSの起動プロセスの整合性の強制	○	○	○	○
重要なOSコンポーネントの整合性の強制	○	○	○	○
脆弱性とゼロデイ攻撃の軽減策	○	○	○	○
Microsoft Edge、Internet Explorer、Google Chromeのための評価に基づいたネットワーク保護	○	○	○	○
ホストベースのファイアウォール	○	○	○	○
ランサムウェアの軽減策	○	○	○	○
Microsoft Intelligent Security Graph	×	○	○	○
デバイス（USBなど）の制御	×	○	○	○
Windows Defender Application Guard（WDAG）	×	○	○	○
WDAGのエンタープライズ管理	×	×	○	○
Webベースの脅威のためのネットワーク保護	×	×	○	○
ホスト侵入防止規則	×	×	○	○
許可／拒否リスト（IP／URL／ファイル／証明書など）のカスタマイズ	×	×	×	○
デバイスに基づいた条件付きアクセス	×	×	×	○
OSの改ざん防止の一元管理	×	×	×	○
次世代の保護（基本機能）	○	○	○	○
次世代の保護（詳細機能）	×	×	×	○
攻撃面の詳細監視、分析、レポート	×	×	×	○
エンドポイントの検出と応答	×	×	×	○
自動的な調査と修復	×	×	×	○
高度なセキュリティ評価	×	×	×	○
高度なセキュリティ管理	×	×	×	○
エンタープライズ向けの拡張性とコンプライアンス機能	×	×	×	○
多要素認証およびパスワードレス認証	△	○	○	○
シングルサインオン（SSO）トークンのハードウェア分離（資格情報ガード）	×	×	○	○
資格情報ガードの一元管理、分析、レポート、運用	×	×	×	○
表1　Windows 10 October 2018 Update（バージョン1809）におけるWindows DefenderおよびWindows Defender ATPの脅威の保護機能（Windows 10 commercial edition comparisonから一部抜粋）

　また、企業向けにはWindows Defenderの保護機能や管理機能を大幅に強化する、クラウドベースの「Windows Defender Advanced Threat Protection（Windows Defender ATP）」というセキュリティサービスが用意されています。Windows Defender ATPを利用すると、エージェントレスでエンドポイントの動作を監視し、機械学習に基づいたセキュリティ分析によってサイバー攻撃を検出し、警告したり、人の仲介なしで自動修復したりできます。

• Windows Defender Advanced Threat Protection（ATP）（Microsoft セキュリティソリューション）

　WindowsのEnterpriseエディションのアップグレード権を提供する「Windowsソフトウェアアシュアランス（SA）」は現在、「Windows 10 Enterprise E3」サブスクリプションとして提供されています。E3であるWindows 10 Enterpriseの機能に、Windows Defender ATPのサービスをプラスしたものが「Windows 10 Enterprise E5」サブスクリプションです。前出の表1でEnterprise E5だけに提供される機能が、Windows Defender ATPになります。

Webベースの攻撃をブロックするWDEGの「ネットワーク保護」とは？

　Windows Defender ATPはWindows 10の機能ではなく、有料のクラウドサービスであるため、手軽に試用することができません。体験版を申し込むことができる窓口はありますが、全ての申請者に体験版が提供されるわけではないようです。

　「Windows Defender Exploit Guard（WDEG）」の一部であり、Windows Defender ATPにもカスタマイズ機能が用意されている「ネットワーク保護（Network Protection）」については、Windows 10 Enterprise（評価版）だけでもその機能を有効化して試すことができます。

　WDEGのネットワーク保護は、Windows Defender SmartScreenを拡張して、低い評価のソース（ドメイン名やホスト名に基づいて）に接続しようとする出力方向のHTTP／HTTPSトラフィックを全てブロックします。Windows Defender SmartScreenではユーザーが警告を無視すればアクセスを続行できますが（画面1）、WDEGのネットワーク保護はアクセスを許可しません。また、特に使用するWebブラウザやアプリケーションに関係なく機能します（画面2）。

画面1　評価の低いサイトへのアクセスは、Windows Defender SmartScreenが警告を出すが、ユーザーは警告を無視してアクセスを続行することもできる

画面2　WDEGのネットワーク保護を有効にすると、評価の低いサイトへの出力方向のHTTP／HTTPSトラフィックが全てブロックされる。ブラウザ以外のアプリケーションにも適用される（https://demo.wd.microsoft.com/Page/NPにテスト用サイトのリンクがある）

　WDEGのネットワーク保護は、既定では「無効」になっています。ネットワーク保護を有効化するには、「ローカルポリシー」（またはグループポリシー）で「コンピューターの構成\管理用テンプレート\Windowsコンポーネント\Windows Defenderウイルス対策\Windows Defender Exploit Guard\ネットワーク保護」にある「ユーザーとアプリが危険なWebサイトにアクセスするのを防ぎます」ポリシーを「有効」に設定し、オプションを「ブロック」または「監査モード」に構成します（画面3）。

画面3　WDEGのネットワーク保護をローカルポリシー（またはグループポリシー）で有効化する。Windows Defenderウイルス対策の「リアルタイム保護」と「クラウド提供の保護」が「有効」であることが前提

　また、この機能を利用するには、Windows Defenderウイルス対策で「リアルタイム保護」と「クラウド提供の保護」が「有効」であることが前提になります。そのため、Windows Defenderウイルス対策以外の他社製ウイルス対策ソフトウェアがインストールされている場合には利用できません。

　「ユーザーとアプリが危険なWebサイトにアクセスするのを防ぎます」ポリシーを「ブロック」にすると、HTTP／HTTPSトラフィックのブロックが強制され（前出の画面2）、「Microsoft-Windows-Windows Defender/Operational」ログにイベントID「1126」の警告イベントとして、ブロックされたことが記録されます。

　また、「監査モード」にすると、イベントID「1125」の情報イベントとして、アクセス先が危険なネットワーク接続であることが記録されますが、HTTP／HTTPSトラフィックはブロックされません（画面4）。

画面4　「監査モード」ではイベントID「1125」の情報イベントが記録され、出力方向のHTTP／HTTPSトラフィックはブロックされない。「ブロック」ではイベントID「1126」の警告イベントが記録され、トラフィックがブロックされる

　WDEGのネットワーク保護に関する以下のドキュメントには、WDEGのネットワーク保護はWindows 10 Fall Creators Update（バージョン1709）以降と、Windows Server,version 1803（ドキュメントではWindows Server 2016,version 1803と記載されています）以降で利用可能であると説明されています。

• Protect your network［英語］（Windows IT Pro Center）

　また、前出の表1では、Windows 10 Enterprise E3またはE5が必要となっていますが、Windows 10 ProやPro for Workstationsでも機能するようです。このドキュメントでも、以前はWindows 10 Enterprise E3が要件とされていましたが、2019年2月にWindows 10 Pro、Enterprise E3、Enterprise E5に変更されました。

筆者紹介

山市 良（やまいち りょう）

岩手県花巻市在住。Microsoft MVP：Cloud and Datacenter Management（2018/7/1）。SIer、IT出版社、中堅企業のシステム管理者を経て、フリーのテクニカルライターに。Microsoft製品、テクノロジーを中心に、IT雑誌、Webサイトへの記事の寄稿、ドキュメント作成、事例取材などを手掛ける。個人ブログは『山市良のえぬなんとかわーるど』。近著は『ITプロフェッショナル向けWindowsトラブル解決 コマンド＆テクニック集』（日経BP社）。