Windows 10の最新バージョンでは、「Windows Defenderウイルス対策」に「改ざん防止」という新機能が追加されました。「改ざん防止」とはどのようなセキュリティ機能なのか、どういう利点があるのかを紹介します。
この記事は会員限定です。会員登録(無料)すると全てご覧いただけます。
Windows 10 バージョン1903では、「Windows Defenderウイルス対策(Windows Defender Antivirus)」に「改ざん防止(Tamper Protection)」という新機能が追加されました。この機能は、ウイルス対策ソフトとしてWindows 10標準のWindows Defenderウイルス対策のみを利用している場合に使用できるものです。
「改ざん防止」という名前からは、Windowsのシステムに対する改変や通信トラフィックの盗聴、改ざんを防止するような機能を想像する人もいるでしょう。しかし、そのような機能を提供するものではありません。「改ざん防止」とは、以下に挙げるWindows Defenderウイルス対策の設定変更を抑止する機能です。これらの設定は、セキュリティを維持するために重要な設定です。
この中で「IOAV保護」と「セキュリティインテリジェンスの更新」については、聞き慣れないものでしょう。補足しておきます。IOAV(IOfficeAntiVirus)保護は、Webブラウザによるダウンロードやメールの添付ファイルを開く際、ウイルススキャンの実行に使用されるインタフェースです。ダウンロード完了後に「セキュリティスキャンを実行中……」と表示されるのは、IOAV保護が有効になっているからです。セキュリティインテリジェンスの更新は、以前は「Windows Defender Antivirusの定義の更新」と呼ばれていたものです。
「改ざん防止」機能は既定でオン(有効)になっています。設定を確認するには、「Windowsセキュリティ」アプリ(以前のバージョンのWindows 10では「Windows Defenderセキュリティセンター」という名称でした)で「ウイルスと脅威の防止」を開き、「ウイルスと脅威の防止の設定」にある「設定の管理」をクリックして、「改ざん防止」の設定項目を参照します(画面1)。
なお、Windows Defenderウイルス対策以外のサードベンダーのマルウェア対策製品がインストールされている場合、「改ざん防止」を含むWindows Defenderウイルス対策の設定項目にはアクセスできません。
「改ざん防止」はオン/オフできますが、オフにすることは推奨されません。Windows 10 Enterprise E5サブスクリプションの場合は、オフにできないということです。Windows 10 Enterprise E5で「改ざん防止」をオフにできないのは、Windows Defenderウイルス対策をさらに強化する「Windows Defender Advanced Threat Protection(ATP)」で保護されるからでしょう。
「改ざん防止」で保護される他の項目(リアルタイム保護など)も、「改ざん防止」がオン/オフであるかどうかに関係なく、「Windowsセキュリティ」アプリからオン/オフができます。ユーザーアカウント制御(User Account Control:UAC)で保護されていますが、管理者権限のあるアカウントであれば可能です。「改ざん防止」は、「Windowsセキュリティ」アプリを使用したユーザーによる変更を防止するものではないのです(画面2)。
ただし、推奨されない設定がユーザーによって行われた場合は、「Microsoft-Windows-Windows Defender/Operational」ログにイベントID「5007」の情報イベントが記録されます(後出の画面7を参照)。
「改ざん防止」が何から設定を保護するのかというと、次のような方法を用いた設定オフや定義ファイルの削除操作からです。マルウェアは活動を阻むウイルス対策を先に無効化しようとするでしょう。あるいは、ポリシー設定のミスがシステムを脆弱(ぜいじゃく)な状態にしてしまう可能性もあります。「改ざん防止」には、そうしたリスクを最小化する効果が期待できます。
「改ざん防止」はレジストリの直接的な変更を防止する機能はありませんが、そもそもWindows Defenderウイルス対策の設定が格納される「HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Defender」キーの既定のアクセス許可は、それを許しません。
例えば、ローカル管理者であってもレジストリを変更することはできません。アクセス許可の緩いポリシー設定に対応するレジストリ「HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender」の変更については、「改ざん防止」でカバーされます(グループポリシーによる設定オフからの保護と同じ)。
「改ざん防止」がオンになっていることにより、どのような効果があるのか、幾つかデモンストレーションをしてみましょう。
Copyright © ITmedia, Inc. All Rights Reserved.