Windows 10 バージョン1903のWindows Defender新機能（2）──保護の履歴：企業ユーザーに贈るWindows 10への乗り換え案内（58）

Windows 10 バージョン1903の「Windowsセキュリティ」では、以前の「脅威履歴（Threat History）」が「保護の履歴（Protection History）」に置き換えられました。「保護の履歴」では、「Windows Defenderオフライン」のスキャン結果の確認と操作の指示が可能になりました。実は、これまでのバージョンではできなかったことです。

[山市良，テクニカルライター]

企業ユーザーに贈るWindows 10への乗り換え案内

Windowsセキュリティの「保護の履歴」の機能

　前回（第57回）は、「Windows 10」バージョン1903の「Windowsセキュリティ」アプリの新機能「Windows Defenderウイルス対策」の設定にある「改ざん防止（Tamper Protection）」を紹介しました。今回は、同じくWindows 10 バージョン1903でWindowsセキュリティアプリの新機能「保護の履歴（Protection History）」を紹介します。

　Windowsセキュリティアプリは、「Windows Defenderセキュリティセンター」という名前でWindows 10 バージョン1703で初めて導入され、Windows 10 バージョン1809で現在の名称に変更されました。今回紹介する「保護の履歴」は、Windows 10 バージョン1809までの「脅威履歴（Threat History）」を置き換え、機能を強化したものです。

　「脅威履歴」は、Windows Defenderウイルス対策のスキャン結果の履歴を提供するものでした。これを置き換える形で登場した新たな「保護の履歴」は、Windows Defenderウイルス対策のスキャン結果だけでなく、スキャンの必要性の案内、推奨事項の通知（「改ざん防止」や「リアルタイム保護」がオフの状態など）、「コントロールされたフォルダーアクセス」（Windows 10 バージョン1709で追加されたランサムウェア防止機能）でブロックされた操作の確認などを1カ所に統合します（画面1）。

画面1　「脅威履歴」を置き換える「保護の履歴」は、Windows Defenderウイルス対策だけでなく、推奨されないセキュリティ設定の警告や「コントロールされたフォルダーアクセス」のブロック履歴にも対応

　これまで「コントロールされたフォルダーアクセス」の履歴を確認するには、イベントログ（「Microsoft-Windows-Windows Defender/Operational」ログのイベントID「1123」）を参照する必要がありました。

Windows Defenderオフラインにスキャン結果の確認と操作指示

　「脅威履歴」は、Windows Defenderウイルス対策のリアルタイム保護で検出された脅威やオンラインのスキャン結果が対象でした。「保護の履歴」では「Windows Defenderオフライン」のスキャン結果と、検出された脅威への操作の指定が可能になりました。Windows Defenderオフラインは、オンラインのWindowsとは別のインスタンスとして起動し、オフラインのWindowsから脅威を取り除くことができるスキャンツールです。

　マルウェアの中には、Windowsがオンライン中、何らかの方法で感染や感染活動をウイルス対策ツールの監視から隠すものや、オンライン中では駆除が難しいものがあります。Windows Defenderオフラインを使用すると、オフラインのWindowsのファイルシステムを対象にスキャンを実行できるため、オンライン中のマルウェアによる妨害を避け、脅威を取り除くことができる場合があります。なお、Windows Defenderオフラインのスキャン対象は、Windowsがインストールされているドライブ（オンライン中のCドライブ）になります。

　「Windows 7」や「Windows 8.1」向けにはWindows Defenderオフラインが起動メディア（作成ツール）という形で無料ダウンロード提供されており、作成したCD／DVDまたはUSBドライブからPCを起動してスキャンを実行できます。Windows 10 バージョン1607からは、Windows 10の一部として標準搭載されました。

• Windows Defenderオフラインを使ってPCを保護する（Windowsのサポート）

　Windows DefenderオフラインはWindows 10 バージョン1607以降に標準搭載されていますが（Windows Serverには非搭載）、他社のマルウェア対策製品を導入しており、Windows Defenderウイルス対策が無効化されている場合、Windows Defenderオフラインを開始するためのオプションが表示されないので、この機能をご存じない方もいるかもしれません。

　Windows Defenderウイルス対策が有効な場合は、次の場所から開始することができます。Windows PowerShellの「Start-MpWDOScan」を管理者権限で実行して開始することもできます。

• Windows 10 バージョン1809および1903
  Windowsセキュリティ > ウイルスと脅威の防止 > スキャンのオプション > Windows Defenderオフラインスキャン（画面2）
• Windows 10 バージョン1803
  Windows Defenderセキュリティセンター > ウイルスと脅威の防止 > 新しい高度なスキャンを実行 > Windows Defenderオフラインスキャン
• Windows 10 バージョン1703および1709
  Windows Defenderセキュリティセンター > ウイルスと脅威の防止 > 高度なスキャン > Windows Defenderオフラインスキャン
• Windows 10 バージョン1607
  設定 > 更新とセキュリティ > Windows Defender > Windows Defenderオフライン

画面2　Windows Defenderウイルス対策が有効な場合、スキャンオプションの一つとしてWindows Defenderオフラインによるスキャンを開始できる（この画面はWindows 10 バージョン1903）

　Windows Defenderオフラインを開始すると、作業内容の保存を促すスキャン開始の確認と、「ユーザーアカウント制御（UAC）」による続行の許可が求められます。実行するとPCが「Windows回復環境（Windows Recovery Environment、WinRE）」で再起動され、Windows Defenderオフライン用のスキャンツールが準備されてスキャンが始まります。ちなみに、スキャンツールの本体は、WinREに準備される「\ProgramData\Microsoft\Windows Defender\Offline Scanner\OfflineScannerShell.exe」です。

　スキャンは15分以上（筆者の環境では30分程度）かかり、脅威の検出や駆除の状況がツールのUI（ユーザーインタフェース）に表示されます。ただし、スキャンが完了すると、脅威の検出の有無にかかわらず、PCが再起動され、Windows 10が通常起動するため、スキャン中に検出された脅威の詳細を確認する方法はありません（画面3）。目を離していると、脅威の検出状況を見逃してしまうでしょう。

画面3　WinREでPCが再起動され、Windows Defenderオフラインによるスキャンが開始される。脅威の検出と駆除が行われていることはUIに表示されるが、終了すると自動的に再起動する

　しかしながら、Windows 10 バージョン1903ではWindowsセキュリティアプリの新しい「保護の履歴」でWindows Defenderオフラインのスキャン結果の確認と、削除された脅威に対する例外的な操作（今後は脅威を許可する）を実行できるようになりました（画面4）。

画面4　Windows 10 バージョン1903の「保護の履歴」では、Windows Defenderオフラインによるスキャンの履歴を確認できる。この例で検出された「Eicar」はテスト用ウイルスであり、筆者が意図的に仕込んだもので実害は一切ない

　なお、Windows PowerShellの「Get-MpThreat」および「Get-MpThreatDetection」コマンドレットでは、以前の「脅威履歴」と同様にWindows Defenderウイルス対策のオンラインでのスキャン結果や脅威の検出を確認することはできますが、オフラインスキャンのスキャン結果には対応していません。

　Windows DefenderオフラインはWinREでスキャンを実行するため、オンラインのWindowsのイベントログにはスキャン結果の記録は残りません。オフラインスキャンの履歴を参照できるのは、新しい「保護の履歴」だけのようです。

これまでのWindows 10のオフラインスキャンは？