Windows 10 May 2020 Update(バージョン2004)の企業向けの新機能として、新たに「Microsoft Defender Application Guard for Office」の提供が予定されています。現在、パブリックプレビュー中のこの機能について概要を紹介します。
この記事は会員限定です。会員登録(無料)すると全てご覧いただけます。
2020年8月下旬、以下の「Windows 10 May 2020 Update(バージョン2004)」のITプロフェッショナル向け新機能紹介ページに「注:Application Guard for Officeは、近日提供予定です。」の文言が追加され、新機能「Microsoft Defender Application Guard for Office」を説明するページとドキュメントが公開されました。
Windows 10 バージョン1709以降のEnterpriseエディションからは、「Windows Defender Application Guard(WDAG)」という企業向けセキュリティ機能が利用可能になりました。WDAGは、Windows 10 バージョン1803からはProエディション、Windows 10 バージョン1903からはEducationエディションでも利用可能になりました。
本連載第15回でも紹介したように、WDAGはHyper-Vで分離されたコンテナと呼ばれるサンドボックス環境(注:Docker対応の「Windowsコンテナ」や、Windows 10 バージョン1903から利用可能になった「Windowsサンドボックス」とは別のものです)で「Internet Explorer(IE)11」や「Microsoft Edge」(EdgeHTMLおよびChromiumの両方)を動かし、信頼できないサイトを安全にブラウジングできるようにするセキュリティ機能です(画面1)。なお、WDAGはWindows 10 バージョン2004から「Microsoft Defender Application Guard」という名称になります。
Application Guard for Office(「Microsoft Office Application Guard」と呼ぶこともあるようです)は、「Microsoft 365 Apps」(Officeアプリ)の「Microsoft Word」「Microsoft Excel」「Microsoft PowerPoint」アプリを分離されたコンテナで実行できるようにするものです。
Application Guard for Officeは現在、Officeアプリの「ベータチャネル」でパブリックプレビュー中であり、利用には「Microsoft 365 E5」または「Microsoft 365 E5 Security」サブスクリプションライセンスが必要になります。システム要件は、プロセッサとメモリ要件はWDAGと同じ、HDDの空き容量はWDAGの5GBに対して10GBが必要です。
Officeアプリはもともと、電子メールの添付ファイルやWebからダウンロードしたドキュメントなどを「保護ビュー」で安全に開く機能を備えています(画面2)。
Application Guard for Officeはこれとは異なり、信頼されていないドキュメントをホストOSとは別の独立したHyper-V対応コンテナで開きます(画面3)。
Application Guard for Officeによって、ドキュメントに悪意のあるコンテンツ(コードや細工された画像など)が含まれる場合でも、攻撃者はホストOSや企業内データにアクセスすることはできません。分離されたコンテナは匿名でOfficeアプリを実行するため、アプリを利用中の資格情報にアクセスすることもできません。一方で、ユーザーは保護ビューのように参照専用としてではなく、保護モードを維持したまま、印刷や編集、保存などの機能を利用できます(画面4)。
パブリックプレビュー中の現在は、Application Guard for Officeで信頼されていないドキュメント(電子メールの添付ファイルやWebからダウンロードしたドキュメント)を開く程度しかできませんが、将来的には以下のようなポリシー設定による制御が可能になる予定です。
・Office用Application Guardを無効にする
・Application Guardで開いたドキュメントのコピー/貼り付けを無効にする
・ユーザーがファイルのApplication Guard保護を削除できないようにする
・Application Guardで開いたドキュメントからの印刷を制限する
・Application Guardで開いたドキュメントのカメラとマイクへのアクセスをオフにする
なお、筆者の環境ではアプリを起動してドキュメントを開くところまで、なかなか確認できませんでした。最初、最低限のシステム要件を割り当てた仮想マシン環境で試しましたが、8GBのメモリではメモリ不足でアプリの起動までいきませんでした(9GBの割り当てで起動できました)。WDAGと同様、企業でこのセキュリティ機能を導入するには、ハードウェアのスペックが課題になりそうです。
2021年1月27日(米国時間)、MicrosoftはApplication Guard for Officeの一般提供(GA)を発表しました。GA時点では、この機能はMicrosoft 365 E5の最新チャネルおよび月次エンタープライズチャネルで利用可能です。半期エンタープライズチャネルは2021年後半に利用可能になる予定です。
岩手県花巻市在住。Microsoft MVP:Cloud and Datacenter Management(2020-2021)。SIer、IT出版社、中堅企業のシステム管理者を経て、フリーのテクニカルライターに。Microsoft製品、テクノロジーを中心に、IT雑誌、Webサイトへの記事の寄稿、ドキュメント作成、事例取材などを手掛ける。個人ブログは『山市良のえぬなんとかわーるど』。近著は『Windows版Docker&Windowsコンテナーテクノロジ入門』(日経BP社)、『ITプロフェッショナル向けWindowsトラブル解決 コマンド&テクニック集』(日経BP社)。
Copyright © ITmedia, Inc. All Rights Reserved.