Windows 10 May 2020 Update（バージョン2004）の新しい企業向けセキュリティ機能――Application Guard for Officeとは：企業ユーザーに贈るWindows 10への乗り換え案内（83）

Windows 10 May 2020 Update（バージョン2004）の企業向けの新機能として、新たに「Microsoft Defender Application Guard for Office」の提供が予定されています。現在、パブリックプレビュー中のこの機能について概要を紹介します。

[山市良，テクニカルライター]

企業ユーザーに贈るWindows 10への乗り換え案内

Application GuardがOfficeアプリに対応、パブリックプレビュー開始

　2020年8月下旬、以下の「Windows 10 May 2020 Update（バージョン2004）」のITプロフェッショナル向け新機能紹介ページに「注：Application Guard for Officeは、近日提供予定です。」の文言が追加され、新機能「Microsoft Defender Application Guard for Office」を説明するページとドキュメントが公開されました。

• Windows 10 Version 2004のIT担当者向け新機能（Microsoft Docs）
• OfficeのApplication Guard（Officeのサポート）
• 管理者向けのOffice用アプリケーションガード（パブリックプレビュー）（Microsoft Docs）

　Windows 10 バージョン1709以降のEnterpriseエディションからは、「Windows Defender Application Guard（WDAG）」という企業向けセキュリティ機能が利用可能になりました。WDAGは、Windows 10 バージョン1803からはProエディション、Windows 10 バージョン1903からはEducationエディションでも利用可能になりました。

　本連載第15回でも紹介したように、WDAGはHyper-Vで分離されたコンテナと呼ばれるサンドボックス環境（注：Docker対応の「Windowsコンテナ」や、Windows 10 バージョン1903から利用可能になった「Windowsサンドボックス」とは別のものです）で「Internet Explorer（IE）11」や「Microsoft Edge」（EdgeHTMLおよびChromiumの両方）を動かし、信頼できないサイトを安全にブラウジングできるようにするセキュリティ機能です（画面1）。なお、WDAGはWindows 10 バージョン2004から「Microsoft Defender Application Guard」という名称になります。

• Windows Defender Application Guardで実現するセキュアなブラウジング環境――Windows 10の新しいセキュリティ機能（その2）（本連載 第15回）

画面1　64bit版のWindows 10 Enterprise／Pro／Educationで利用可能なWDAG。IE 11やMicrosoft Edgeで信頼できないサイトにアクセスすると、自動的にWDAGの分離環境にリダイレクトする

　Application Guard for Office（「Microsoft Office Application Guard」と呼ぶこともあるようです）は、「Microsoft 365 Apps」（Officeアプリ）の「Microsoft Word」「Microsoft Excel」「Microsoft PowerPoint」アプリを分離されたコンテナで実行できるようにするものです。

　Application Guard for Officeは現在、Officeアプリの「ベータチャネル」でパブリックプレビュー中であり、利用には「Microsoft 365 E5」または「Microsoft 365 E5 Security」サブスクリプションライセンスが必要になります。システム要件は、プロセッサとメモリ要件はWDAGと同じ、HDDの空き容量はWDAGの5GBに対して10GBが必要です。

Application Guard for Officeのシステム要件

• プロセッサ：Hyper-Vに対応した64bit、4コアプロセッサ
• 物理メモリ：8GB以上
• HDD：10GBの空き領域、SSDを推奨
• OS：2020年8月の品質更新プログラムまで更新された64bit版Windows 10 Enterprise バージョン2004（ビルド19041.450以降）

Application Guard for Officeでは何ができる？

　Officeアプリはもともと、電子メールの添付ファイルやWebからダウンロードしたドキュメントなどを「保護ビュー」で安全に開く機能を備えています（画面2）。

画面2　Officeアプリで利用可能な「保護ビュー」は、ブロックを解除するまで参照専用として安全に開く

　Application Guard for Officeはこれとは異なり、信頼されていないドキュメントをホストOSとは別の独立したHyper-V対応コンテナで開きます（画面3）。

画面3　Application Guard for Officeを有効にすると、信頼できないドキュメントは分離されたコンテナのWord／Excel／PowerPointで開くようになる

　Application Guard for Officeによって、ドキュメントに悪意のあるコンテンツ（コードや細工された画像など）が含まれる場合でも、攻撃者はホストOSや企業内データにアクセスすることはできません。分離されたコンテナは匿名でOfficeアプリを実行するため、アプリを利用中の資格情報にアクセスすることもできません。一方で、ユーザーは保護ビューのように参照専用としてではなく、保護モードを維持したまま、印刷や編集、保存などの機能を利用できます（画面4）。

画面4　Application Guard for Officeで開かれた信頼できないExcelワークシート

　パブリックプレビュー中の現在は、Application Guard for Officeで信頼されていないドキュメント（電子メールの添付ファイルやWebからダウンロードしたドキュメント）を開く程度しかできませんが、将来的には以下のようなポリシー設定による制御が可能になる予定です。

・Office用Application Guardを無効にする

・Application Guardで開いたドキュメントのコピー／貼り付けを無効にする

・ユーザーがファイルのApplication Guard保護を削除できないようにする

・Application Guardで開いたドキュメントからの印刷を制限する

・Application Guardで開いたドキュメントのカメラとマイクへのアクセスをオフにする

　なお、筆者の環境ではアプリを起動してドキュメントを開くところまで、なかなか確認できませんでした。最初、最低限のシステム要件を割り当てた仮想マシン環境で試しましたが、8GBのメモリではメモリ不足でアプリの起動までいきませんでした（9GBの割り当てで起動できました）。WDAGと同様、企業でこのセキュリティ機能を導入するには、ハードウェアのスペックが課題になりそうです。

最新情報（2021年1月29日追記）

　2021年1月27日（米国時間）、MicrosoftはApplication Guard for Officeの一般提供（GA）を発表しました。GA時点では、この機能はMicrosoft 365 E5の最新チャネルおよび月次エンタープライズチャネルで利用可能です。半期エンタープライズチャネルは2021年後半に利用可能になる予定です。

• Application Guard for Office now generally available［英語］（Microsoft Tech Community）

筆者紹介

山市 良（やまいち りょう）

岩手県花巻市在住。Microsoft MVP：Cloud and Datacenter Management（2020-2021）。SIer、IT出版社、中堅企業のシステム管理者を経て、フリーのテクニカルライターに。Microsoft製品、テクノロジーを中心に、IT雑誌、Webサイトへの記事の寄稿、ドキュメント作成、事例取材などを手掛ける。個人ブログは『山市良のえぬなんとかわーるど』。近著は『Windows版Docker＆Windowsコンテナーテクノロジ入門』（日経BP社）、『ITプロフェッショナル向けWindowsトラブル解決 コマンド＆テクニック集』（日経BP社）。