強化と拡充を続けるWindowsのセキュリティ機能／サービスまとめ――あなたの会社に必要なのはどれ？：企業ユーザーに贈るWindows 11への乗り換え案内（4）

MicrosoftはWindows 11に豊富なセキュリティ機能を標準で実装し、クラウドベースのセキュリティ関連サービスも多数提供しています。あなたの会社にいま必要なセキュリティ機能／サービスはどれでしょうか。

[山市良，テクニカルライター]

企業ユーザーに贈るWindows 11への乗り換え案内

Windows 11が標準で備えるセキュリティ機能

　「Windows 11」は以下のようなセキュリティ機能を標準搭載しており、その状態や設定は「Windowsセキュリティ」アプリで確認できます（画面1）。

• ウイルスと脅威の防止：Microsoft Defenderウイルス対策
• アカウント保護：Windows Hello、動的ロック、Microsoftアカウントまたは組織のアカウントによるパスワードレスサインイン、仮想化ベースのセキュリティ（VBS）による資格情報ガード（Credential Guard）
• ファイアウォールとネットワーク保護：Windows Defenderファイアウォール
• アプリとブラウザのコントロール：Microsoft Defender SmartScreen、Endpoint Protection、Microsoft Defender Application Guard（旧称、Windows Defender Application Guard、WDAG）、Windowsサンドボックス
• デバイスのセキュリティ：コア分離（VBSによるデバイスガードハイパーバイザーで保護されたコード整合性《HVCI》）、トラステッドプラットフォームモジュール（TPM）2.0、UEFIセキュアブート、BitLockerドライブ暗号化（Homeエディションは「デバイスの暗号化」）、カーネルDMA保護、動的な信頼のルート測定（DRTM、System Guard、Secure Launchなどとも呼ばれます。日本語版では「測定の動的な信頼ルート」と不適切にローカライズされています）
• デバイスのパフォーマンスと正常性：正常性レポート
• ファミリーオプション：ホームユーザー向け機能

画面1　Windows 11のセキュリティの状態を把握し、各種セキュリティ設定にアクセスできる「Windowsセキュリティ」

　Windows 11が要求するプロセッサモデルやメモリ容量、ファームウェア、TPM 2.0などの必須要件は、上記の多くのセキュリティ機能を利用可能にし、一部は既定で有効になります。また、高度なセキュリティ機能をオプションで有効化できます（カーネルDMA保護など、一部の機能は追加のハードウェア要件が必要です）。

　つまり、Windows 11のデバイスは、Windows 11を実行しているという事実だけで、一定レベル、それも「Windows 10」以上にセキュリティで保護されているといえます。

• Windows 11の仕様とシステム要件（Microsoft Windows）

クラウドベースのセキュリティサービス

　Microsoftは、クラウドベースの多数のセキュリティサービスを以前から提供し、拡充してきました。その多くは、「Microsoft Defender」というブランド名を冠しています（画面2）。

• クラウドセキュリティサービス（Microsoft Security）

画面2　Microsoftが提供するクラウドベースのセキュリティサービス群

　「Windows Defender」になじみのある人は、「『Microsoft Defender』はWindows Defenderの新しい名称」というイメージを持っているかもしれません。以前Windows Defenderと呼ばれていたものは、現在は「Microsoft Defenderウイルス対策（Microsoft Defender Antivirus）」であり、Windows 11のセキュリティ機能には上記に示したように、他にもMicrosoft Defenderの名前を持つものが複数あります。

　クラウドベースのセキュリティサービスの中にも、Microsoft Defenderウイルス対策と同じようにエンドポイント保護に特化したものが存在します。例えば、以下の3製品です。

• Microsoft Defender for Endpoint
• Microsoft Defender for Business
• Microsoft 365 Defender

　これらは、Microsoft Defenderウイルス対策を置き換えるマルウェア対策ソフトウェアを提供するものではないことに注意してください。1つ例外があるとすれば、2つ目のWindows ServerおよびLinuxサーバ向けプランである「Microsoft Defender for Business サーバー」はLinux版のマルウェア対策ソフトウェアを提供します。

　これらの製品はいずれも、企業のセキュリティ担当者向けに、「ポータル（ダッシュボード）」を提供し、管理対象となるデバイスのセキュリティを監視して、脅威に迅速に対応できるように、組織のセキュリティ態勢を強化するものです。

　これらの製品は利用が想定される企業規模に応じて提供されます。上から、一般企業向けエンドポイント保護、中小規模（300人まで）向けエンドポイント保護、大企業向けのエンドポイント保護を含む「Microsoft 365」全体の保護を対象としています（画面3）。この他に、「Microsoft 365 Family/Personal」を対象とした「個人向けMicrosoft Defender（Microsoft Defender for individuals）」も用意されています。

画面3　Microsoft 365 Defenderのポータル。エンドポイントを含む、Microsoft 365のサービス全体にわたってセキュリティを管理できる

　クラウドベースのセキュリティサービスの多くは個別に購入することもできますが、Microsoft 365の各種サブスクリプションに含まれる形で提供されている場合もあります。繰り返しになりますが、エンドポイント保護を提供する製品は、Windows 11標準のMicrosoft Defenderウイルス対策を置き換えるものではありません。Microsoft Defenderウイルス対策やその他Windows 11のセキュリティ機能を、セキュリティ担当者が一元的に管理するためのサービスと考えるとよいでしょう。

　Windows 11 EnterpriseやMicrosoft 365サブスクリプションを利用している場合は、標準で利用可能な製品もあります。また、各サービスには無料試用版も用意されています。サービスを導入するメリットはあるのかどうか、どのサービスが適切なのか、あるいは他社の企業向けマルウェア対策製品を利用するのか、比較検討するとよいでしょう。

　Microsoftのセキュリティサービスには他にも、プライバシー保護の「Microsoft Priva」やガバナンスや情報保護、コンプライアンスのための「Microsoft Purview」、マルチクラウドにおけるID管理のための「Microsoft Entra」など、名称からは機能が想像できない新しいサービスも次々に登場しています。

　一方で、以前のサービスが新しいサービスに置き換えられたりもしています。過去のドキュメントや記事で説明されているサービスは、興味を持ったとしても既に廃止されていたり、別の製品への移行が推奨されていたりすることにも注意してください。

• 「Windows情報保護」が非推奨リスト入り、今後推奨される新たな情報保護機能「Microsoft Purview」とは？（連載：企業ユーザーに贈るWindows 10への乗り換え案内 第133回）

筆者紹介

山市 良（やまいち りょう）

岩手県花巻市在住。Microsoft MVP 2008 to 2023（Cloud and Datacenter Management）。SIer、IT出版社、中堅企業のシステム管理者を経て、フリーのテクニカルライターに。Microsoft製品、テクノロジーを中心に、IT雑誌、Webサイトへの記事の寄稿、ドキュメント作成、事例取材などを手掛ける。個人ブログは『山市良のえぬなんとかわーるど』。近著は『Windows版Docker＆Windowsコンテナーテクノロジ入門』（日経BP社）、『ITプロフェッショナル向けWindowsトラブル解決 コマンド＆テクニック集』（日経BP社）。