おそらく使われていないであろうWindows 11 22H2の新たなセキュリティ機能「スマートアプリコントロール」を試してみた：検証！ Microsoft＆Windowsセキュリティ（2）

Windows 11 バージョン22H2の新機能の一つ「スマートアプリコントロール」はご存じでしょうか。多くのユーザーは知らないか、知っていたとしても利用できない状態になっているのではないでしょうか。この新機能、どんなものか体験してみました。

[山市良，テクニカルライター]

検証！　Microsoft＆Windowsセキュリティ

スマートアプリコントロールは“クリーンインストール限定”のセキュリティ機能

　「Windows 11」のバージョン22H2（Windows 11 2022 Update）に搭載された新機能の一つに、「スマートアプリコントロール（Smart App Control）」というセキュリティ機能があります。

　スマートアプリコントロールは、悪意のあるアプリや信頼されていないアプリ（信頼されていないインターネットゾーンからダウンロードしたもの、よく知られていないもの）をブロックすることで、新たな脅威からユーザーやデバイスを保護します。

　Windows 11には「Microsoft Defenderウイルス対策」や「Windows Defenderファイアウォール」といった基本的なセキュリティ機能に加え、「Windows Smart Screen」や「Exploit Protection」など、さまざまなセキュリティ機能が搭載されていますが、スマートアプリコントロールはそうした多重防御の一角を担う新しい防壁と考えてください。

　このスマートアプリコントロール、おそらく多くのWindows 11デバイスでは「オフ」にされており、利用できない状態になっていると思います（画面1）。

画面1　スマートアプリコントロールの設定は、「Windowsセキュリティ｜アプリとブラウザーコントロール」にある。多くのデバイスでは「オフ」になっているはず

　その理由は、そもそもこの機能は“Windows 11 バージョン22H2がクリーンインストールされたデバイス”でなければオンにすることができないのです。また、クリーンインストール時のプライバシー設定で、オプションを含む診断データの送信が許可されている必要もあります（この設定はインストール後に変更することも可能です）。

　つまり、Windows 11 バージョン21H2や「Windows 10」からWindows 11 バージョン22H2にアップグレードしたデバイスでは、この機能はオフになっており、オンに切り替えることができないのです。スマートアプリコントロールをオンにするには、「PCのリセット」を実行するなどして、Windows 11 バージョン22H2を再インストール（「システム｜回復」で「PCをリセット」をクリックし、「すべて削除」を選択してクリーンインストール）するしかないのです。

Windows 11をクリーンインストールしてオンにしてみたら……

　試しに、仮想マシンにWindows 11 バージョン22H2をクリーンインストールして、スマートアプリコントロールを体験してみました。

　スマートアプリコントロールは、クリーンインストールしてしばらくは「評価」モードで動作し、学習の結果、この機能が保護に役立つかどうか評価され、保護に役立つと判断されると「オン」に、そうでなければ「オフ」になるそうです（画面2）。

画面2　Windows 11 バージョン22H2をクリーンインストールした直後は「評価」モードで動作する

　どれくらいの間「評価」モードが続くのか、どういったことが評価され「オン」「オフ」が判断されるのかといった情報は公開されていませんが、「評価」モードであれば、手動で「オン」または「オフ」に切り替えることができます。「オフ」を選択した場合、それは永続的な変更となり、再び「評価」モードや「オン」にすることはできなくなるので注意してください。

　スマートアプリコントロールをオンにして数時間使用してみましたが、Windowsに含まれるデスクトップアプリケーションやストアアプリ、よく知られたサードパーティー製アプリ（ブラウザやエディタ）がスマートアプリコントロールによってブロックされることはありませんでした。

　筆者が適当に作成したWin32アプリや、Web（Microsoft OneDrive）に配置したテキストを装ったリンクファイルは、スマートアプリコントロールによってブロックされました。前者はデジタル署名の欠如や全く知られていないアプリであること、後者は信頼されていないインターネットゾーンからダウンロードされたものであることがブロックされた原因と思われます（画面3）

画面3　スマートアプリコントロールによってブロックされた、自作アプリ（画面左）と偽装ファイル（画面右）

　実は、クリーンインストール直後にスマートアプリコントロールをオンにしてすぐに試したときは、よく知られたアプリ（「Dependency walker」や「windiff」など）が幾つかブロックされたり、Win32アプリのインストールがブロックされたりと、スマートアプリコントロールの信頼性が疑われるような挙動を示しました（画面4）。

画面4　Windows Updateを一度も実行していない状態では、よく知られたアプリやアプリのインストールがブロックされたりした。現在はこういったおかしな挙動は解消されているようだ

　しかし、その後、Windows Updateを実行してWindows11を最新状態にしたところ、これらのアプリやインストールがブロックされるようなことはありませんでした。この機能の登場直後は、いろいろと不具合があったのではないでしょうか。新機能というのはそういうものです。

　筆者は、ほとんどのデバイスでは「評価」モードの後、この機能が自動的に「オフ」になると考えています。「オフ」の下にある「スマートアプリコントロールがオフになっている理由の詳細」リンク（https://go.microsoft.com/fwlink/p/?linkid=2186983）をクリックすると、そこには、この機能が現在、“北米とヨーロッパの地域でのみ”で推奨されると書いてあるからです（画面5）。この機能が推奨されていない“日本”においては、「オン」に自動的に切り替わるとは思えません（注：確認したわけではありません）。

画面5　現時点ではスマートアプリコントロールの利用は日本では推奨されていない

筆者紹介

山市 良（やまいち りょう）

岩手県花巻市在住。Microsoft MVP 2008 to 2023（Cloud and Datacenter Management）。SIer、IT出版社、中堅企業のシステム管理者を経て、フリーのテクニカルライターに。Microsoft製品、テクノロジーを中心に、IT雑誌、Webサイトへの記事の寄稿、ドキュメント作成、事例取材などを手掛ける。個人ブログは『山市良のえぬなんとかわーるど』。近著は『Windows版Docker＆Windowsコンテナーテクノロジ入門』（日経BP社）、『ITプロフェッショナル向けWindowsトラブル解決 コマンド＆テクニック集』（日経BP社）。