Microsoft Edgeだけじゃない、インターネットの脅威からOfficeアプリも保護する「Microsoft Defender Application Guard」の実力：検証！ Microsoft＆Windowsセキュリティ（5）

Windows 10（x64）とWindows 11 Pro／Enterprise／Educationエディションには、「Microsoft Defender Application Guard」が搭載されており、ローカルのOSとは分離された環境（コンテナ）で実行されるMicrosoft Edgeで安全なインターネットアクセスを可能にします。この機能は、OfficeアプリによるOfficeドキュメントの閲覧にも拡張されています。

[山市良，テクニカルライター]

検証！　Microsoft＆Windowsセキュリティ

Microsoft Edge用Application GuardによるWeb閲覧の保護

　「Microsoft Defender Application Guard」（以下、Application Guard）は、以前は「Windows Defender Application Guard（WDAG）」と呼ばれていたセキュリティ機能であり、「Microsoft Defender System Guard」とも呼ばれる「仮想化ベースのセキュリティ（Virtualization-based Security、VBS）」が有効な「Windows 10」（x64版）または「Windows 11」のPro、Enterprise、Educationエディションに追加して利用できます（画面1）。

画面1　画面1　Microsoft Defender Application Guardの機能は、システム要件を満たすWindows 10（x64）またはWindows 11のPro／Enterprise／Educationエディションに追加できる

　また、Application Guardを利用するには、ハードウェアが4コア以上のHyper-V対応の64bitプロセッサ、8GBメモリ、5GBのディスク空き領域というシステム要件を満たしている必要があります。

• Microsoft Defender Application Guardのシステム要件（Microsoft Learn）

　Application Guardは、「Hyper-V分離モード」のコンテナ技術（「Windows Server 2016」の「Dockerサポート」と同様の技術）を利用して分離された環境で「Microsoft Edge」を実行し、リモートデスクトッププロトコル（RDP）クライアントでアプリに接続することで、ローカルのデスクトップ環境と分離環境内で実行されるMicrosoft Edgeをシームレスに統合します。

　Windows 10／Windows 11の「Windowsサンドボックス」もコンテナ技術を利用した同様の実装となっており、アプリではなく、分離環境内で実行されるデスクトップ全体に接続する形になります。

　Microsoft Edgeの場合、Application Guardは「スタンドアロンモード」と「エンタープライズ管理モード」のいずれかで利用できます。

　スタンドアロンモードは、オンデマンドでApplication Guardで分離されたMicrosoft Edgeを開き、Webを閲覧するといった使い方になります。Windows 11 Proエディションはスタンドアロンモードのみを利用できます。

　エンタープライズ管理モードは、「グループポリシー」または「Microsoft Intune」で定義したネットワークの境界に従って、エンタープライズサイトは通常のMicrosoft Edgeで開き、仕事と個人の両方で使用するサイト（ニュートラルサイト）や、信頼されていないサイトを閲覧しようとすると、Application Guardで分離されたMicrosoft Edgeに自動的にリダイレクトします（画面2）。

画面2　エンタープライズ管理モード（EnterpriseまたはEducationエディションが必要）による、信頼できないサイトのApplication Guardへの自動リダイレクト

Office用Application Guardによるドキュメント閲覧の保護

　 Application Guardは「Microsoft Office」アプリの分離保護にも拡張され、2021年1月に「Office用Application Guard」の一般提供が開始されました。

　システム要件は、プロセッサとメモリは同じですが、ディスクの空き容量は10GB以上必要になります。この機能は、エンタープライズ管理モードで有効化できるため、EnterpriseまたはEducationエディションでのみ利用できます（画面3）。

画面3　Office用Application Guardは、Application Guardのエンタープライズ管理モードの設定で「分離されたWindows環境」で有効にする（2または3）

　また、Office用Application Guardを利用するには、「Microsoft 365 E5」または「Microsoft 365 E5 Mobility＋Security」ライセンスと、「最新チャネル」または「月次エンタープライズチャネル」で構成された「Microsoft 365 Apps for Enterprise」（旧称「Office 365 ProPlus」）の最新バージョン（ビルド16.0.13530.10000以降で対応）がインストールされている必要があります。

• Office用Application Guard（Microsoft Support）

　エンタープライズ管理モードのMicrosoft Edge用Application Guardは、事前に定義されたサイトの境界によって通常のMicrosoft Edgeか、Application Guardによって分離されたMicrosoft Edgeで開くか、自動的にリダイレクトします。これに対して、Office用Application Guardはこのサイトの境界とは関係なく動作します。

　通常、Officeアプリはインターネットやその他の安全でない可能性のある場所（インターネット一時フォルダや「Microsoft Outlook」メールの添付ファイル）からOfficeドキュメントを開く際、「保護モード」を使用します（画面4）。

画面4　インターネットからダウンロードしたOfficeドキュメントを開くと、既定で「保護ビュー」で開くことになる

　保護モードはドキュメントを「読み取り専用」で開くため、閲覧以外の操作（編集や保存）やアクティブコンテンツ（マクロ）を実行するには、「編集を有効にする」をクリックして保護ビューを終了する必要があります。アクティブコンテンツの場合は、さらに「コンテンツの有効化」のクリックが必要です。

• 保護ビューとは（Microsoft Support

　Office用Application Guardを有効にすると、「保護ビュー」で開かれたOfficeドキュメントは、“Application Guardで分離されたOfficeアプリ”で開かれるようになります（画面5）。Application Guardで開かれたOfficeドキュメントは、制限はありますが、保護を維持しながら、開き直すことなく、編集や印刷、保存することができます（画面6）。

画面5　Office用Application Guardが有効になっている場合、保護ビューはApplication Guardに置き換わる

画面6　制限付きながら、保護を維持したまま編集や印刷、保存が可能。保護を解除すると、信頼されたドキュメントとして通常のOfficeアプリで開かれるようになる

　Microsoft Edge用Application Guardと同様に、分離されたコンテナ環境の内部で動作するため、もしウイルスやマルウェアが含まれていたとしても、コンテナの外部に影響を及ぼすことがないため、ローカルのOS環境や企業のリソースは保護されます（コンテナのデータはOSの再起動や「wdagtool cleanup」コマンドの実行で破棄されます）。

最新情報（2023年11月28日、12月19日追記追記）

　Microsoftは2023年11月、「Microsoft Defender Application Guard for Office」を非推奨の機能の一覧に追加しました。Officeの保護ビューやWindows Defender Application Control、Microsoft Defender for Endpointの攻撃面の縮小機能など、別のセキュリティ機能を利用することを推奨しています。また、2023年12月には、「Microsoft Defender Application Guard」も非推奨の機能の一覧に追加されました。

• Deprecated features for Windows client［英語］（Microsoft Learn）

筆者紹介

山市 良（やまいち りょう）

岩手県花巻市在住。Microsoft MVP 2008 to 2024（Cloud and Datacenter Management）。SIer、IT出版社、中堅企業のシステム管理者を経て、フリーのテクニカルライターに。Microsoft製品、テクノロジーを中心に、IT雑誌、Webサイトへの記事の寄稿、ドキュメント作成、事例取材などを手掛ける。個人ブログは『山市良のえぬなんとかわーるど』。近著は『Windows版Docker＆Windowsコンテナーテクノロジ入門』（日経BP社）、『ITプロフェッショナル向けWindowsトラブル解決 コマンド＆テクニック集』（日経BP社）。