検索
連載

Windows 10はEMETに頼らずとも安全?山市良のうぃんどうず日記(58)(2/2 ページ)

マイクロソフトの脆弱性緩和ツール「Enhanced Mitigation Experience Toolkit(EMET)」。その最新バージョン「EMET 5.5」がリリースされました。既にEMETを活用しているのであれば最新版に更新することをお勧めします。まだ使ったことがないという方は、使用上の注意をよくお確かめの上、各自で判断してください。

PC用表示 関連情報
Share
Tweet
LINE
Hatena
前のページへ |       

EMET 5.5の新機能は?

 EMETの機能詳細とEMET 5.5における改善点や新機能については、以下のユーザーガイド(英語)で確認できます。これまでの慣例に従うなら、間もなく日本語版のユーザーガイドも提供されるでしょう。

 「Windows 10のサポート」は、EMET 5.5の最も大きな変更点でしょう。Windows 10が正式にリリースされてから半年以上が経過しましたが、ようやくWindows 10にEMETの正式版を導入できるようになりました。この他の新機能として、2点だけピックアップします。

 1つは、EMETのGUI(Graphical User Interface)を利用した「グループポリシーオブジェクト(GPO)」の編集機能の追加です。これは、グループポリシーを使用してEMETの設定をクライアントPCに配布するのを支援する機能になります。

 これまでもEMETの設定は、管理用テンプレート「EMET.admx」および「EMET.adml」(EMETのインストール先の「Deployment\Group Policy Files」フォルダに存在)を使用して、グループポリシーで配布することができました。新機能を利用すると、EMETのGUIを使用してGPOを編集できるため、ローカルコンピュータのEMETの動作環境をカスタマイズするのと同じ方法で複雑な設定を含むGPOを準備できるようになります(画面3)。

画面3
画面3 管理者はEMET GUIを使用してGPOを編集し、ドメインに展開することができる

 もう1つの新機能は、Windows 10上のEMET 5.5でのみ利用できる「Block Untrusted Fonts(信頼されていないフォントのブロック)」緩和策の追加です。これは、不正なフォントファイルを使用した攻撃からユーザーを保護する機能ですが、EMET 5.5が提供するセキュリティ機能というわけではありません。以下のドキュメントで説明されているように、この機能はレジストリで有効化および構成できるWindows 10標準のセキュリティ機能になります。

 EMET 5.5は、Windows 10に搭載されたこの新しいセキュリティ機能を、EMET GUIやグループポリシーを使用して、システム全体またはアプリケーションごとに有効化できるようにします。

Windows 10はEMET 5.5に頼らずとも安全?

 Windows 10の新しい標準Webブラウザである「Microsoft Edge」は、EMET 5.5による保護の対象外です。つまり、EMET 5.5を導入しても、していなくても、Microsoft EdgeによるWebブラウジングのセキュリティに影響はないということです。Microsoft Edgeの開発目的の1つはセキュリティの強化であり、ActiveX非対応、サンドボックス化による隔離など、Microsoft Edge自体に攻撃緩和策が実装されています。

 EMET 5.5のリリースをアナウンスする公式ブログでは、以下のように説明されています。

Windows 10には、Device Guard, Control Flow Guard(制御フローガード), AppLockerといった、EMETと同じかあるいはより良い緩和策が既に含まれています。

EdgeにはEMETの緩和策は適用できません。Edgeには既に必要とされるサンドボックスなどの攻撃緩和策が含まれているためです。

 これだけを読むと、Windows 10にEMET 5.5を導入した方がよいのか、導入しなくてもWindows 10のセキュリティ機能で十分なのか迷ってしまうかもしれません。

 少なくとも、Microsoft Edgeについては、EMET 5.5を導入してもしなくても、そのセキュリティに違いはないでしょう。

 「Device Guard」はWindows 10の新しいセキュリティ機能ですが、Windows 10 Enterpriseエディションに搭載される機能です。また、UEFI バージョン2.3.1ベースのPCで、セキュアブート、Intel VT-xまたはAMD-V、SLAT(Second Level Address Translation)への対応が必須、TPM(Trusted Platform Module)とIOMMU(Input/Output Memory Management Unit)を推奨など、利用可能なハードウェアは限定されます。この機能は、個人で利用できるような機能ではありません。

 「Control Flow Guard」はWindows 8.1(2014年11月の更新に含まれる)から利用可能なセキュリティ機能ですが、アプリケーションやDLLがControl Flow Guardをサポートするようにコンパイルされている必要があります。

 「AppLocker」はWindows 7以降で利用できるアプリケーション制御(許可/禁止/監査)機能ですが、AppLockerを導入するにはActive Directoryドメイン環境と、WindowsのEnterpriseエディションが必要です。この機能もまた、個人向けのセキュリティ機能ではありません。

 これらのセキュリティ機能について、さらに情報を得たければ、以下のドキュメントや記事が参考になるでしょう。

 こういったことを踏まえて、かつEMET導入の副作用を承知した上で、Windows 10にEMET 5.5を導入するか、しないかを判断してください。EMETは、誰でも導入した方がよいと積極的にお勧めできるようなツールでは決してありません。

「山市良のうぃんどうず日記」バックナンバー

筆者紹介

山市 良(やまいち りょう)

岩手県花巻市在住。Microsoft MVP:Cloud and Datacenter Management(Oct 2008 - Sep 2016)。SIer、IT出版社、中堅企業のシステム管理者を経て、フリーのテクニカルライターに。マイクロソフト製品、テクノロジーを中心に、IT雑誌、Webサイトへの記事の寄稿、ドキュメント作成、事例取材などを手掛ける。個人ブログは『山市良のえぬなんとかわーるど』。


Copyright © ITmedia, Inc. All Rights Reserved.

前のページへ |       
ページトップに戻る