新しい軽量な隔離環境、「Windowsサンドボックス」とは?:企業ユーザーに贈るWindows 10への乗り換え案内(52)
ITプロフェッショナルにとって、Windows 10 May 2019 Update(バージョン1903)の最も注目の機能は、新たに利用可能になった隔離環境「Windowsサンドボックス」でしょう。もちろん正式版ですが、登場したばかりの機能には不具合がつきものです。安定するまでは、プレビュー的に評価する段階と考えた方がよいかもしれません。
高いスペックが必要なWDAGに対し、Windowsサンドボックスは軽量
「Windowsサンドボックス(Windows Sandbox)」は、Windows 10 May 2019 Update(バージョン1903、ビルド18362)から正式に利用可能になった新しい隔離環境です。
前回説明した「Microsoft Edge」の隔離環境である「Windows Defender Application Guard(WDAG)」は、64bit版Windows 10の仮想化ベースのセキュリティ(Virtualization-Based Security:VBS)というHyper-Vハイパーバイザーの技術を利用しています。この隔離環境でWindows 10インスタンスを実行し、Microsoft Edgeを「Application Guardウィンドウ」としてエンドユーザーに提供することで、信頼できないサイトのアクセスに潜むセキュリティリスクからホスト環境やユーザーを保護します。Windowsサンドボックスも同じようにVBSで実現する隔離環境であり、“隔離されたWindows 10のデスクトップ環境全体”をユーザーに提供します(画面1)。
Windowsサンドボックスの公式ドキュメントはまだ出そろっていないため、技術的な解説についてはInsider Preview段階で公開された以下の公式ブログの情報を参考にしてください。
- Windows Sandbox−Microsoft Tech Community[英語](Windows Kernel Internals)
WDAGとWindowsサンドボックスは、どちらも同じVBSを利用した隔離環境ですが、WindowsサンドボックスはWDAGよりも軽量化、高速化が図られています。例えば、WDAGがWDAG用にWindows 10のディスクイメージをまるまる保持しているのに対し、WindowsサンドボックスはホストOSのディスクイメージの参照(リンク)を利用してクリーンなOS環境を用意するため、ディスク使用量が削減されています。
隔離環境のWindows 10(仮想マシン)の起動には、WDAGもWindowsサンドボックスも時間を要します。ただし、Windowsサンドボックスでは、初回起動後の仮想マシンのクリーンな状態をスナップショット(ディスクイメージと仮想マシンのメモリ状態)として作成し、2回目以降はそのスナップショットのクローンからクリーンなWindowsサンドボックスを起動することで、起動時間の短縮を図っています。WDAGの場合は、ホストOSの再起動によって状態が破棄されるため、ホストOSの起動のために初回起動に時間がかかります。
以下の表1に、WDAGとWindowsサンドボックスのシステム要件を示しました。前回の最後に説明しましたが、WDAGが要求するマシンスペックは企業の標準的なクライアントPCには高過ぎます。Windowsサンドボックスであれば、最近の一般的、標準的なクライアントPCのスペックで利用できるでしょう(画面2)。
| Windows Defender Application Guard(WDAG) | Windowsサンドボックス | |
|---|---|---|
| プロセッサ | 4コア | 2コア(4コア推奨) |
| 仮想化 | プロセッサの仮想化拡張機能、第2レベルアドレス変換拡張機能(SLAT) | プロセッサの仮想化拡張機能、第2レベルアドレス変換拡張機能(SLAT) |
| 物理メモリ | 8GB | 4GB(8GB推奨) |
| 空きディスク容量 | 5GB(SSD推奨) | 1GB(SSD推奨) |
| エディション | Enterprise(1709以降)/Pro(1803以降、スタンドアロンモードのみ)/Education(1903以降) | Pro/Enterprise/Education(全て1903以降) |
| 表1 WDAGとWindowsサンドボックスのシステム要件(Proは、Pro for WorkstationsとPro Educationを含む) | ||
Windowsサンドボックスを利用するには、システム要件を満たす64bit版Windows 10 バージョン1903の「Windowsのプログラムの機能の有効化または無効化」で「Windowsサンドボックス」をチェックして有効化します(再起動が要求される場合があります)。WDAGは最小システム要件を満たしていない場合には機能を有効化できませんが、Windowsサンドボックスはプロセッサ数やメモリ容量で有効化をブロックする機能はないようです(画面3)。
Windowsサンドボックスでできること
Windowsサンドボックスでは、Windows 10の基本的な機能は普通に利用できる他、Microsoft Edgeや「Internet Explorer(IE)」といった組み込みのWebブラウザも利用可能です。ただし、Windows 10の全ての機能を搭載しているわけではなく、例えば「Windows Defender」ウイルス対策は搭載されていませんし、「イベントビューアー」など一部の管理ツールのスナップインは機能しません。WindowsサンドボックスのMicrosoft Edgeを使用して、信頼できないWebサイトをブラウジングすれば、スタンドアロンモードのWDAGと同じような利用方法になります。
WindowsサンドボックスはホストOS環境からは隔離されていますが、「クリップボード」を介してホストOSからファイルやテキストをコピー&ペーストできるので、不審なアプリを簡単に隔離環境で実行してみることができます(画面4)。
新しいソフトウェアを評価するために、Windowsサンドボックスの環境にインストールして実行することもできます(画面5)。ただし、OSの再起動を伴う操作には対応していません。
画面5 WindowsサンドボックスのOS環境にアプリをインストールして実行することで、OS環境に影響を与えずに新しいアプリや開発中のアプリを試用できる(この画面の例では、開発中の「Microsoft Edge Devビルド」をインストール)
Windowsサンドボックスのウィンドウを閉じると、WindowsサンドボックスのOS環境に対して行われた変更は全て破棄され、次回起動時には再びクリーンな状態で起動します(画面6)。
新機能の運用環境への導入は慎重に
以下の公式ブログ記事で説明されているように、今後、構成ファイル(*.wsb)を使用したホストGPUの共有、ネットワークの無効化、ホストフォルダの共有(読み取り専用または読み書き)、スタートアップスクリプトの自動実行のカスタマイズが可能になる予定です。クリーンなWindows 10環境に、例えばアプリを事前にインストールしておきたいという場合は、これらの方法を利用してWindowsサンドボックスを開始するたびに環境をセットアップします。
- Windows Sandbox - Config Files −Microsoft Tech Community[英語](Windows Kernel Internals)
公式ブログ記事は開発中のInsider Previewビルドのものであり、内容は変更される可能性があることが明記されています。Windows 10 バージョン1903のリリース時点(18362.116および18362.175)のWindowsサンドボックスで試したところ、ネットワーク機能の無効化とホストフォルダの共有、スタートアップスクリプトの自動実行は確認できましたが(画面7)、GPUの共有については機能することを確認できませんでした。
新機能には未知の不具合が存在する可能性があります。例えば、Release Preview段階の累積更新プログラム(KB4495666、ビルド18362.53)では、WindowsサンドボックスやWDAGの起動に失敗する場合があり、回避するには起動時間を短縮するためのスナップショットとクローン機能を無効化する必要がありました。この問題は修正されることなく正式リリースとなりました。
さらにリリース時点でも、一部の環境で別の問題が発生し、Windowsサンドボックスが起動しないという既知の問題が追加されました。Windowsサンドボックスはセキュリティのための隔離環境ですが、これだけ安定しない現状では、脆弱(ぜいじゃく)性につながる不具合がないとも限りません。
現段階では、Windowsサンドボックスはプレビュー的なものとして考え、将来の導入の可能性を探るために評価しておくとよいでしょう。少なくとも、公式ドキュメントが出そろうまでは実運用環境への導入は避けるべきでしょう。
筆者紹介
山市 良(やまいち りょう)
岩手県花巻市在住。Microsoft MVP:Cloud and Datacenter Management(2019-2020)。SIer、IT出版社、中堅企業のシステム管理者を経て、フリーのテクニカルライターに。Microsoft製品、テクノロジーを中心に、IT雑誌、Webサイトへの記事の寄稿、ドキュメント作成、事例取材などを手掛ける。個人ブログは『山市良のえぬなんとかわーるど』。近著は『ITプロフェッショナル向けWindowsトラブル解決 コマンド&テクニック集』(日経BP社)。
Copyright © ITmedia, Inc. All Rights Reserved.
関連記事
さようならSAC-T! これまでの、これからのWindows 10の更新チャネルをざっくりと解説
2019年春にリリースされるWindows 10の新バージョンから、ブランチ準備レベル「半期チャネル(対象指定)」が廃止されることが発表されました。これにより、どのような影響があるでしょうか。Windows Update for Business(WUfB)を利用していない限り、何の影響もないでしょう。WUfBを利用しているなら、更新後に設定を確認しておきましょう。
次期Windows 10最新動向:リリース秒読みの「19H1」はこう変わる
間もなくリリースされるWindows 10の新しい機能アップデート「19H1」。それに実装される新機能をまとめてみた。また、同時に変更となるライフサイクルなどについても解説する。
複雑怪奇? Windows 10の大型更新とサポート期間を整理する
Windows 10では従来のWindows OSと異なり、年2回、大型アップデートの提供が行われるようになった。それに伴い、サポート期間もバージョンごとに設定されるなどの変更が行われており、かなり複雑なものとなっている。本稿では、アップデートの提供タイミングならびにそのサポート期間などを整理する。
Windows Update for Businessってどうなったの?
Windows 10の登場ですっかり変わってしまったWindows Update。IT管理者の多くが戸惑っているに違いありません。「Windows 10 バージョン1511 ビルド10586」に合わせ、「Windows Update for Business」が利用可能になりました。しかし、筆者を含む多くの人が想像していたのとは違い、SaaSタイプのサービスではありませんでした。
Windows 10の更新プログラム適用で地雷を踏まないためのWindows Update運用法
Windows Updateによるアップデートの適用は、場合によっては不具合を起こす可能性もある。アップデートによって不具合が発生しないことを確認してから適用するとよい。そのためのWindows Updateによる適用を延期する方法を紹介しよう。