Microsoft、ゼロトラストの原則に基づいたWindows 11の新しいセキュリティ機能を紹介：チップからクラウドに至るまで保護機能を提供

Microsoftは、Windows 11の今後のリリースでは大規模なセキュリティ更新によって、チップからクラウドに至るまで保護機能を提供することを明らかにした。

[＠IT]

　Microsoftは2022年4月5日（米国時間）、「Windows 11」の今後のリリースでは大規模なセキュリティ更新によって、最新のハードウェアとソフトウェアを組み合わせ、チップからクラウドに至るまでのさまざまな保護機能を提供することを明らかにした。

　Microsoftは、ハイブリッドワークへの移行が急速に進む中、分散された業務環境のセキュリティ課題に取り組む企業をこれらの新機能がどのように支援するかを、次のように説明した。

ハードウェアを基盤とするゼロトラストセキュリティの実現

　CPUに組み込まれるセキュリティプロセッサ「Microsoft Pluton」は、ゼロトラストの原則に基づいて構築されたWindows 11のハードウェアセキュリティ機能を提供するという。その中には、TPM（Trusted Platform Module） 2.0、ファームウェアおよびID保護、ダイレクトメモリアクセスおよびメモリ整合性保護などが含まれる。デバイスの電源投入後すぐに、OSのコア部分やユーザーの資格情報が保護される。

　Microsoft Plutonでは、CPUやOSへの直接統合による機能が幾つかある。

　まず、Plutonは、各種機能がWindows Updateを通じて定期的に更新されるセキュリティプロセッサだ。他のWindowsコンポーネントと同様に更新される。従来のように、企業が手作業でファームウェアを更新する必要はない。

　また、CPUへの直接統合による物理攻撃にも対策を講じており、攻撃範囲を最小限に抑えている他、これまで物理攻撃対策に必要とされていた詳細な構成を簡素化している。

ハイパーバイザーで保護されたコード整合性（HVCI）によって、脆弱なドライバを既定でブロック

　近年のマルウェア攻撃（「RobbinHood」「Uroburos」「Derusbi」「GrayFish」「Sauron」など）では、システムへの侵入にドライバの脆弱（ぜいじゃく）性が悪用されることが増えている。

　次期Windows 11リリースでは、Windows 11が実行される各種デバイスで、ハイパーバイザーで保護されたコード整合性（HVCI）が既定で有効化される。この機能によって、悪意あるコード（「WannaCry」など）の挿入が防止され、署名済みの信頼できるドライバのみがOSに読み込まれるようになる。この機能は、既知の脆弱なドライバを悪用した高度な標的型攻撃（APT）やランサムウェア攻撃の防止に役立つ。

「Windows Security」アプリの「コア分離」ページから、脆弱なドライバをブロックする機能を有効にすることもできる（提供：Microsoft）

アプリストアを経由しないアプリは「Smart App Control」でブロック

　新機能の「Smart App Control」は、信頼されていないアプリや署名されていないアプリを既定でブロックし、ユーザーがWindowsデバイスで悪意あるアプリを実行しないようにする。コード署名とAI（人工知能）を使用することで、コード証明書によって、またはアプリの信頼性を判定するMicrosoftクラウド上のAIモデルによって、安全性を確認されたプロセスにのみ実行を許可する仕組みだ。

　Smart App Controlは、Windows 11がインストールされている新規デバイスで提供される。

アカウントと資格情報のセキュリティを強化

Microsoft Defender SmartScreen

　フィッシング検出および保護機能が強化された「Microsoft Defender SmartScreen」では、Microsoftの資格情報を悪用した悪意あるアプリの実行や、ハッキングされたWebサイトへの誘導を検出してユーザーに警告し、フィッシング攻撃から保護する。「フィッシング攻撃からの保護がプラットフォームに直接組み込まれ、初期状態で使用可能になっているOSは、Windowsが初めてだ」とMicrosoftは述べている。

Credential Guard