Windows 10の次期大型アップデートプログラムとなるRedstone 4(開発コード名)では、これまでEnterpriseエディションに限定していた「Windows Defender Application Guard(以下、WDAG)」がProエディションでも利用可能になる。
2017年12月19日(現地時間)にリリースした、Windows 10 Insider Preview ビルド17063では、WDAGが「Windowsの機能」で有効にできることを確認した。Microsoftは「利用者の意見を受け入れ、WDAGをWindows 10 Proに導入した(中略)。WDAGはHyper-Vを使って、脅威から身を守る方法を提供する」と述べている。
WDAGはHyper-V上のコンテナでInternet ExplorerもしくはMicrosoft Edgeを起動し、Web経由で侵入するマルウェアなどの脅威からシステムを保護する機能だ。Windows 10 バージョン1709(Fall Creators Update)から実装済みだが、Windows 10 バージョン1803(仮)ではその提供範囲がProエディションまで広がる形となる。
任意のアプリ(ケーション)で開くURLが"信頼されていないサイト"だった場合、WDAG上のWebブラウザーを起動し、Webサイト閲覧終了時にコンテナを破棄。設定に応じてクリップボードやプリンター、お気に入りやCookie、パスワードも使用できる。
WDAGはユーザーが主導で起動する「スタンドアロンモード」と、システム管理者が設定したサイトに応じて自動起動する「エンタープライズモード」という2つの方法を用意し、グループポリシーやSCCM(System Center Configuration Manager)、Microsoft Intuneで設定を施す必要がある。だが、Proで使用するWDAGはエンタープライズモードに未対応のため、基本的に手動で起動しなければならない。
また、現時点では動作を制御する設定項目は見つからず、HKEYLOCALMACHINE\SOFTWARE\Microsoft\Hvsiキーから、前述したホスト上のMicrosoft Edgeから引き継ぐ機能の有無を制御する状態だ。
WDAGを有効にするとMicrosoft Edgeのメニューに「新しいApplication Guardウィンドウ」が加わり、コンテナ上のMicrosoft Edgeが新たに起動する。Webサイト自体の応答性はホストからアクセスした場合と同等ながらも、ウィンドウ操作は若干のレスポンス低下を感じた。これはWDAGがRDP経由で描画しているためだろう。
WDAGに関するコミュニティサイトによれば、今後はファイルのダウンロード機能を実装し、WDAG上で起動可能なアプリも限定している。実装状況を把握していないため、軽々なことはいえないが、ここにMozilla FirefoxやGoogle ChromeなどほかのWebブラウザーが使用できれば、WDAGの利便性が大きく高まる。
ロジック自体は、リモートデスクトップサービス経由でアプリを利用するRemoteAppに類似しているが、サーバーやRDライセンスを必要とせず、コンテナの自動破棄などセキュリティを担保するための仕組みを用意しているだけに、門戸(もんこ)を閉じるのはもったいなく感じる。
Windows 10 Pro for Workstationの登場でReFS(Resilient File System)がProエディションから取り除かれるなど、残念な事柄が多いと感じるWindows 10だが、普段からMicrosoft Edgeを利用しているユーザーには、今回の仕様変更はMicrosoftからのクリスマスプレゼントとなるだろう。是非、潤沢なメモリーを搭載したPCでWDAGを試してほしい。
阿久津良和(Cactus)