Windows 10が2015年7月にリリースされ、はや1年が経とうとしています。Windows7、8.1から無償アップグレードできることもあり、着実にWin 10化が進んでいる状況ですが、一方で「なぜWindows 10にアップグレードしなくてはならないの?」という声もあります。

その答えの1つが「Windows 10の強力なセキュリティ機能」です。Windows 10では、2009年に発売されたWindows 7にはないさまざまなセキュリティ機能が、デフォルトで備わっています。そこで、日本マイクロソフト セキュリティ レスポンス チームのセキュリティ プログラム マネージャーであり、”ゆりか先生”でお馴染みの村木 由梨香さんに、Windows 10で追加・改良されたセキュリティ機能を解説していただきます。

標準だけどパワフルなWindows Defender

Windowsに標準で付属しているマルウェア対策ソフト「Windows Defender」をご存知でしょうか? もしご存じの方でも、「OS 付属だから大したはことない」と、使っていない方もいらっしゃると思います。

Windows 7以前のWindows Defenderは、「アドウェア」「スパイウェア」の検出に限られており、すべてのマルウェアを検知するためには、「Microsoft Security Essentials」を別途インストールする必要がありました。しかし、Windows 8以降はMicrosoft Security Essentials と統合され、すべてのタイプのマルウェアを検出可能になっています。

マイクロソフトでは、有償版として「System Center Endpoint Protection(SCEP)」を提供していますが、定義ファイルやエンジンは同一のものを利用しており、マルウェア検出能力はほぼ同等なのです。補足すると、SCEPはマルウェア対策ソフトを組織内で展開する際に必要な管理ソフトとしての役割を持っています。これは、SCEP やMicrosoft Intune、サード パーティ管理ソリューションで、Windows Defenderが管理できるようになるというものです。

話をWindows Defenderに戻しますが、Windows 10ではクラウドの力を利用し、定義ファイルに追加される前の最新のマルウェアも検出します。Windows 8では「Microsoft Active Protection Service」という名称の機能でしたが、Windows 10で「Windows Defender クラウド保護」となり、さらに機能強化を図っています。

定義ファイルは、マルウェアをブロックする「ブラックリスト」のような存在ですが、新たなマルウェアが出現したあと、定義ファイルの更新による保護がスタートするまでは、無防備な時間ができてしまいます。それに対してクラウド保護では、疑わしいファイルをクラウドのデータベースに問い合わせ、最新のマルウェアかどうかを確認して、ブロックします。

マルウェア対策ソフトによる保護は、最新の定義ファイルに更新されている状態で効果を発揮します。しかし、日本では約22.4%のデバイスで有効なマルウェア対策が実行されておらず、そのうちのおよそ4割はデバイス購入時などに付属している試用版の期限切れで無防備な状態に陥っています。また、同じく2割は定義ファイルの期限切れによるセキュリティ対策の不徹底となっています(マイクロソフト セキュリティ インテリジェンス レポート 第 19 版より)。

すなわち、「マルウェア対策を動かしているつもり」「そのうち更新しようと思ってちょっと放置している」という、ちょっとした隙のあるユーザーが多いのです。実際に調査したデータですが、「マルウェア対策が常に無効」のユーザーと、「マルウェア対策がときどき無効」のユーザーは、同じようにマルウェアの感染率が高い傾向にありました。マルウェア対策は常に行うべきものであり、ちょっとした隙をなくすことが非常に大切なのです。

保護された/保護されていないデバイスの感染率 (2014 年下半期~ 2015 年上半期)

Windows 10ではマルウェア対策ソフトによる保護が行われていない場合、その日のうちに警告が表示され、Windows Defenderが自動的に有効化されます(Windows 8の場合は3日以内)。普段はサード パーティ製ウイルス対策ソフトを利用している場合でも、Windows 10 を利用していれば、万が一定義ファイルを更新できない場合、うっかり更新を忘れてしまっていた場合、という無防備な隙をカバーしてくれるのです。

「オフライン版」で隠れたマルウェアも根こそぎ検出

マルウェア対策ソフトもソフトウェアであるため、OSが起動した後に起動します。このため、OSが起動するまえに悪さをする、”マスターブートレコード(MBR)”に感染するタイプのマルウェアの検出は困難です。このタイプのマルウェア対策としては、Windows 8以降に実装されている「セキュア ブート」「トラスト ブート」を利用することで侵入を防げます。

感染の有無の確認については、Windows Defenderのオフライン版である「Windows Defender Offline」という無償ツールを利用して確認できます。CD/DVD/USB などのメディアからツールを起動することで、Windows 上からは確認できなくなっているマルウェアやルートキットの検出・除去が可能となっています。

さらにWindows 10では、OS起動中でも簡単にオフライン チェックできる機能の実装を予定しています(現在 Windows Insider Preview版で提供中)。

高度な脅威への対策も実装予定

マルウェア対策ソフトは既知のマルウェアを防ぎ、駆除する大切な役割を持っています。しかし、マルウェアは常に変化を遂げており、すべてのマルウェアを完全に防ぐことはできません。

そこで、Windows Defender Advance Threat Protection(ATP)という新機能も提供を開始する予定です。怪しいコードが実行されたり、急にポートを開いて通信を始めるといった「普通のシステムとは異なる挙動」に対して警告を行い、マルウェアや攻撃の早期検知を行うものです。

Windows標準のWindows Defenderは、今や侮れぬ実力を備えています。ぜひ、セキュリティ対策の一環として活用してみてください。

著者紹介

垣内 由梨香
マイクロソフト株式会社 セキュリティ レスポンス チーム セキュリティ プログラム マネージャー

マイクロソフト株式会社に入社以来、Active Directory, Network, 証明書および暗号化を専門としたWindows エンジニアを経て現職。セキュリティの意識向上活動、インシデント対応に従事。CRYPTREC委員。