Windows 10 Anniversary Updateでもたらされるセキュリティ強化

2016年8月5日、日本マイクロソフトは同月2日(以下すべて現地時間)にリリースした「Windows 10 Anniversary Update」の説明会を開催した。企業でWindows 10を使用する利用者のメリットやデメリットに着目し、エンタープライズ領域における魅力を紹介する。

Windowsの圧倒的なシェアを支えてきたのは個人ではなく、企業の利用者である。Microsoftの調査によれば、現在3.5億台以上のデバイス上でWindows 10が稼働しているものの、現場を見渡すと多くの企業はリースタイミングなどからWindows 7搭載PCを使い続けているのが現状だ。そのため、日本マイクロソフト 業務執行役員 Windows&デバイス本部長 三上智子氏は、「この1年は1社でも多く(Windows 10搭載PCを)検証してもらうことをゴールに定めていた。今後は社数ではなくPCの導入台数を増やしていく」と説明し、Windows 10を検証している大手法人数が76パーセントから、87パーセントまで高まったことと、Windows 10の展開が次のステージへ進んでいることを明らかにした。

この1年を振り返ると、セブン&アイ・ホールディングスや三重県松阪市役所などがWindows 10 PCの導入を決定している。着々とエンタープライズ領域に浸透していくWindows 10だが、Microsoftは2016年8月2日に、2回目の大型アップデートとなる「Windows 10 Anniversary Update」をリリースした。企業ユーザーにとって、今回のアップデートで注目すべきはセキュリティ機能の強化である。

1つめは「Windows Hello」。MicrosoftはWindows 7時代から構築してきたWBF(Windows生体認証フレームワーク)をベースに、顔認証や指紋認証をOSレベルでサポートするWindows HelloをWindows 10に実装した。これまではWindows 10へのサインインや、Windowsストアからコンテンツを購入する際の認証方法として用いられてきたが、Anniversary UpdateからMicrosoft EdgeでアクセスしたECサイトでの認証を可能にする。パスワードを入力する機会が減ることは、必然的にセキュリティ脅威に晒される機会も減るため、企業内のセキュリティ対策強化につながるだろう。なお、Windows HelloはMicrosoft Passportと連携を行う「Windows Hello for Business」も実装されている。

また、Microsoftは、生体認証などを利用したオンライン認証技術の標準化を目指す団体「FIDO Alliance」の会員に名を連ねているが、日本マイクロソフト Windows本部 プロダクトマネージャーの春日井良隆氏は、「(Windows Helloを)Google ChromeやMozilla Firefoxなどへの採用も働きかけていく」と述べ、Windows Helloの利用機会拡充を目指すことを明らかにした。

Microsoft EdgeでECサイトにアクセスし、Windows Helloで本人確認を行う日本マイクロソフトのデモンストレーション

開発者向けカンファレンス「Build 2016」では、将来的な展望としてFIDOデバイスとMicrosoft Edgeに対応するWebブラウザーでの認証予定も披露した

2つ目のセキュリティ機能は「Windows Defender ATP(Advanced Threat Protection)」。悪意のあるサイバー攻撃を検出・分析し、Microsoftのセキュリティチームによる脅威保護を受ける新機能である。昨今は特定組織の情報を狙って行われる標準型攻撃の被害が増加しているが、最大の問題はマルウェア本体や侵入結果による被害などを発見するまでに時間がかかる点だ。一部の調査会社では200日前後を要すると言われているが、この期間を大幅に短縮するのがWindows Defender ATPである。

日本マイクロソフトが公開した標準型攻撃の一例。添付ファイルを開くとPowerShell上でファイルのアップロードやPC名、ユーザー名などを取得しつつ、バックドアが稼働する

Windows Defender ATPはMicrosoft Azureテナントとして動作し、クライアント側から吸い上げたデータを元に、Webブラウザー経由で「Windows Security Center」で攻撃を可視化する新機能だ。第三者機関やMicrosoftのセキュリティチームが収集した脅威情報データベースをドキュメントとして提供し、マルウェア検出時に必要なアクションを確認できる。概要を説明する日本マイクロソフト Windows本部 Windowsコマーシャルグループ シニア エグゼクティブ プロダクトマネージャーの浅田恭子氏は、「マルウェアの種類を知るのが(セキュリティ対策の)第一歩」と語った。常にクライアントの動作を監視することで、サイバー攻撃を受けた際の事後対応策や調査に役立つWindows Defender ATPだが、使用するには後述するWindows 10 Enterprise E5が必要となる。

Windows Defender ATPのポータルサイト。サイバー攻撃の情報を可視化し、記録したログを元に警報を発する

検出したマルウェアに対しては、Microsoftが作成したドキュメントを参照して概要や推奨するアクションを確認できる

Windows ATPによるログ情報。図ではマルウェアがcmd.exeプロセスを実行し、不審なプロセスを常駐させている

Windows 10 Anniversary Updateで追加されたセキュリティ対策機能(赤色の部分)

最後のセキュリティ対策機能は以前、EDP(エンタープライズデータ保護)と呼ばれていた「Windows Information Protection」だ。基本的な内容に変更はなく、データがどこにあっても個人用データと組織用データを分離することで、企業の予期せぬデータ漏えいを防止する機能である。Microsoft Azure ADに参加したクライアントでは、アプリケーションやデータに対して保護ポリシーを設定し、企業内からの情報漏えいと無意識的に行う人為的ミスを防ぐというものだ。実際の運用には、Microsoft IntuneやSystem Center Configuration Managerなどと統合し、自社向けの構成や管理が必要となる。

Microsoft Wordに対して保護ポリシーを設定した状態。ファイルにはブリーフケースのオーバーレイアイコンが加わる

Word文書の内容をTwitterクライアントにコピー&ペーストすると、警告メッセージが現れる。この動作は保護ポリシーによって変更可能

注目すべきは「Windows 10 Enterprise E3」の存在

エンタープライズ領域におけるWindows 10で注目すべきは、「Windows 10 Enterprise E3」の存在だ。以前からMicrosoft/日本マイクロソフトは、「Windows SA(ソフトウェア アシュアランス)」を提供し、ユーザー単位のライセンス契約を結べる法人向け製品を用意していた。基本的にはWindows SAから提供される「Windows 10 Enterprise Software Assurance Per User」が「Windows 10 Enterprise E3 Per User」へ変更するなど改称が中心となる。日本マイクロソフトはWindows 10 Enterprise E3 for CSP(クラウドソリューションプロバイダー)を指して、「大企業に限られていたエンタープライズレベルのセキュリティ&管理機能を、中小規模企業でも利用可能になる(三上氏)」と説明していた。

Microsoft CSPとは、日本マイクロソフトと協業するパートナー企業が持つサービスやアプリケーションとMicrosoft Azureなどを組み合わせ、統合したソリューションとして顧客へサービスを提供するビジネスモデルである。ここにWindows 10 Enterprise E3(もしくはE5) for CSPを組み込むことで、新たなビジネス価値を創生できるという具合だ。ここに組み込まれるのが月額7ドルのサブスクリプションモデルで提供されるWindows 10である。日本マイクロソフトは9月1日から提供を開始すると説明しているが、詳細については別途説明が行われるだろう。

以上で日本マイクロソフトが開催した説明会から、Windows 10 Anniversary Updateで加わったエンタープライズ向け機能を紹介したが、2015年7月29日のファーストリリース、同年11月12日のWindows 10 November updateを経て、完成度を高めてきた。ビジネス面での連携に期待が持てるWindows 10 Mobile搭載デバイスも登場し、Windows 10はエンタープライズ領域において今まで以上に魅力的な存在となりそうだ。

阿久津良和(Cactus)