Windows のアプリケーション制御
注
App Control for Business の一部の機能は、特定の Windows バージョンでのみ使用できます。 アプリ制御機能の可用性について詳しくは、こちらをご覧ください。
organizationのデータは、最も価値のある資産の 1 つです。...敵対者はそれを望んでいます。 データに適用するセキュリティ コントロールに関係なく、最も脆弱なターゲット (キーボードに座っている信頼できるユーザー) を完全に保護するためのコントロールはありません。 ユーザーがプロセスを実行すると、そのプロセスは、ユーザーが持っているデータと同じアクセス権を共有します。 そのため、ユーザーが悪意のあるソフトウェアを実行する場合、機密情報は簡単に送信、変更、削除、または暗号化されます。 また、毎日何千もの新しい悪意のあるファイルが作成され、ウイルス対策 (AV) ソリューションなどの従来の方法のみに依存することで、新しい攻撃に対する防御が不十分になります。
アプリケーション制御は、AV ソリューションで不適切と確信していない限り、すべてのコードが実行される場所から、ポリシーに記載されている場合にのみコードが実行される場所に Windows を変更します。 直面するサイバー脅威は急速に変化し、防御も変更する必要があります。 オーストラリア信号局などの政府およびセキュリティ組織は、実行可能なファイルベースのマルウェア (.exe、.dll など) の脅威に対処するための最も効果的な方法の 1 つとして、アプリケーション制御を頻繁に引用します。 これは、ユーザーが実行できるアプリや System Core (カーネル) で実行されるコードを制限することで、セキュリティ上の脅威を軽減するために AV ソリューションと共に機能します。
重要
アプリケーション制御は悪意のあるコードに対してコンピューターを大幅に強化できますが、ウイルス対策に代わるものではありません。 適切に丸められたエンタープライズ セキュリティ ポートフォリオについては、App Control と共にアクティブなウイルス対策ソリューションを引き続き維持する必要があります。
アプリケーション コントロールと呼びますが、システムで実行されているコードは常にアプリとは限りません。 アプリケーション制御は、スクリプトと Microsoft インストーラー (MSI)、コマンド ライン バッチ ファイル、制約付き言語モードで実行されるWindows PowerShellの対話型セッションにも対応するために、アプリを超えて拡張されます。
Windows には、organizationの特定のシナリオと要件に応じて使用できる 2 つのアプリケーション制御テクノロジが含まれています。
- App Control for Business (アプリ コントロール);そして
- AppLocker
アプリ コントロールとスマート アプリ コントロール
Windows 11バージョン22H2以降、Smart App Controlは、よりシンプルなアプリポートフォリオを備えたコンシューマーや一部の中小企業に堅牢なアプリケーション制御を提供します。 Smart App Control を使用すると、インテリジェントなクラウドを利用したセキュリティ サービスによって安全であると予測された、署名されたコードのみが実行またはコードで実行されます。 コードが署名されておらず、サービスが安全に実行されることを確信して予測できない場合は、それをブロックします。 時間が経つにつれて、サービスが受信した新しいシグナルを処理すると、コードの評判が変わる可能性があります。 一方、安全でないと判断されたコードは常にブロックされます。
Smart App Control はコンシューマー向けに設計されていますが、ほとんどの組織にとって理想的な出発点であると考えています。 また、App Control for Business に完全に基づいて構築されているため、スマート アプリ コントロールと同じセキュリティと互換性を備えたポリシーを作成できます。これは、organizationが必要とする基幹業務 (LOB) アプリも信頼できます。 Smart App Control が実行しても安全なコードを予測するために使用するサービスは、App Control for Business でも利用でき、インテリジェント セキュリティ グラフ (ISG) と呼ばれます。
スマート アプリ制御は評価モードで開始され、ユーザーが最初にオンにしない限り、エンタープライズマネージド デバイスの場合は 48 時間以内にオフになります。 organizationのエンドポイント全体でスマート アプリ制御を事前にオフにする場合は、次の表に示すように、VerifiedAndReputablePolicyState (DWORD) レジストリ値を HKLM\SYSTEM\CurrentControlSet\Control\CI\Policy の下に設定します。 レジストリ値を変更した後、変更を有効にするには、 -rCiTool.exe を実行する必要があります。
| 値 | 説明 |
|---|---|
| 0 | オフ |
| 1 | 適用 |
| 2 | 評価 |
重要
Smart App Control をオフにすると、Windows をリセットまたは再インストールしないと有効になりません。
スマート アプリ制御に使用されるアプリ制御ポリシーは、アプリコントロール ウィザードのポリシー作成ツールにバンドルされており、%windir%/schemas/CodeIntegrity/ExamplePolicies/SmartAppControl.xmlにあるポリシーの例としても見つかります。 このポリシー例を独自のポリシーの出発点として使用するには、「 スマート アプリ制御ポリシーを使用して独自の基本ポリシーを構築する」を参照してください。 独自のカスタム ポリシーの基礎として Smart App Control のサンプル ポリシーを使用する場合は、[ Enabled:Conditional Windows Lockdown Policy]\(条件付き Windows ロックダウン ポリシー\) オプションを削除して、App Control for Business ポリシーとして使用する準備を整える必要があります。
Windows エディションとライセンスに関する要件
次の表に、App Control for Business をサポートする Windows エディションを示します。
| Windows Pro | Windows Enterprise | Windows Pro Education/SE | Windows Education |
|---|---|---|---|
| はい | はい | はい | はい |
アプリ制御ライセンスの権利は、次のライセンスによって付与されます。
| Windows Pro/Pro Education/SE | Windows Enterprise E3 | Windows Enterprise E5 | Windows Education A3 | Windows Education A5 |
|---|---|---|---|---|
| はい | はい | はい | はい | はい |
Windows ライセンスの詳細については、「Windows ライセンスの概要」を参照してください。
次に読むべき内容
Windows で使用できる 2 つのアプリケーション制御テクノロジの詳細については、「 App Control for Business」と「AppLocker の概要」を参照してください。
すぐにアクセスしてポリシーの作成を開始するには、スマート アプリ制御に関するページに戻り、 スマート アプリコントロール ポリシーを使用して独自のスターター ポリシーを構築します。