Windows オペレーティング システムのセキュリティ
セキュリティとプライバシーは、起動時からシステムと情報を保護し、基本的なチップからクラウドへの保護を提供するオペレーティング システムに依存します。 Windows 11は最も安全な Windows ですが、安全を保つために設計された広範なセキュリティ対策があります。 これらの対策には、組み込みの高度な暗号化とデータ保護、堅牢なネットワークとシステムのセキュリティ、進化し続ける脅威に対するインテリジェントなセーフガードが含まれます。
最新のWindows 11セキュリティ テクノロジの一部を示す最新の Microsoft Mechanics Windows 11 セキュリティ ビデオをご覧ください。
Windows のオペレーティング システムのセキュリティ機能の詳細については、次のセクションのリンクを参照してください。
システムのセキュリティ
| 機能名 | 説明 |
|---|---|
| セキュア ブートと信頼できるブート | セキュア ブートとトラステッド ブートは、デバイスの起動時にマルウェアや破損したコンポーネントの読み込みを防ぐのに役立ちます。 セキュア ブートは初期起動保護で開始され、次にトラステッド ブートによってプロセスが選択されます。 セキュア ブートとトラステッド ブートを組み合わせることで、システムを安全かつ安全に起動できます。 |
| 測定ブート | 測定ブートは、Windows の起動時にすべての重要なコードと構成設定を測定します。 これには、ファームウェア、ブート マネージャー、ハイパーバイザー、カーネル、セキュリティで保護されたカーネル、オペレーティング システムが含まれます。 Measured Boot は、マシン上の TPM に測定値を格納し、リモートでテストしてクライアントのブート状態を確認できるログで使用できるようにします。 測定ブート機能は、マルウェア対策ソフトウェアを提供し、その前に起動したすべてのブート コンポーネントの信頼された (なりすましや改ざんに対する耐性) ログを提供します。 マルウェア対策ソフトウェアは、ログを使用して、その前に実行されたコンポーネントが信頼できるか、マルウェアに感染しているかどうかを判断できます。 ローカル コンピューター上のマルウェア対策ソフトウェアは、評価のためにリモート サーバーにログを送信できます。 リモート サーバーは、クライアント上のソフトウェアと対話するか、必要に応じて帯域外メカニズムを介して修復アクションを開始できます。 |
| デバイス正常性構成証明サービス | Windows デバイス正常性構成証明プロセスでは、静的なネットワーク ベースの境界からユーザー、資産、リソースにフォーカスをシフトするゼロ トラスト パラダイムがサポートされています。 構成証明プロセスは、デバイス、ファームウェア、ブート プロセスが良好な状態であり、企業リソースにアクセスする前に改ざんされていないことを確認します。 決定は、TPM に格納されているデータを使用して行われ、信頼の安全なルートが提供されます。 情報は、デバイスが信頼された状態であることを確認するために、Azure Attestationなどの構成証明サービスに送信されます。 その後、Microsoft Intuneなどの MDM ツールは、デバイスの正常性を確認し、条件付きアクセスのMicrosoft Entra IDにこの情報を接続します。 |
| Windows セキュリティ ポリシーの設定と監査 | Microsoft では、IT 管理者が windows デバイスやその他のリソースをorganizationで保護するために使用できる堅牢なセキュリティ設定ポリシーのセットを提供しています。 |
| 割り当てられたアクセス | エンタープライズ内の一部のデスクトップ デバイスは、特別な目的を果たします。 たとえば、顧客が製品カタログを表示するために使用するロビーの PC などです。 または、ビジュアル コンテンツをデジタル 記号として表示する PC。 Windows クライアントには、パブリックまたは特殊化された使用に対して 2 つの異なるロックダウン エクスペリエンスが用意されています。ロック画面の上で全画面表示で単一のユニバーサル Windows プラットフォーム (UWP) アプリを実行するシングル アプリ キオスクと、デスクトップから 1 つ以上のアプリを実行するマルチアプリ キオスク。 キオスク構成は、割り当て済みアクセスに基づいています。これは、管理者がユーザーに公開されているアプリケーション エントリ ポイントを制限することによってユーザーのエクスペリエンスを管理できるようにする Windows の機能です。 |
ウイルスと脅威の防止
| 機能名 | 説明 |
|---|---|
| Microsoft Defender ウイルス対策 | Microsoft Defenderウイルス対策は、すべてのバージョンの Windows に含まれる保護ソリューションです。 Windows を起動した時点から、Microsoft Defender ウイルス対策はマルウェア、ウイルス、およびセキュリティの脅威を継続的に監視します。 更新は、デバイスを安全に保ち、脅威から保護するために自動的にダウンロードされます。 Microsoft Defenderウイルス対策には、リアルタイム、動作ベース、ヒューリスティックウイルス対策の保護が含まれています。 常時オンのコンテンツ スキャン、ファイルとプロセスの動作の監視、およびその他のヒューリスティックの組み合わせにより、セキュリティ上の脅威が効果的に防止されます。 Microsoft Defenderウイルス対策は、マルウェアと脅威を継続的にスキャンし、デバイスに悪影響を与えるがマルウェアとは見なされないアプリケーションである望ましくない可能性のあるアプリケーション (PUA) を検出およびブロックします。 |
| ローカル セキュリティ機関 (LSA) 保護 | Windows には、ユーザーの ID を確認するための重要なプロセスがいくつかあります。 検証プロセスには、ユーザーの認証と Windows ログインの検証を担当するローカル セキュリティ機関 (LSA) が含まれます。 LSA は、Microsoft アカウントと Azure サービスへのシングル サインオンに使用されるパスワードなどのトークンと資格情報を処理します。 これらの資格情報を保護するために、追加の LSA 保護では、信頼された署名されたコードの読み込みのみが許可され、資格情報の盗難に対する大幅な保護が提供されます。 LSA 保護は、MDM とグループ ポリシーを使用した UEFI 以外のロックとポリシー管理制御のサポートが追加された、エンタープライズ参加済みの新しい Windows 11 デバイスで既定で有効になっています。 |
| 攻撃面の縮小 (ASR) | 攻撃面の縮小 (ASR) ルールは、デバイスまたはネットワークを侵害するために悪用されることが多いソフトウェアの動作を防ぐのに役立ちます。 攻撃面の数を減らすことで、organizationの全体的な脆弱性を減らすことができます。 管理者は、特定の ASR ルールを構成して、ファイルのダウンロードや実行を試みる実行可能ファイルやスクリプトの起動、難読化されたスクリプトまたはその他の疑わしいスクリプトの実行、通常の日常業務中にアプリが通常開始しない動作の実行など、特定の動作をブロックできます。 |
| MDEの改ざん防止設定 | 改ざん防止は、Microsoft Defender for Endpointの機能であり、ウイルスや脅威の保護など、特定のセキュリティ設定が無効または変更されないように保護するのに役立ちます。 一部の種類のサイバー攻撃では、悪意のあるアクターがデバイスのセキュリティ機能を無効にしようとします。 セキュリティ機能を無効にすると、不適切なアクターがデータに簡単にアクセスでき、マルウェアをインストールでき、データ、ID、デバイスを悪用できるようになります。 改ざん防止は、これらの種類のアクティビティから保護するのに役立ちます。 |
| フォルダー アクセスの制御 | 特定のフォルダーへのアプリ アクセスを管理することで、特定のフォルダー内の貴重な情報を保護できます。 信頼されたアプリのみが保護されたフォルダーにアクセスできます。これは、制御されたフォルダー アクセスが構成されている場合に指定されます。 ドキュメント、画像、ダウンロードに使用されるフォルダーなど、一般的に使用されるフォルダーは、通常、制御されたフォルダーの一覧に含まれます。 フォルダーアクセスの制御は、信頼されたアプリの一覧で機能します。 信頼されたソフトウェアの一覧に含まれているアプリは、期待どおりに動作します。 信頼された一覧に含まれていないアプリは、保護されたフォルダー内のファイルに変更を加えることはできません。 フォルダーアクセスの制御は、ランサムウェアなどの悪意のあるアプリや脅威からユーザーの貴重なデータを保護するのに役立ちます。 |
| Exploit Protection | Exploit Protection は、オペレーティング システムのプロセスとアプリにいくつかの悪用軽減手法を自動的に適用します。 Exploit protection はMicrosoft Defender for Endpointに最適です。これにより、組織は、一般的なアラート調査シナリオの一部として、悪用保護イベントとブロックに関する詳細なレポートを提供します。 個々のデバイスで悪用防止を有効にしてから、MDM またはグループ ポリシーを使用して構成ファイルを複数のデバイスに配布できます。 デバイスで軽減策が検出されると、通知がアクション センターに表示されます。 会社の詳細や連絡先情報を使用して通知をカスタマイズすることができます。 また、ルールを個別に有効にして、機能モニターの手法をカスタマイズすることもできます。 |
| Microsoft Defender SmartScreen | Microsoft Defender SmartScreen は、フィッシング、マルウェアの Web サイトとアプリケーション、および潜在的に悪意のあるファイルのダウンロードから保護します。 強化されたフィッシング保護のために、SmartScreen は、危険な可能性のある場所に資格情報を入力すると、ユーザーにアラートを送信します。 IT 部門は、MDM またはグループ ポリシーを使用して表示される通知をカスタマイズできます。 保護は既定で監査モードで実行され、IT 管理者はポリシーの作成と適用に関する決定を完全に制御できます。 |
| Microsoft Defender for Endpoint | Microsoft Defender for Endpointは、セキュリティ チームが高度な脅威を検出、調査、対応するのに役立つエンタープライズ エンドポイントの検出と対応ソリューションです。 組織は、Defender for Endpoint が提供する豊富なイベント データと攻撃分析情報を使用して、インシデントを調査できます。 Defender for Endpoint では、次の要素を組み合わせて、セキュリティ インシデントのより完全な画像を提供します。エンドポイントの動作センサー、クラウド セキュリティ分析、脅威インテリジェンス、豊富な対応機能。 |
ネットワークのセキュリティ
| 機能名 | 説明 |
|---|---|
| トランスポート層セキュリティ (TLS) | トランスポート層セキュリティ (TLS) は、ネットワーク経由で通信セキュリティを提供するように設計された暗号化プロトコルです。 TLS 1.3 はプロトコルの最新バージョンであり、Windows 11では既定で有効になっています。 このバージョンは、古い暗号化アルゴリズムを排除し、古いバージョンよりもセキュリティを強化し、できるだけ多くの TLS ハンドシェイクを暗号化することを目的としています。 ハンドシェイクは、接続ごとに平均 1 回のラウンド トリップでパフォーマンスが向上し、完全な前方秘密と運用リスクを軽減する 5 つの強力な暗号スイートのみをサポートします。 |
| ドメイン ネーム システム (DNS) のセキュリティ | Windows 11以降、Windows DNS クライアントは、暗号化された DNS プロトコルである HTTPS (DoH) 経由の DNS をサポートします。 これにより、管理者は、パッシブ オブザーバーによる閲覧動作のログ記録や、悪意のあるサイトへのクライアントのリダイレクトを試みるアクティブな攻撃者のいずれであっても、デバイスがオンパスの攻撃者から DNS クエリを保護することを保証できます。 ネットワーク境界に信頼が配置されていないゼロ トラスト モデルでは、信頼された名前リゾルバーへのセキュリティで保護された接続が必要です。 |
| Bluetooth ペアリングと接続保護 | Windows に接続されている Bluetooth デバイスの数は増え続けます。 Windows では、クラシックおよび LE セキュア接続、セキュリティで保護された簡単なペアリング、クラシックと LE のレガシ ペアリングなど、すべての標準 Bluetooth ペアリング プロトコルがサポートされています。 Windows では、ホスト ベースの LE プライバシーも実装されます。 Windows 更新プログラムは、ユーザーが Bluetooth 特殊関心グループ (SIG)、標準脆弱性レポート、および Bluetooth コア業界標準で必要な問題を超えた問題に従って、OS とドライバーのセキュリティ機能を最新の状態に保つのに役立ちます。 Microsoft では、ユーザーが Bluetooth アクセサリのファームウェアやソフトウェアを常に最新の状態に保つようにすることを強くお勧めします。 |
| WiFi セキュリティ | Wi-Fi Protected Access (WPA) は、ワイヤレス ネットワークをセキュリティで保護するために設計されたセキュリティ認定プログラムです。 WPA3 は認定の最新バージョンであり、WPA2 および以前のセキュリティ プロトコルと比較して、より安全で信頼性の高い接続方法を提供します。 Windows では、3 つの WPA3 モードがサポートされています。WPA3 personal と Hash-to-Element (H2E) プロトコル、WPA3 Enterprise、WPA3 Enterprise 192 ビット スイート B。 Windows 11では、EAP-TLS 認証を使用した認証用の強化されたサーバー証明書検証と TLS 1.3 を含む WFA 定義の WPA3 Enterprise もサポートされています。 |
| 日和見ワイヤレス暗号化 (OWE) | Opportunistic Wireless Encryption (OWE) は、ワイヤレス デバイスがパブリック Wi-Fi ホットスポットへの暗号化された接続を確立できるようにするテクノロジです。 |
| Windows ファイアウォール | Windows ファイアウォールは、ホストベースの双方向ネットワーク トラフィック フィルタリングを提供し、デバイスが接続されているネットワークの種類に基づいて、ローカル デバイスに送受信される未承認のトラフィックをブロックします。 Windows ファイアウォールは、IP アドレス、ポート、プログラム パスなどの多くのプロパティによってトラフィックを制限または許可する規則を使用して、デバイスの攻撃対象領域を減らします。 デバイスの攻撃表面を減らすと、管理性が向上し、攻撃が成功する可能性が低下します。 インターネット プロトコル セキュリティ (IPsec) との統合により、Windows ファイアウォールは、認証されたエンドツーエンドのネットワーク通信を適用する簡単な方法を提供します。 信頼できるネットワーク リソースへのスケーラブルで階層化されたアクセスを提供し、データの整合性を強制し、必要に応じてデータの機密性を保護します。 Windows ファイアウォールは、オペレーティング システムに含まれているホスト ベースのファイアウォールであり、追加のハードウェアやソフトウェアは必要ありません。 Windows ファイアウォールは、ドキュメント化されたアプリケーション プログラミング インターフェイス (API) を通じて、既存の Microsoft 以外のネットワーク セキュリティ ソリューションを補完するように設計されています。 |
| 仮想プライベート ネットワーク (VPN) | Windows VPN クライアント プラットフォームには、組み込みの VPN プロトコル、構成サポート、共通の VPN ユーザー インターフェイス、およびカスタム VPN プロトコルのプログラミング サポートが含まれています。 VPN アプリは、最も一般的なエンタープライズ VPN ゲートウェイ用のアプリを含め、エンタープライズ VPN とコンシューマー VPN の両方で Microsoft Store で利用できます。 Windows 11では、最も一般的に使用される VPN コントロールが [クイック アクション] ウィンドウに統合されます。 [クイック アクション] ウィンドウから、ユーザーは VPN の状態を確認したり、VPN トンネルを開始および停止したり、設定アプリにアクセスして詳細な制御を行うことができます。 |
| Always On VPN (デバイス トンネル) | Always On VPN を使用すると、デバイスの専用 VPN プロファイルを作成できます。 ユーザーがデバイスにログオンした後にのみ接続するユーザー トンネルとは異なり、Device Tunnel では、ユーザーがサインインする前に VPN で接続を確立できます。 デバイス トンネルとユーザー トンネルの両方が VPN プロファイルと独立して動作し、同時に接続でき、必要に応じてさまざまな認証方法やその他の VPN 構成設定を使用できます。 |
| 直接アクセス | DirectAccess を使用すると、リモート ユーザーが従来の仮想プライベート ネットワーク (VPN) 接続を必要とせずにネットワーク リソースをorganizationできます。 DirectAccess 接続では、リモート デバイスは常にorganizationに接続され、リモート ユーザーが接続を開始および停止する必要はありません。 |
| サーバー メッセージ ブロック (SMB) ファイル サービス | SMB 暗号化は、SMB データのエンドツーエンドの暗号化を提供し、内部ネットワークでの盗聴からデータを保護します。 Windows 11では、SMB プロトコルには、AES-256 ビット暗号化、高速 SMB 署名、リモート ディレクトリ メモリ アクセス (RDMA) ネットワーク暗号化、信頼されていないネットワークの QUIC 経由の SMB など、重要なセキュリティ更新プログラムがあります。 Windows 11では、SMB 3.1.1 暗号化用の AES-256-GCM および AES-256-CCM 暗号化スイートが導入されています。 Windows 管理者は、より高度なセキュリティの使用を義務付けたり、互換性が高く安全な AES-128 暗号化を引き続き使用したりできます。 |
| サーバー メッセージ ブロック ダイレクト (SMB ダイレクト) | SMB Direct (SMB over remote direct memory access) は、標準的な RDMA 対応ネットワーク アダプターを使用しながら、CPU 使用率を最小限に抑えながら、デバイスとストレージ間の直接メモリ間データ転送を可能にするストレージ プロトコルです。 SMB Direct では暗号化がサポートされ、従来の TCP と同じ安全性と RDMA のパフォーマンスで動作できるようになりました。 以前は、SMB 暗号化を有効にすると直接データの配置が無効になり、RDMA は TCP と同じくらい低速でした。 現在、データは配置前に暗号化され、AES-128 と AES-256 で保護されたパケット プライバシーを追加しながら、パフォーマンスが比較的低下します。 |
暗号化とデータ保護
| 機能名 | 説明 |
|---|---|
| BitLocker 管理 | BitLocker CSP を使用すると、Microsoft Intuneなどの MDM ソリューションで、Windows デバイス上の BitLocker 暗号化機能を管理できます。 これには、OS ボリューム、固定ドライブ、取り外し可能なストレージ、回復キーの管理がMicrosoft Entra IDに含まれます。 |
| BitLocker の有効化 | BitLocker ドライブ暗号化は、オペレーティング システムと統合されたデータ保護機能であり、コンピューターの紛失、盗難、または不適切な廃棄によるデータの盗難や漏洩の脅威を解決します。 BitLocker では、128 ビットまたは 256 ビットのキー長を持つ XTS または CBC モードの AES アルゴリズムを使用して、ボリューム上のデータを暗号化します。 Microsoft OneDrive または Azure 上のクラウド ストレージを使用して、回復キーのコンテンツを保存できます。 BitLocker は、構成サービス プロバイダー (CSP) を使用して、Microsoft Intuneなどの任意の MDM ソリューションで管理できます。 BitLocker は、ハードウェア セキュリティ テスト インターフェイス (HSTI)、モダン スタンバイ、UEFI セキュア ブート、TPM などのテクノロジを利用して、OS、固定データ、リムーバブル データ ドライブの暗号化を提供します。 |
| 暗号化されたハード ドライブ | 暗号化されたハード ドライブは、ハードウェア レベルで自己暗号化され、デバイス ユーザーに対して透過的な状態で完全なディスク ハードウェア暗号化を可能にするハード ドライブのクラスです。 これらのドライブは、BitLocker Drive Encryption によって提供されるセキュリティと管理上の利点と、自己暗号化ドライブの機能を組み合わせています。 暗号化ハード ドライブは、ハードウェアで暗号化操作を実行することにより、BitLocker のパフォーマンスを向上させ、CPU の使用率と電力消費を削減します。 暗号化されたハード ドライブはデータをすばやく暗号化するため、BitLocker の展開をエンタープライズ デバイス間で拡張でき、生産性への影響はほとんどありません。 |
| 個人データ暗号化 (PDE) | 個人データ暗号化 (PDE) は、BitLocker とWindows Hello for Businessで動作し、デバイスの電源が入ってロックされている場合など、ユーザー ドキュメントやその他のファイルをさらに保護します。 ファイルは自動的かつシームレスに暗号化され、ユーザーはワークフローを中断することなくセキュリティを強化できます。 Windows Hello for Businessは、PDE で使用される暗号化キーを格納するコンテナーを保護するために使用されます。 ユーザーがサインインすると、コンテナーが認証され、コンテナー内のキーが解放され、ユーザー コンテンツの暗号化が解除されます。 |
| Email暗号化 (S/MIME) | Email暗号化を使用すると、ユーザーは送信メール メッセージと添付ファイルを暗号化できるため、デジタル ID (証明書) を持つ目的の受信者のみが読み取ることができます。 ユーザーは、送信者の ID を確認し、メッセージが改ざんされていないことを確認するメッセージにデジタル署名できます。 暗号化されたメッセージは、ユーザーが適切な暗号化証明書を持っている場合は、organizationまたは外部連絡先内の他のユーザーに送信できます。 |