マイクロソフト研究所
Windows 10 Creators Updateの企業向け機能
2017年3月23日 09:30
3月から4月のリリースが予定されているWindows 10 Creators Update(開発コード名:Redstone 2)は、コンシューマ向けの機能だけでなく、企業向けの高いセキュリティ機能が用意されている。
今回は、その機能を解説しよう。
Edgeブラウザをコンテナ化
【4/12 追記】
- Windows 10 Creators Updateリリース直前に、Windows Defendar Application Guardの機能は提供が延期されました。2017年秋ごろのリリースと見られる、次期アップデートRedStone 3(開発コード名)での提供となる見込です。
Creators Updateでは、Windows Defender Application Guard(WDAG)という機能が新たに提供される。これは、Windows 10のHyper-Vを使ってWebブラウザのMicrosoft Edgeを仮想化することで、ブラウザ経由の標的型攻撃を防御しようというものだ。
Edgeを仮想環境で動かすことでセキュリティを高めようという試みだが、単純に仮想化されたEdgeを提供するのではなく、信頼されていないサイトにアクセスする場合に、仮想化されたEdge環境でのアクセスを行う仕組みだ。信頼されたサイトへのアクセスは、今までと同じEdge環境が使用される。
Hyper-V上にWDAGのフレームワークが搭載され、その上にWindowsカーネル、Windows Platform Services、Edgeブラウザが用意されている。
ただし、Hyper-V上にWindowsカーネルが用意されていると言っても、通常の仮想マシンと同じようにフルスタックのWindows OSが搭載されているわけではない。Edgeブラウザの動作に必要なWindowsカーネル、Windows Platform Servicesなどが用意されているだけなので、Edgeなど必要最低限の機能しか動作しない。
前述したようにWDAGでは、信頼されていないサイトへのアクセスをすべて仮想化されたEdgeブラウザで処理する。仮想化されたクリーンな環境でEdgeブラウザを動作させているため、悪意のあるサイトにアクセスして、悪意のあるスクリプトが動作してしまっても、ドメインの資格情報や永続的な資格情報ストアに格納されている資格情報にはアクセスできず、セキュリティが保たれる仕組みだ。また、ブラウザを経由してネットワークへアクセスすることもできない。
さらに、個々のサイトアクセスが終了した時点で、仮想化されたEdgeの環境を破棄する。このため、マルウェアが侵入したとしても、サイトへのアクセスが終了した時点で、仮想化されたEdgeの動作環境ごとマルウェアも消去される(別のサイトにアクセスした場合は、新規に仮想化されたEdgeブラウザ環境が作り出される)。
また、仮想環境の中から仮想環境外へのアクセスも制限されているので、通常使用しているWindows 10のホスト環境には悪影響を及ぼさないという。
よくできているのが、仮想化されたEdgeといえども、動作に制限があるわけでないということ。信頼されていないサイトにアクセスしている状態でも、Windowsクリップボードへのコピー&ペーストは可能だし、Webコンテンツの印刷など、ユーザーが求める基本的な機能は許可されている。
またIT管理者は、WDAGのEdgeがアクセスできる機能を、管理ツールやポリシーを利用して独自に制限することもできる。
Windows Defenderの進化
Creators Updateには、Windows Defender Security Center(WDSC)というセキュリティ管理アプリも用意される。
これは、PCのセキュリティの状態を一目で確認できるダッシュボードだ。さまざまな部分に点在していたウイルス対策や脅威の防止、デバイスのパフォーマンスと正常性、ファイアウォールとネットワーク保護、アプリとブラウザコントロール、ファミリのオプションなどの状態を一括して確認・変更できる。
今まではさまざまな個所にアクセスしないとわからなかったことを1カ所で確認できるため、セキュリティ状況がわかりやすくなるし、何かあったときにも対処がしやすくなる。
便利なのは、Windows標準のウイルス対策ソフト(Windows Defender Antivirus)やファイアウォール(Windows Firewall)以外のサードパーティ製品を利用していても、WDSCで状態を確認できる点だ。
また、サードパーティのセキュリティソフトの契約期間が切れた際には、自動的にWindows標準のWindows Defender AntivirusやWindows Firewallに切り替わる仕組みも備えている。これにより、何らかのセキュリティソフトが常に稼働している状態になるため、PCのセキュリティレベルを下げずに済むわけだ。
このほか、Windows Updateによるアップデートの状態(最新のアップデートが存在するのか)、バッテリ持続時間、ストレージ容量に関する情報などが表示される。また、動作しているOSからアプリなどを消去し、個人のデータだけを残してOSをリフレッシュさせるFresh Startなどの機能も簡単に利用できる。
Windows Defender Advanced Threat Protectionの強化
企業向けのWindows 10 Enterpriseにおいて、Windows Defender Advanced Threat Protection(WDATP)の契約をしている場合には、Web上のセキュリティポータルサイトのWindows Security Center(WSC)に、Office 365のセキュリティ機能であるOffice 365 ATPの情報も表示されるようになった。
IT管理者はWSCを見るだけで、各クライアントデバイスの状態やWindows Updateの状態、Office 365に対する攻撃を確認することができる。WDSCと同じくWSCも、ユーザー(IT管理者)に対して、セキュリティの状態をわかりやすく提示する機能といえる。
なお、各クライアントデバイスからの情報を吸い上げて、Azure上に構築されているセキュリティ向けの機械学習システムMicrosoft Intelligent Security Graphを利用し、Microsoftが持つ膨大なセキュリティ情報を使って、危険な兆候や攻撃を学習して警告してくれる。
WSCを使えば、1つの管理ポータルから、各クライアントデバイスに対する攻撃を確認することができる。このため、もしウイルスに侵入されたり、思いがけない脅威にさらされたとしても、管理ポータルから特定のクライアントデバイスをネットワークから切り離したり(マシンの隔離)、実行中のプロセスの強制終了と消去、ファイルの検疫やブロックなどが行ったりできるようになっている。
なおMicrosoft Treat Intelligenceでは、FireEye iSIGHT Treat Intelligenceなど他社のセキュリティインテリジェントサービスなどを追加することも可能になっている。
また、WDATP自体も進化している。Creators Updateでは、メモリ内部に潜伏する脅威、カーネルレベルの脆弱性攻撃を検知するように、機能が強化された。
ちなみに、WDATPやWindows Security Centerなどの機能を利用するには、Windows 10 Enterprise E5というサブスクリプションを契約することになる。さらに、Office365 ATPを含めたセキュリティ環境を構築するには、別途Office 365の契約が必要になる。
Windows 7/8.1からWindows 10へのアップグレードを支援
現状、Windows 10をクライアントに利用している企業はまだまだ少ないだろう。今後、Windows 7の延長サポートが2020年1月に終了する(メインストリームサポートはすでに、2015年1月に終了している)ことを考えれば、ここ数年でWindows 10への移行を果たさなければならない。
この場合、最も問題になるのが、アプリケーションの互換性やデバイスの互換性だ。
Windows 10は、できるだけ後方互換性を保持するように開発されているため、Windows 7で動作しているアプリケーションの多くはそのまま動作するだろう。またWindows 10では、さまざまなPCで動作するように多数のドライバをサポートしている。
しかし当然のことながら、すべてのアプリケーション、デバイスをサポートしているわけでない。一部のアプリケーションはエラーになったり、Windows 10のデバイスドライバが存在しなかったりすることもある。
企業においては、Windows 10をインストールした後にこれらの状況がわかり、さまざまな対処が必要になることが大きな問題になる。
そこでCreators Updateでは、Windows 7/8.1環境からの移行をサポートするために、Windows Upgrade Analyticsの機能を強化している。ユーザーの環境を分析して、アプリの互換性やデバイスドライバの対応状況などをチェックするクラウドサービスWindows Analyticsダッシュボードが用意された。
個々のPCで実行したWindows Upgrade Analyticsの結果をIT管理者が集約して、移行に関する問題を管理することができる。
これにより、どのPCがWindows 10に移行できるのかをIT管理者が事前にチェックすることができる。また、どのアプリケーションが移行の障害になるのか、どの周辺機器が利用できなくなるのかなどを企業全体でチェック可能だ。
もう一つ移行に関するツールとしては、インプレースUEFI変換ツールが提供される。
Windows 10では、TPMチップとUEFIを利用することで、OSのブート時の正常性を確保するセキュアブートを実現している。しかしWindows 7からのアップグレードでは、Windows 7の環境をそのまま引き継ぐため、セキュアブートに設定することができない。そこで、用意されたのがインプレースUEFI変換ツールだ。
このツールを利用することで、Windows 7からのアップグレード時に、PCをUEFIに設定し、ディスクパーティション構造を変更する。これにより、Windows 7からのアップグレード時でもセキュアブートを実現できるという。なお、System Center Configuration Managerなどの管理ツールと統合できるため、IT管理者はSystem Centerから一括でアップデートが可能になる。
またCreators Updateには、モバイルデバイス管理(MDM)が標準で用意されている。ダウンロードしたデータは暗号化されて保存されるため、特定のアプリケーション以外ではアクセスできなくなっている。また、IT管理者がデバイスのアクセスコントロールを行えるようになった。
なおCreators Updateでは、アップグレード時のダウンロード容量の縮小とインストール時間の短縮が行われるので、企業におけるアップグレード時の負担が小さくなる。アップデートが提供される都度、数時間、PCによっては半日以上もインストール作業に取られてしまう、という状況はなくなる。
*****
Creators Updateの機能とは無関係だが、今後、企業において注意が必要になることにPCのプロセッサによっては、Windows 10しかインストールできなくなることが挙げられる。
Microsoftでは、Intelの第7世代Coreプロセッサ(Kabylake)以降、AMDの第7世代APU(Bristol Ridge)以降は、Windows 10しかサポートしないとしている。現状では、多くのPCベンダーはMicrosoftのガイドラインに従い、これらのプロセッサを使用しているPCでは、Windows 10プリインストールモデルしか用意されていない。
また、ユーザー企業がソフトウェアアシュアランス(SA)のダウングレード権を使用してWindows 7にダウングレードしたとしても、動作するとは限らない。そもそも、Windows 7用のドライバが用意されているかも不明だ。
もちろん、MicrosoftやPCベンダーはWindows 7/8.1での動作を保証しない。動作したとしても、企業においてはサポートがない状況で使うのは不安だろう。
また、KabyLakeやBristol Ridge以降のプロセッサを使用しているPCで、Windows 7/8.1を動かしている場合は、Windows Updateでセキュリティアップデートがインストールできなくなるといわれている。本当にインストールできなくなるのかは、これから先のユーザーの反応次第だと思うが、Microsoftの方針としては、企業においてのクライアントOSも積極的にWindows 10に移行していこうとしている。
こういったことから、企業においてもWindows 10を使わざるを得ない状況になってきているようで、今回は、そのための支援機能を充実させたということのようだ。