Windows 11 2022 Updateのセキュリティに関する新機能

  • abmhh
  • 0 comments
Windows 11 2022 Updateのセキュリティに関する新機能
セキュリティ機能
セキュリティ機能 (画像提供:Future)

Windows 11 2022 アップデート (バージョン 22H2) には、生産性に重点を置いた新しい機能、改善、外観の変更に加えて、ランサムウェア、フィッシングの脅威、高度なハッキング攻撃に対するセキュリティを強化するための機能強化もいくつか含まれています。

例えば、今回のリリースでは、危険なアプリをブロックする新しいスマートアプリコントロール(SAC)機能を追加することで、セキュリティを強化しています。このアップデートでは、ハイパーバイザー保護コード整合性(HVCI)や脆弱なドライバーブロックリストなど、以前は無効になっていた機能がデフォルトで有効になります。 

また、SmartScreen テクノロジーの一部として、バージョン 22H2 ではフィッシング保護が強化され、侵害されたアプリや Web サービスにパスワードを入力しているときにユーザーに警告するなど、さまざまな機能が追加されました。

このガイドでは、Microsoft が Windows 11 2022 アップデートで提供している最高のセキュリティについて説明します。

スマートアプリコントロール

Windows 11 2022 Update では、Windows セキュリティ アプリに新たに追加されたセキュリティ機能「スマート アプリ コントロール (SAC)」がスクリプト攻撃を阻止し、マルウェアや攻撃ツールに関連づけられている可能性のある、信頼できないアプリや署名のないアプリの実行からユーザーを保護します。この機能は、AI モデルを用いてアップデートをプロアクティブに受信し、アプリの安全性を予測・判断することで実現されます。 

スマートアプリコントロール

(画像提供:Future)

このアプリは、バージョン 22H2 のクリーン インストールにより Windows 11 のすべてのエディションで使用できますが、ネットワーク管理者は Microsoft Intune を使用して設定することもできます。

まず、スマートアプリコントロールを評価モードで有効にする必要があります。このモードでは、この機能は学習を行い、コンピューターの保護に支障をきたすことなく役立つかどうかを判断します。役立つ場合、SACは自動的に有効になります。そうでない場合は、自動的に無効になります。

Windows と Xbox の熱狂的なファンのための最新ニュース、レビュー、ガイド。

脆弱なドライバーの保護

Windows 11 バージョン 22H2 以降では、システムは仮想化ベースのセキュリティ (VBS) を使用してカーネル保護を強化し、AMD、Intel、Qualcomm の最新シリコンにおけるドライバーの脆弱性の悪用を防止します。

これらの変更の一環として、新しいデバイスではメモリ整合性 (ハイパーバイザー保護コード整合性 (HVCI)) 機能がデフォルトで有効になります。 

同社によると、メモリ整合性機能は、カーネルではなくセキュア環境内でカーネルモードコード整合性(KMCI)を実行するためにVBSを使用し、カーネルの改ざんを試みる攻撃を最小限に抑えます。つまり、このアプローチにより、検証済みのコードのみがカーネルモードで実行されることになります。

また、Microsoft は、永続的な脅威やランサムウェア攻撃が既知の脆弱なドライバーを悪用して Windows カーネルにアクセスするのを防ぐために、特定のドライバーの読み込みをブロックする脆弱なドライバーのリストを実装しています。

ブロック ポリシーはデフォルトで有効になっていますが、ユーザーは Windows Defender アプリケーション制御を通じて手動で適用する必要があります。

強化されたフィッシング対策

2022 Updateでは、SmartScreenテクノロジーの一部として「強化されたフィッシング対策」も導入され、Webサービスまたはアプリケーションが安全で信頼できるエンティティかどうかをリアルタイムで判断できます。安全でない場合、Windows 11はユーザーがパスワードを入力しようとしていることを検知し、リスクを通知します。同社によると、これによりネットワーク管理者はパスワードが侵害されたことを特定し、必要な措置を講じることができるようになります。

フィッシング対策

(画像提供:Future)

新しい保護は、Microsoft アカウント、Active Directory、Azure Active Directory、ローカル パスワード、および Chromium ベースのブラウザー (Microsoft Edge や Google Chrome など)、またはフィッシング サイトに接続する可能性のあるすべてのアプリケーションで機能します。

新たなフィッシング攻撃が検出されると、エンドユーザーにはダイアログ通知が表示され、パスワードの変更が提案されます。また、MDEポータルを通じて技術部門に問題が報告されます。

さらに、フィッシング対策機能は、パスワードの再利用や、メモ帳などのメモ作成アプリケーションを使用してコンピューターに他のパスワードを保存しようとする場合に、ユーザーに警告します。

個人データ暗号化(PDE)

Windows 11 バージョン 22H2 には、より多くのデータ暗号化方法を提供する、オペレーティング システムの Enterprise エディションの新しいセキュリティ機能である Personal Data Encryption (PDE) も搭載されています。 

BitLocker はドライブ全体の暗号化を使用しますが、PDE は Windows Hello for Business を使用して個々のファイルの暗号化を提供し、暗号化キーをユーザー資格情報にリンクして迅速に復号化できるようにします。

デバイスを紛失した場合、攻撃者は BitLocker の既に強力な保護を回避しなければなりませんが、その際に個々のファイルも PDE を使用して暗号化され、第 2 層の保護が作成されていることに気付くことになります。

その他のセキュリティの改善

企業や組織向けには、Microsoft は Windows 11 のセキュリティ強化のため、デフォルトでいくつかの機能を有効にし、その他の機能の要件を緩和しています。

たとえば、このリリースでは、Windows Defender Credential Guard がデフォルトで有効になり、Pass-the-Hash や Pass-the-Ticket などの資格情報盗難手法に対する攻撃を最小限に抑えられるようになりました。

また、Microsoft は、ユーザーの ID を確認するための重要なプロセスであるため、バージョン 22H2 で、ローカル セキュリティ機関 (LSA) 保護による資格情報の分離をデフォルトで有効にして、ドメインに参加しているデバイスの保護層をさらに強化しています。

さらに同社は、機能を設定するために公開鍵基盤 (PKI) が不要になることで、Windows Hello for Business の導入を容易にしています。

最後に、「セキュアコアPC」向けの「Config lock」という新機能があります。この機能は、管理者権限を持つユーザーがシステムに変更を加えた際に、誤った設定が行われ、コンピューターが企業のセキュリティポリシーと同期しなくなるのを防ぐために設計されています。この機能を使用すると、システムが望ましくない変更を検知した場合、組織が以前に設定した元の設定に直ちに復元されます。

その他のリソース

Windows 10 および Windows 11 に関する役立つ記事、情報、よくある質問への回答については、次のリソースをご覧ください。

  • Windows CentralのWindows 11 — 知っておくべきことすべて
  • Windows Central の Windows 10 — 知っておくべきことすべて

Mauro Huculakは、WindowsCentral.comのWindows How-To Expertとして10年近く寄稿しており、ITおよびテクニカルライティングの分野で合計22年以上の経験を有しています。Microsoft、Cisco、VMware、CompTIAなどから様々な専門資格を取得しており、長年にわたりMicrosoft MVPとして認められています。