Windows 11のセキュリティだけで保護対策は十分ですか？

マイクロソフトが「これまでで最も安全なWindows」と呼ぶ最新OS、Windows 11については、すでに多くのことが語られています。しかし、多くの技術者が指摘するように、現在Windowsが動作しているほとんどのPCは、新しいオペレーティングシステム（OS）の高度なシステム要件に対応していないのです。

Windows 11 のセキュリティ強化をフルに活用するには、仮想化拡張機能を持つ超最新の CPU、Secure Boot 対応の UEFI ファームウェア、および先進の TPM 2.0 対応セキュリティチップを PC に搭載している必要があります。このような制限を設けることで、Windows 11をより強固なものにする多くのサイバーセキュリティ機能をサポートすることができます。しかし、ほとんどの組織では、システムのアップグレードに時間がかかることが予想されます。

Windows 11 へのアップグレードのメリットとデメリットを効果的に分析するには、どのようなセキュリティ機能が含まれているか、これらの機能が新しいハードウェアとソフトウェアの要件によってどのように促進されるか、そしてアップグレードによってサイバーセキュリティ体制全体にどの程度の影響が予想されるかを理解する必要があります。

Windows 11へのアップグレードに必要な条件として、より厳しいのはCPUの要件です。Windows 11は、仮想化拡張機能と2つ以上のコアを備えた先進の64ビット、1GHzプロセッサを必要とします（例：第8世代Intel プロセッサ、AMD Zen 2、またはQualcomm 7シリーズまたは8シリーズ）。これらのスペックにより、Windows 11は、仮想化ベースのセキュリティ（VBS）と呼ばれる機能をフルに活用することができます。

ハードウェア仮想化機能を使用して、VBS は、機密データやプロセスを管理するために、OS の残りの部分からメモリの安全な請願を作成し、分離します。この分離により、特定のハッキングやエクスプロイトがシステムのセキュリティを侵害する度合いを制限することができます。

「Windows 11へのアップグレード時にVBSを必須とするわけではありませんが、VBSが提供するセキュリティ上のメリットは非常に重要であると考えており、Windows 11を実行するすべてのPCが米国国防総省（DoD）に準拠するのと同じセキュリティを満たせるよう、最小システム要件を求めたのです。OEM やシリコン パートナーとの協力により、私たちは来年にかけて、ほとんどの新しい PC で VBS と HVCI を有効にする予定です。また、時間をかけてより多くのシステムでVBSを拡張する機会を模索し続けます。」と言われました。

●       例えば、Kernel Data Protection（カーネルデータプロテクション、KDP) は、VBS を使用して Windows の一部を読み取り専用としてマークし、Windows カーネル (すなわち OS コード自体) で動作するドライバーとソフトウェアが改ざんされないことを保証しています。

●       Application Guard（アプリケーションガー）は、VBSを使用して使い捨ての仮想環境（コンテナ）を作成し、ユーザーは明示的にホワイトリストに登録されていないWebサイトやMicrosoft Officeのファイルを操作することができます。これにより、Microsoft Edge、Internet Explorer、またはMicrosoft Officeを介して読み込まれた信頼できないコンテンツは、ホストOSや企業データから隔離され、感染したコンテンツが引き起こす被害を限定的に抑えることができます。

●       Credential Guard（クレデンシャルガード）は、Windows NTLM、Kerberos認証情報、およびその他の機密情報をVBSで保護された環境に隔離し、特権的なシステムソフトウェアのみがアクセスできるようにするオペレーティングシステムのセキュリティ機能です。この機能は、Pass the ticket (PtT) や Pass the Hash (PtH) のような認証情報盗難攻撃からシステムを保護するのに役立ちます。

●       同様に、Windows Hello Enhanced Sign-In Security（Windows Helloにより強化されたサインインセキュリティ）は、VBSを使用して、所定のデバイスへのサインインに使用される認証データ（生体認証を含む）を分離して保護し、VBS環境内で実行される安全なプロセスを通じてのみデータにアクセスできることを保証します。また、外部コンポーネント（指紋センサーやカメラなど）を介して提供される認証データのための安全な経路の作成もサポートします。

Windows 11 では、プロセッサの要件に加えて、暗号鍵の管理、およびパソコンのファームウェアと OS の保護に TPM チップが必要です。TPM（トラステッドプラットフォームモジュール）は、鍵の生成、暗号化、システムブートなどの機密性の高い操作に対して、ハードウェアレベルの改ざん防止を提供します。TPM仕様2.0バージョンは、すべてのWindows 11対応CPUに組み込まれており、いくつかの重要な機能強化がなされています。

UEFI（ユナイテッドエクステンシブルファームウェアインタフェース）は、従来のレガシーBIOSの代わりとなるものである。このプログラム可能なブート環境は、デバイスを初期化し、OSのブートローダーを起動させます。UEFI 2.3.1 と TPM チップを搭載した PC は、OS がロードされる前に実行されるすべてのコードと OS ブートローダーのデジタル署名をチェックする機能である Secure Boot もサポートしています。すべてのWindows 11マシンでは、UEFI Secure Bootが最初から完全に有効になっており、信頼できるデジタル署名を持つ認可されたファームウェアとソフトウェアだけがブートプロセスで実行できるようにし、ブートキットとルートキットの両方からシステムを保護します。

WIndows 11は、Microsoft Plutonをサポートする最初のOSです。これは、Microsoftが設計・更新した新しいセキュリティプロセッサで、将来のWindows PC用のIntel、AMD、QualcommのCPUに組み込まれる予定になっています。Plutonは、マイクロソフトが作成、保守、更新するエンドツーエンドのセキュリティを実装し、標準のWindows Updateプロセスと統合され、ハードウェアレベルでOSとのより緊密で安全な統合を実現します。この統合により、現在のTPM実装の物理的な脆弱性、つまりデバイスを所有する攻撃者が、CPUとTPM間の通信チャネルを狙い、転送中の情報を盗んだり変更したりすることができるという脆弱性を是正することができます。

これらの Windows 11 の要件は、多くの高度なセキュリティ技術のサポートを保証します。UEFI Secure Boot（セキュアブート））のようないくつかの技術は、Windows 11 のインストール時にデフォルトで有効になっており、すぐにZero Trust protection（ゼロトラストプロテクション）を実現することができます               

ハードウェアによるスタックプロテクション（HSP）は、アプリケーションのコード実行フローを乗っ取ることで動作するエクスプロイトを特定し、シャットダウンするための機能である。HSPは、アプリケーションがローカルCPUハードウェアを使用して、（メモリ）スタック（実行時にコードが格納される場所）を改ざんから保護することを可能にします。これは、アプリケーションのコールスタックをシャドウスタック（アプリケーションの通常のコード実行フローのハードウェア保護された記録）と比較することで実現されます。スタックの整合性が損なわれた場合、そのプロセスは終了します。

この機能は2020年3月から（少なくとも開発者用ビルドでは）利用可能でしたが、シャドウスタックの仕組みは、Windows 11で必要とされるような特定の高度なチップセットでのみ利用でき、新OSでのより広い普及を保証しています。

Windows 11 では、UEFI Secure Boot や Kernel Data Protection などの機能により、デバイスの健全性が保証されています。つまり、ネットワークに接続する Windows デバイスが本当に信頼できるものであることを、リモートで検証することができます。認証は、重要なハードウェアおよびソフトウェアコンポーネントのアイデンティティと整合性を検証することにより、信頼を確立します。リモート認証の方法は、依拠当事者に、リモートピアに関する検証可能で、偏りのない、改ざん防止されたデバイスレポートを提供します。

Microsoft Azure Attestation（Microsoft Azureの認証、MAA）は、Windowsデバイスの健全性を包括的に検証し、この情報を使用してAzure Active Directory経由でクラウドベースのアプリケーションとデータへの条件付きアクセスを実施するために使用できるリモート認証サービスの代表的な例である。

マイクロソフトは、新しい OS の安全性を確保するために大きな前進を遂げました。VBSやUEFIセキュアブートなどの機能をサポートするセキュリティ重視のハードウェアが必要なため、Windows 11は、ルートキットやリターン指向プログラミング（ROP）攻撃などのマルウェア攻撃のクラス全体を完全に無効化できる可能性があります。

しかし、ほとんどの Windows ユーザーは、古いマシンで作業を続けています。そのようなユーザーの多くは、すでに新しいOSを試してみたいと思っており、Windows 11の新しいセキュリティ強化が新しいハードウェアの制限と密接に関係していることを十分に理解していないかもしれません。中には、システム要件を回避することを検討している人もいるかもしれません。しかし、ハードウェア要件を回避したり、重要なセキュリティ機能を無効にしたりしてWindows 11をインストールしたユーザー（またはIT管理者）は、結果としてプラットフォームのセキュリティ上の利点の多くを失うことになります。

さらに、現在のサイバーセキュリティ戦略で対処している攻撃ベクトルの多くは、Windows 11 の新しいセキュリティ機能では特に対処できないことを留意してください。サイバー犯罪者は常に新しい脆弱性を探し、新しいマルウェアやその他のエクスプロイトを作成していますが、その中にはフィッシングなど、TPM で保護されたシステムでも問題なく動作するものがあります。このことは、Windows 11で実装された新しい技術の流入にもかかわらず、マイクロソフトが多くのレガシーアプリケーションのサポートを継続し、後方互換性を提供する義務があることを考慮すると、さらに明白になります。その結果、Windows 10に影響するこれまで報告されていなかった多くの脆弱性が、Windows 11にも適用される可能性があると考えるのが妥当です（実際に最近のあるパッチ更新で明らかになりました）。

Windows 11の新しいセキュリティ機能は、正しい方向への一歩と言えるでしょう。さらに、Microsoftは新たに報告された問題にかなり迅速に対処しているようです。とはいえ、個人、組織、マネージドサービスプロバイダー（MSP）は、アクロニスのようなサイバーセキュリティベンダーが開発したソリューションによってのみ、効率的なセキュリティと保護を実現できることに気付くでしょう。データ保護、サイバーセキュリティ、およびワークロード管理の統合に焦点を当てたアクロニスのソリューションは、ゼロデイ攻撃を含む現代のサイバー脅威を防止し、セキュリティ管理者が単一のプラットフォームを介してデータ、アプリケーション、およびシステムを回復することを可能にします。

アットホームユーザー、企業、サービスプロバイダを問わず、アクロニスは今日の市場で最高のサイバーセキュリティ保護を提供します。そのソリューションは以下の通りです。

ホームユーザー向け Acronis Cyber Protect Home Office（旧Acronis True Image）は、アットホームユーザーがPCやMacを保護し、データをバックアップするために必要なすべてを提供し、ディスク障害からランサムウェア攻撃まで、今日の脅威に対してより強くなるようにするものです。バックアップとサイバーセキュリティを1つに統合した独自の機能により、時間を節約し、複数のポイントソリューションの管理によるコスト、複雑さ、リスクを軽減します。

企業向け Acronis Cyber Protectは、サイバーセキュリティ、データ保護、ワークロード管理をネイティブに統合し、エンドポイント、システム、およびデータを保護するサイバー保護ソリューションを企業に提供します。データ保護とサイバーセキュリティを統合することで、企業は複雑さを解消し、今日の脅威に対するより優れた保護を実現し、時間とコストを節約して効率を最大化することができます。

サービスプロバイダ向け Acronis Cyber Protect Cloudは、クラウドバックアップとリカバリ、次世代アンチマルウェア、ワークロード管理を1つのソリューションに統合しています。統合と自動化により、MSPは比類のない使いやすさを実現し、生産性を高めながら複雑さを軽減し、運用コストを削減します。

※このブログは2022年4月1日付英文ブログ　Windows 11 security: is it enough to protect you？の抄訳です。