知っておきたいWindows 8のセキュリティ概要

Microsoftの新OS、Windows 8のセキュリティについて詳しく紹介します。

windows-8-security

セキュリティの観点で言うと、より才能あるプログラマーのいる企業が優れた保護機能を構築できるわけではありません。むしろ、最も多く攻撃にさらされている企業の方が最も効果あるツールを開発せざるをえないことがほとんどです。

Microsoftにとって、過去15年間は非常に生産的な期間でした。市場の90%を占める同社は、攻撃の90%に対応を余儀なくされました。こうした攻撃や問題は、ときには厳しい結果となりましたが、一般ユーザーにとっては長期的なメリットとして実を結びました。10月に発売予定の新 OS、Windows 8は、ルックアンドメディアフィールでこれまでのバージョンと異なるインターフェイスだけが違いではありません。新OSには、セキュリティのイノベーションが多く詰まっています。「知っておくべきこと」として、Windows 8のセキュリティ機能の概要をご紹介します。

1. インストール済みのアンチウイルスソフトウェア

たっぷり検討した結果、Microsoft社は現在フリーのアンチウイルスソフトウェアを使っている全ユーザーに対してマルウェア保護機能を提供することにしました。「Microsoft Defender」と呼ばれる同プログラムは、カスペルスキー インターネット セキュリティ 2013 などのセキュリティアプリケーションがインストールされたのを検知するまで動作し続けます。品質面では他の多くの無料ソフトウェアよりも優れており、リソース消費の観点では当然Windowsと緊密に統合されています。しかし、他の商用セキュリティ製品の方が往々にしてより優れており、効果的です。他の業界で例えるならば、自動車製造業者はタイヤが付いた車を販売しています。この車の性能を最大限に引き出すには、Michelin社、Pirelli社、またはYokohama社などの品質の高いタイヤを使用する必要があります。Microsoft社も、独自のセキュリティを採用することはユーザーのためにならないと知っています。だからこそ、東芝、Acer社、ソニー社といったWindowsの 全OEM業者はどのセキュリティソフトウェアでもバンドルすることができるのです。つまり、Windows 8搭載の新しいラップトップを購入すれば、カスペルスキー インターネット セキュリティなどの専門的かつ最高のセキュリティソフトウェアがあらかじめインストールされている可能性が高いということです。まとめると、セキュリティパートナーシップへのアプローチを見ると、Windows 8はWindows 7よりもより公正です。

2. ピクチャパスワードとPIN

どうもMicrosoft社はGoogle社が事前インストールした画像パスワード機能というアプローチに大変感銘を受けたようです。誰もがそうだったと思います。新OSはマルチタッチインターフェイスに対応し、タブレットやスマートフォンでは指先で操作でき、デスクトップPCではマウス操作ができます。つまり、今後はMicrosoftのデータベースから画像を選択するか、または自分の用意した画像(家族、風景、好きな犬など何でも)を使うか、もしくはジェスチャーを使ってパスワードを作成できるということです。たとえば、犬の表情に笑顔の絵を追加して、それをパスワードにするなどです。簡単ですか? そのとおりです。効果的でしょうか? もちろんです。理由は、ご想像のとおりです。どのユーザーも「12345me」がパスワードとして強力でないと知っていながら、簡単なパスワードを使っているからです。ピクチャパスワードは、パスワード生成アルゴリズムよりもはるかに洗練された方式で、使い勝手は非常に優れています。新しい認証方法は必須ではないので、(願わくは簡単すぎない)テキストのパスワードにこだわることもできます。

3. PDFリーダーの統合

不正なPDFドキュメントを介した攻撃は、今や大きな脅威となりました。その他のファイル形式とは異なり、PDFはテキスト文書だけで構成されていません。基本的にPDFファイルはスクリプトを実行しており、これこそPDFが多くのマルウェアの媒体に利用されている理由の1つです。Windows 8において、Microsoft社は初めて独自のPDFリーダーをOSに統合する決断をしました。軽く使い勝手がよいだけでなく、最も重要なポイントはMicrosoft社(またはカスペルスキーなどのパートナー企業)がPDFに新たなマルウェアを発見した場合、即時パッチを適用し、更新してくれることです。

4. 安全なブートのサポート(UEFI

最も危険度の高いマルウェアの1つが、ルートキットです。単純なウイルスほど認知度は高くありませんが、ルートキットはブートプロセス時にコアシステムのファイルに侵入して、セキュリティソフトウェアが有効化される前にロードされます。Windows 8には、新たな解決策として「UEFI(Unified Extensible Firmware Interface:統合拡張ファームウェアインターフェイス)」を導入しました。いずれ従来のBIOSファームウェアと置き換えられることが期待されています(簡単に言うと、BIOSはOSがロードされる前にコンピューター上で動作する低レベルの入出力機能を実行するプログラム群です)。新しいシステムでは、UEFIがコアシステムのアプリケーションおよびプロセスの正しい挙動を「把握」しており、システムが開始すると、これらデータをロードされるシステムモジュールと比較します。不審なアプリケーションがあれば、Windowsリカバリ環境はリストアまたは修正を試みます。システムの実行が確認されると、専門のセキュリティソフトウェアが後の作業を引き継ぎます。Windows 8は従来のBIOSを持つ古いPCすべてで動作するよう設計されていますが、Microsoft社は現在、新PCを製造する全製造業者にUEFIの完全サポートと標準搭載に切り替えるよう推し進めています。

5. EFS(暗号化ファイルシステム)とBitLocker/BitLocker To Go

Windowsには以前から暗号化機能が搭載されています。EFSはWindows NTの最初のバージョンで採用され、市場に20年以上あります。素晴らしいことに、この機能がBitLocker/BitLocker ToGoツールで大幅に改善されたことです。このツールを使うと、暗号鍵をハードディスク内だけでなく、USB ライブや、Microsoft SkyDriveシステムを使って(Windows 8以降は)クラウドに保存できるようになります。

6. Smart Screenによる監視(Webブラウジング時のフィッシング対策)

ソーシャルエンジニアリング時代の到来です! オンラインセキュリティに注意している人でも、オンライン支援による救援活動や、クレジットカード情報を提供すれば100万ドルが当たるくじ、遺産相続、全裸のプリンセス(特に彼女)とのデートなど、誘惑にあらがえなくなることもあるでしょう。Windows 8が提供する解決策は、信頼できるリンク先のデータベースです。ある特定の要素で優良と知られているものを暗黙的に信頼するという、ファイルやアプリケーションのホワイトリストに似た概念を持つ同機能は、Webサイトのレピュテーションデータベースです。サイトの活動に関する最新情報を常時利用することで、信頼できるかを判断します。ブラウザーにURLが入力されると、システムはデータベースと比較して、リンクが不正なものであればユーザーにアラートを通知します。アラートは各自のリスク判断に基づき、無視できます。これはフィッシングサイトやアプリケーション(もちろん、モバイルアプリにも)非常に効果的です。

7. AppLocker/ドメイン参加

これは企業環境でかなり便利に使える機能で、Windows 8の管理者はユーザーをグループ単位で管理できます。たとえば、(オンラインゲーム「World of Warcraft」など)アプリケーションの起動を制限したり、またはピクチャパスワードでのログインをPINでのログインに強制切り替えさせたりできます。

8. Windows To Go

この機能を使うと、Windows管理者はWindows 8の起動用コピーをあらゆるUSBドライブまたはフラッシュのドングルに作成できます。起動先は、「すべての」64ビットPCに対応します。これによって、管理者は企業環境をセーフモードで管理できるようになります。もちろん、自力で作成することもできます。万が一に備えてシステムのバックアップを作成したら、USBドライブでブートして、カスペルスキー インターネット セキュリティ(カスペルスキー 2013 マルチプラットフォーム セキュリティに同梱)を起動するだけです。

ヒント