「Windows 10」のロードマップ資料を読むと、保留されている機能や最近リリースされた機能の詳細が明らかになる。本記事では、ロードマップ資料で解説されている機能のなかから、注目に値する2つのセキュリティ機能を選んで解説する。
提供:iStockphoto.com/Robert St-Pierre
Microsoftは最近、「Windows 10 Roadmap」(Windows 10のロードマップ)というタイトルのページを公開した。そこでは、企業向けの機能として最近利用可能になったものや、近々利用可能になるものが解説されている。しかし、少し注意深く読み進めていくと、まったく新しい機能だけではなく、今まで気が付かなかった既存機能に関する貴重な詳細も数多く含まれていることが分かる。筆者が見つけたのは、具体的には「Device Guard」と「Credential Guard」という2つのセキュリティ技術に関する詳細情報とその配備ガイドだ。これら2つの技術の奥深さと詳細は、そのまま見過ごすのは惜しいと感じたため、本記事でその内容を紹介することにした。とにかく読み進めてみてほしい。
- TechRepublic Japan関連記事
- 今も職場で求められるデスクトップPC--Windows 10への移行に高い関心
- Windows 10:7と8/8.1の“いいとこ取り”+αで登場した新版
「Windows」のエディション
まずはじめに、Device GuardやCredential Guardを利用するには、「Windows 10 Enterprise」エディションが必要となるという点を述べておきたい。つまり、これらの機能は大企業での使用を前提にしている。
Device Guard
Device Guardを使用すれば、Windows 10 Enterprise搭載機器を特定用途化(ロックダウン)し、あなたの組織が信頼しているソフトウェアしか実行できないように設定できる。対象ソフトウェアは、既存のWindowsアプリとUniversal Windows Platform(UWP)アプリの双方であり、「Windowsストア」から入手したものや、社内開発によるものを含んでいる。MicrosoftはDevice Guardを次のように説明している。
Windows 10のDevice Guardは、Windowsシステムの中核に対する保護と、信頼されていないアプリや実行ファイルの起動抑止を支援するための厳格なアクセス制御によって、あなたの環境を統制可能にするとともに、マルウェアの先手を打てるようにする。このためユーザーは、Device Guardによってデバイスをロックダウンし、信頼できる入手先からのアプリに対してのみアクセスを許可できるようになる。Device Guardはハードウェアに基づいた隔離と仮想化を用いることで、脆弱性やゼロデイ攻撃から自らとWindowsシステムの中核を保護する。また、「Hyper-V Code Integrity Service」という機能によって、ドライバやその他のソフトウェアを最高レベルの権限で実行させるためのベストプラクティスが強制される。
「LEARN MORE」というリンクをクリックすると、Microsoftの上級コンテンツ開発者であるBrian Lich氏の手による「Device Guard overview」(Device Guardの概要)というタイトルの簡潔な解説記事が表示される。同氏はそのなかで、Device Guardを使うべき理由を総合的な観点から記すとともに、その動作を概説し、ハードウェアとソフトウェアの要求詳細を提供している。これらの情報は、簡潔な文章と箇条書きにまとめられているため、Device Guardがどういったものなのかをしっかりと押さえられるはずだ。
また、記事中の「Device Guard deployment guide」(Device Guard配備ガイド)というリンクをクリックすると、Device Guardについて詳細に記されたページが表示される。このページでは、Device Guardのより詳しい説明とともに、計画の指針や配備のシナリオ、ハードウェアついての考慮点のほか、UFIセキュアブートやグループポリシーの設定などを利用するための作業について順序立てて解説されている。
