編集部からのお知らせ
量子コンピューティングへの注目
特集まとめ:高まるCISOの重要性
海外コメンタリー

「Windows 10 Enterprise」--主な機能をチェック - (page 2)

Nick Heath (TechRepublic) 翻訳校正: 川村インターナショナル

2015-08-24 06:30

 GartnerのKleynhans氏は、「この機能は、組織内を移動するデータを暗号化する。もし誤ったファイルを添付した電子メールを誤った宛先に送信し、組織外に流出してしまったとしても、読み取ることはできず、そのデータは暗号化される。しかし、組織内の人は問題なく中身を読むことができる」と述べている。

 MicrosoftはWindows 10に関して、個人データに影響を及ぼすことなく企業データだけを端末から消去できる機能や、問題の追跡や是正措置のために使用できる監査ログの機能を強調してきた。モバイル端末管理(MDM)システムと併用して、「Office」ユニバーサルアプリ内の企業データを保護することも可能になる。

Device Guard

 この機能を使えば、従来のデスクトップアプリや「Windows Store」アプリ、社内用アプリにかかわらず、信頼できるソフトウェア以外は端末で実行できないように制限をかけることができる。

 Microsoftによると、この機能により、Windowsカーネルを乗っ取った攻撃者に悪意のあるコードを実行される「可能性も大幅に低くなる」という。

 「Device Guard」はWindows 10 Enterpriseの新しい仮想化ベースのセキュリティを利用して、プロセスを制御する「Code Integrity」サービスをMicrosoft Windowsカーネル自体から分離する。これにより、同サービスで企業の管理するポリシーで定義された署名を利用して、信頼できるものを特定することができる。

 GartnerのKleynhans氏は、「OSをそのハードウェアにロックすることができる。そのハードウェアでは、それ以外のものは何もブートできない」と語っている。

 「すべて消去して、何か別のものをマシンにリロードすることを、不可能ではないにせよ極めて困難にすることができる」(同氏)

 Microsoftによると、このホワイトリスト的なアプローチはマルウェア、特にコードを改変してアンチウイルスソフトウェアで検出されないようにするソフトウェアがマシン上で実行されるのを阻止するのに効果的だという。ハードウェアに組み込まれた技術と仮想化を利用して、Code Integrityサービスをサンドボックス化することは、Windowsをカーネルレベルで攻撃して、従来のウイルスおよびマルウェア対策に干渉することもあるエクスプロイトの阻止にも役立つだろう。

 Device Guardには、さまざまなハードウェア機能やソフトウェア設定が必要だ。具体的には、2.3.1以降のUEFIのほか、「Intel VT-x」や「AMD-V」「SLAT」といった仮想化拡張機能が有効になっている必要もある。さらに、64ビット版のWindows、「Intel VT-d」や「AMD-Vi」などのIOMMU、「TPM 2.0」、BIOSロックも必要である。

 Hewlett-Packard(HP)やAcer、Lenovo、東芝、富士通などが、こうしたMicrosoftの新しいセキュリティコントロール向けに設計されたシステムを製造する予定だ。

プロビジョニングパッケージ

 この機能を利用すれば、Window 10マシンを過去のWindowバージョンよりもシンプルにセットアップすることができる。

 IT管理者はOSの構成、インストールすべきアプリや証明書を決定し、端末をMDMスイートに登録、ユーザーの権限などを設定するプロビジョニングパッケージルールを構成できる。

ZDNet Japan 記事を毎朝メールでまとめ読み(登録無料)

特集

CIO

モバイル

セキュリティ

スペシャル

NEWSLETTERS

エンタープライズ・コンピューティングの最前線を配信

ZDNet Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]