ニュース

「Recall」のセキュリティとプライバシー保護はガッチガチ ~Microsoftがアピール

強化型「Windows Hello」と「VBS エンクレーブ」で防御、ユーザーの言うことだけを聞く

OSの初期セットアップ(OOBE)における「Recall」設定画面。ユーザーが明示的に許可しない限り、勝手に実行されることはない

 10月より「Windows Insider Program」でプレビューテストが開始される予定の「Copilot+ PC」向け新機能「Recall」(回顧)は、ユーザーのデスクトップ操作を記憶してAIで解析し、あとから簡単に探し出せるようにする先進的な検索機能だ。しかし、なんでも記憶するという「Recall」の性質上、セキュリティとプライバシーを心配する声は根強い。そこで米Microsoftは9月27日(現地時間)、公式ブログ「Windows Experience Blog」でそのアーキテクチャーを詳説している。

 まず、「Recall」には以下の4つの設計原則が課せられる。

  • ユーザーによるコントロール:「Recall」はオプトイン(許可)方式で提供される。ユーザーが承認しない限り、デスクトップ操作が保存されることはない。また、ユーザーはWindowsのオプション機能を利用して、「Recall」をシステムから完全に削除することもできる
  • 暗号化:「Recall」が保存するスナップショットなどのユーザーデータは常に暗号化される。暗号化キーは、ユーザーの「Windows Hello Enhanced Sign-in Security」IDに結び付けられた「Trusted Platform Module」(TPM)によって保護されており、仮想化ベースのセキュリティエンクレーブ(VBS エンクレーブ)と呼ばれるセキュアな環境でのみ使用できる。つまり、他のユーザー(Microsoft自身も含む)がアクセスしたり、情報を復号することはできない
  • スナップショットと「Recall」サービスの分離:スクリーンショットおよび関連データ上で動作するサービス、または復号化操作を実行するサービスは、すべてVBSエンクレーブへ隔離される。外部に送出されるデータは、ユーザーが「Recall」を使用する際に要求したデータのみとなる
  • ユーザーの意思の尊重:「Recall」関連の処理は、「Windows Hello Enhanced Sign-in Security」によるユーザーの承認がない限り実行されない。レート制限やハンマリング防止対策を通じてマルウェアからも保護される

 ここでカギとなるのが、「VBS エンクレーブ」(VBS Enclaves)と呼ばれる仕組みだろう。これはPCの仮想化をセキュリティに応用した技術(仮想化ベースのセキュリティ:VBS)の一つで、PCのメモリを特別な保護領域へ隔離したものだ。

 この領域は、「Windows Hello」生体認証を通じてユーザーの許可が下りたときだけアクセスできる鍵のかかった箱のようなものだ。「VBS エンクレーブ」はカーネルからも管理者ユーザーからも分離されており、エンクレーブ内のコードを実行する際は常に暗号化アテステーション(証明書)プロトコルを使用して環境が安全であることがチェックされる。「Recall」はすべてのデスクトップ操作を記憶して、あとから検索できるようにするが、その検索には厳重なカギがかかっているわけだ。

「Recall」のセキュリティアーキテクチャー

 この仕組みを実現するため、「Recall」を利用できるのは「Windows 11 Secured-core PCs」の基準を満たし、以下の機能がデフォルトで含まれる「Copilot+ PC」に限られる。

  • 「TPM 2.0」によるドライブ暗号化「BitLocker」(Windows 11 Pro)とデバイス暗号化(Windows 11 Home)
  • 仮想化ベースのセキュリティ(VBS)とハイパーバイザーによるコード整合性の強制
  • 「Measured Boot」「System Guard Secure Launch」による安全なOS起動
  • カーネルDMA周辺機器の攻撃に対する保護。

 なお、サポートされているWebブラウザーをプライベートブラウジングモードで利用した場合、その処理は「Recall」によっても記録されない。万が一にも外部へ流出してほしくない操作を行う場合は、プライベートブラウジングを活用するとよいだろう。

 加えて、ユーザーによるコントロール性を担保するため、「Recall」には以下の機能が導入される。

  • 「Recall」コンテンツの保存期間とスナップショットに割り当てるディスク容量を指定
  • 機密性の高いコンテンツのフィルタリング。デフォルトで有効になっており、パスワード、国民ID番号、クレジットカード番号などは「Recall」に保存されない。この機能の実現には、同社の情報保護製品「Purview」のライブラリが活用されている
  • 保存するつもりのなかったコンテンツを「Recall」で見つけてしまった場合、時間やアプリ、Webサイトなどを指定して全削除できる
  • システムトレイのアイコンで「Recall」スナップショットが保存されているかどうかを通知。スナップショットの保存を簡単に一時停止することもできる