Windows 11のあまり使われていないセキュリティ機能「スマート アプリ コントロール」にテコ入れ

「スマート アプリ コントロール」（Smart App Control：SAC）

　 「スマート アプリ コントロール」（Smart App Control：SAC） は「Windows 11 バージョン 22H2」で導入された比較的新しいセキュリティ機能で、クラウドのAIセキュリティサービスを活用して、悪意のあるアプリや信頼できない（デジタル署名されていない）アプリを検知し、起動をブロックする。「望ましくない可能性のあるアプリ」（Potentially Unwanted Application：PUA）、つまりデバイスの動作を遅くしたり、予期せぬ広告を表示したり、不要なアプリを追加でインストールしたりする“お行儀のよくない”アプリのブロックにも役立つ。

　この機能が有効かどうかは、「Windows セキュリティ」アプリの［アプリとブラウザー コントロール］ページ（windowsdefender://smartapp/）で確認できる。

「Windows セキュリティ」アプリの［アプリとブラウザー コントロール］ページ（windowsdefender://smartapp/）

　ON/OFFのほかに「評価」モードがあり、一定期間SACの導入がデバイスの利用に妨げにならないか、保護に役立つかを学習させることが可能。問題がなければONに、そうでなければOFFとなる。

ON/OFFのほかに「評価」モードがある

　さて、SACは「Microsoft Defender」やサードパーティ製ウイルス対策ツールなどとも共存・連携できるため、安全のためにもできれば有効化しておきたいセキュリティ機能だ（あくまで追加のセキュリティ機能であり、ウイルス対策ソフトを置き換えるものではない点には注意）。しかし、実際に利用するにはいくつかのハードルがある。たとえば、以下の場合は有効にできない。

• デバイスが組織（会社や学校）で管理されている
• 開発者モードが有効になっている
  
  

  開発者モード。開発中の未署名アプリなどもインストールできるようにして、アプリ開発者に便宜を図っている
• SACの評価モードで、デバイスがSACに適していないと判断された
• 手動でSACを無効化した
• Windowsが「S モード」で動作している
• オプションの診断データが無効になっている
  
  

  オプションの診断データ。「設定」アプリ以外にも、OOBEで無効化することも可能

　そしてなにより、 SACが一度無効化されると、有効化するにはOSをクリーンインストールする必要がある 。「Windows Update」などで「バージョン 22H2」以降へ更新したとしても、クリーンインストールではないため、有効にすることができない。さらに、OSをクリーンインストールしたとしても、うっかりOSの初期設定画面（OOBE）で診断データの収集を無効化してしまえば、SACは有効にできず、再度クリーンインストールしなければならなくなる。

　この制限は“互換性とセキュリティのバランスを保つため”の措置だが、あまりにも不便で、SACがあまり活用されていない要因の一つとなっていた。

　そこで、米国時間11月7日にDev/Betaチャネルでリリースされた「Windows 11 Insider Preview」Build 26220.7070（KB5070300）では、SACがアップデート。わざわざクリーンインストールしなくても、SACのON/OFFを切り替えられるようになった。これで少しはSACが身近な存在となるだろう。