Windows 11 バージョン 22H2の新機能を使いこなす

第7回

ガッチガチのセキュリティを求めるなら「Windows 11 2022 Update」への更新はアリ

2022年10月3日 16:19

新機能「スマート アプリ コントロール」によるブロック

 本連載ではここまで「Windows 11 2022 Update」(バージョン 22H2)の外見的な機能強化と改善にフォーカスしてきました。初期リリースでは不満となっていた点が解消されていたり、使いやすくなっているのがわかると思います。しかし、それ以外でアップグレードする価値はあるのでしょうか。

 個人的な考えですが、その価値は十分にあると思います。その根拠として、今回はセキュリティ関連の改善を見ていこうと思います。思いのほか多くの変更が加えられており、とくに企業ユースでは注目に値するアップデートになっているといえるでしょう。

スマート アプリ コントロール(SAC)

 「スマート アプリ コントロール」(SAC)は「Windows セキュリティ」アプリに追加された新しい機能で、悪意のあるアプリや信頼されていないアプリ、望ましくない可能性のあるアプリをうっかり実行してしまうミスからユーザーを守ってくれます。この判断はクラウドのAIセキュリティサービスがやってくれるようです。

悪意のあるアプリや信頼されていないアプリ、望ましくない可能性のあるアプリをうっかり実行してしまうミスからユーザーを守ってくれる新機能「スマート アプリ コントロール」

 なお、この機能はすべてのエディションで利用できますが、「Windows 11 2022 Update」をクリーンインストールした状態でしか有効化できません。

クリーンインストール後に有効化できる

 また、「スマート アプリ コントロール」はかなり厳格で、デジタル署名のないアプリや、「MOTW」(Mark of the Web:Webからダウンロードしたファイルにつけられるマーク)のあるファイルは軒並みブロックされます(「MOTW」を削除すれば、実行可能)。そのため、一般のユーザーが不審なアプリやファイルを実行してしまうリスクはかなり抑えられますが、システム管理者やアプリ開発者にとってはかなり邪魔な機能となります。

デジタル署名のないアプリや「MOTW」のあるファイルは軒並みブロックされる
ファイルのプロパティダイアログで「MOTW」を削除すれば実行可能([許可する]チェックボックスをONに)

 そこで、「スマート アプリ コントロール」は初期状態で「評価」モードで動作するようになっています。ユーザーがデバイスをどのように使うのかをチェックし、「スマート アプリ コントロール」を適用すべきユーザーであれば「ON」に、むしろ妨げになるであろう場合には「OFF」にするわけです。

既定では「評価」モードで動作。デバイスの利用状況が「スマート アプリ コントロール」にマッチしているかを判断し、自動でON/OFFする

 前述の通り、「スマート アプリ コントロール」が無効化されると、有効化するにはOSのクリーンインストールが必要となります。

脆弱なドライバーのブロックリスト(Microsoft Vulnerable Driver Blocklist)

 いかにOSが堅牢に作られていても、ハードウェアドライバーに脆弱性があればすべては無駄になってしまいます。そのためMicrosoftはベンダーと協力し、ドライバーに脆弱性が発見された場合は迅速にパッチを作成し、エコシステムに展開する体制を整えていますが、なかには「古すぎる」などの理由でパッチが作成されないケースもあります。

脆弱なドライバーのブロックリスト(Microsoft Vulnerable Driver Blocklist)

 Microsoftはそうしたドライバーのリストを管理しており、リストに掲載されているドライバーのインストールが既定でブロックします。

関連記事

 この機能は「Windows 11 2022 Update」固有の機能というわけではありませんが、より多くの場面でデフォルト有効化されることになります。

いずれかの条件にマッチすれば、脆弱なドライバーのブロックリストは既定で有効化される

強化されたフィッシング保護(Enhanced Phishing Protection)

 「Windows 11 2022 Update」では、「Microsoft Defender SmartScreen」で「強化されたフィッシング保護」(Enhanced Phishing Protection)という技術が有効化されます。この技術は、以下のような追加の保護を提供するものです。

  • 「Microsoft Edge」や「Google Chrome」などで職場または学校のパスワードを悪意のあるWebサイトに入力しようとした際に警告するとともに、ユーザーにパスワードの変更を促す
  • 職場または学校のパスワードを再利用すると、それを警告するとともに、ユーザーにパスワードの変更を促す
  • 職場または学校のパスワードを「メモ帳」や「Word」または「Microsoft 365 Office 」アプリにコピーすると警告し、ファイルからパスワードを削除するように促す
「Microsoft Edge」や「Google Chrome」などで職場または学校のパスワードを悪意のあるWebサイトに入力しようとした際に警告
職場または学校のパスワードを再利用すると警告
職場または学校のパスワードを「メモ帳」や「Word」または「Microsoft 365 Office 」アプリにコピーすると警告

 そのほかにも、「Windows Hello for Business」で個々のファイルを暗号化する「Personal Data Encryption」(PDE)などが提供されます。既定のセキュリティ設定の見直しや企業向けの新しいセキュリティポリシーも追加されます。

 一方で、こうしたセキュリティの強化はときに互換性の問題につながることがあります。企業で集中管理しているデバイスを「Windows 11 2022 Update」へアップグレードする場合は、事前の情報収集とテストをお勧めします。