デビッド ウェストン (David Weston)
エンタープライズ & OS セキュリティ担当ディレクター
※本ブログは、米国時間 6 月 25 日に公開された “Windows 11 enables security by design from the chip to the cloud” の抄訳を基に掲載しています。
この 1 年は、PC が家族や友人とのつながりを保ち、事業継続を実現してくれました。この新たなハイブリッドワークのパラダイムにより、マイクロソフトでは 10 億人以上の Windows ユーザーに対し、継続的に最高の品質や体験、そしてセキュリティを届けるにはどうすればいいのか考えるようになりました。在宅勤務には慣れてきたものの、新たなサイバーセキュリティの脅威に関する記事を目にしない日は 1 日もありません。フィッシングやランサムウェア、サプライチェーン、IoT の脆弱性など、攻撃者は常に新たな手法でデジタルの大惨事を引き起こそうとしているのです。
ただ、攻撃がより広範囲におよび高度化する一方で、それに対応する私たちの力も高まっています。マイクロソフトには、現在も将来もお客様を保護するにあたって明確なビジョンが存在し、このアプローチがうまく機能していると考えています。
今回発表した Windows 11 には、新たなハードウェアセキュリティ要件が用意されており、セキュリティの基準値を高めています。これによりお客様は、認定デバイス上でチップからクラウドまで保護されていることを実感できるでしょう。Windows 11 は、ハイブリッドワークとセキュリティを念頭に再設計されており、ハードウェアベースのアイソレーションが内蔵されているほか、実証済みの暗号化機能や、マルウェアに対する強力な保護機能が備わっています。
セキュリティ バイ デザイン: セキュリティが組み込まれ有効化された状態に
マイクロソフトでは長年、設計段階からセキュリティを組み込むよう優先的に取り組んできました。年間セキュリティに 10 億ドル以上投資し、セキュリティ専任の従業員を 3500 人以上雇うような企業がほかにあるでしょうか。
マイクロソフトは、チップからクラウドまでのゼロトラスト機能をすぐに使える状態で提供できるよう取り組んでおり、この分野で大きな前進を遂げました。2019 年には、Windows を支えるファームウェアレイヤ、つまりデバイスのコアに、セキュリティのベストプラクティスを適用させたセキュアコア PC を発表しています。セキュアコア PC は、ハードウェアとソフトウェア、そして OS の保護機能を組み合わせたもので、米国国立標準技術研究所 (NIST: National Institute of Standards and Technology) や国土安全保障省 (DHS: Department of Homeland Security) が増加傾向にあるとしているハードウェアやファームウェアへの攻撃など、高度で新たな脅威に対してエンドツーエンドの保護機能を提供します。マイクロソフトの Security Signals レポートによると、83% の企業がファームウェアへの攻撃を受けている一方で、この重要なレイヤを保護するためにリソースを割いている企業は 29% に過ぎません。
Windows 11 では、こうした高度な攻撃から簡単に保護する機能をデフォルトで使える状態にして提供します。認定された Windows 11 システムにはすべて TPM 2.0 チップが搭載されており、ハードウェアのルートオブトラストでお客様の安全性を確保します。
Trusted Platform Module (TPM) というチップは、PC のマザーボードに組み込まれているケースと、CPU に別途追加されるケースがあります。TPM は、暗号鍵やユーザーの認証情報、その他の機密データなどをハードウェア内で保護し、マルウェアや攻撃者がデータにアクセスしたり改ざんしたりすることを防ぎます。
未来の PC では、このハードウェアのルートオブトラストという最新機能によって、ランサムウェアのような一般的で巧妙な攻撃や、より高度な国家による攻撃から身を守らなくてはなりません。TPM 2.0 の搭載を義務付けることで、ルートオブトラストが必須となり、ハードウェアセキュリティの基準を高めることができます。
TPM 2.0 は、Windows Hello や BitLocker でセキュリティを提供する際の重要な構成要素で、お客様の身元やデータをより高度に保護できるようになります。また、TMP はデバイスの健全性を証明する際の安全な要素となることから、多くの企業では TMP によってゼロトラストセキュリティの促進も可能です。
Windows 11 では、Azure ベースの Microsoft Azure Attestation (MAA) がデフォルトでサポートされており、ハードウェアベースのゼロトラストをセキュリティの最前線に取り入れることが可能です。これにより、オンプレミス上の機密リソースにアクセスする場合や、Intune などの対応モバイルデバイス管理 (MDM) を通じてクラウドから機密リソースにアクセスする際に、ゼロトラストポリシーが適用できます。
- セキュリティの基準値を高め、進化する脅威状況に対応します。Windows 11 は、仮想化ベースのセキュリティ (VBS) や、ハイパーバイザーで保護されたコード整合性 (HVCI)、セキュアブートなどの保護機能が組み込まれた最新 CPU を要件とすることで、セキュリティの基準値を高めています。また、これらの機能はデフォルトで有効化されており、一般的なマルウェアやランサムウェアはもちろん、より高度な攻撃からの保護も可能です。Windows 11 では、サポート対象の Intel 製および AMD 製のハードウェアに対してハードウェア強制型のスタック保護機能を提供するなど、新たなセキュリティイノベーションが施されており、ゼロデイ攻撃に対するプロアクティブな保護を実現します。Microsoft Pluton セキュリティプロセッサのようなイノベーションは、Windows エコシステム内のすばらしいパートナーが活用することで、確固たるゼロトラストセキュリティの中核となる基礎の強度をより高めます。
- Windows Hello によってパスワードを廃止し、情報を保護します。企業向けの Windows Hello for Business では、シンプルなパスワードレスの導入モデルをサポートしており、導入から稼働まで数分で完了させることが可能です。IT 管理者が認証方法を細かく制御することもでき、クラウドツール間の通信を保護して企業データとアイデンティティをより高度に守ります。コンシューマー向けの新 Windows 11 デバイスは、最初からデフォルトでパスワードレスとなります。
- セキュリティと生産性を同時に実現します。それぞれの要素はバックグラウンドで共に機能し、品質やパフォーマンス、ユーザー体験を犠牲にすることなく安全性を確保します。今回の Windows の新リリースでは、新たなハードウェアセキュリティ要件が求められていますが、これは認定デバイスへの攻撃に対してより強固で耐性のある基盤を構築するためです。セキュアコア PC がマルウェア感染に対し 2 倍の耐性があることからも、このアプローチが有効であると考えています。
- 包括的なセキュリティとコンプライアンスを提供します。Windows 11 は Microsoft Azure Attestation をデフォルトでサポートしており、認証によって信頼性が証明されます。これは、組織におけるコンプライアンスポリシーの基礎となり、セキュリティへの姿勢の真髄に対する理解を深めることにもつながります。Azure Attestation をベースとしたコンプライアンスポリシーは、アイデンティティとプラットフォーム双方の正当性を立証し、企業リソースを保護するゼロトラストおよび条件付きアクセスのワークフローの柱となります。
この次世代ハードウェアセキュリティは、今後登場予定の Pluton 搭載システムや、TPM 2.0 セキュリティチップを搭載する全デバイスに対応しています。TPM 2.0 搭載デバイスは、Acer、Asus、Dell、HP、Lenovo、Panasonic などから入手できます。
ハードウェアベースの保護機能を搭載した Windows 11 により、あらゆる人がスマートにコラボレーションし、共有し、プレゼンテーションができるようになるでしょう。
—
本ページのすべての内容は、作成日時点でのものであり、予告なく変更される場合があります。正式な社内承認や各社との契約締結が必要な場合は、それまでは確定されるものではありません。また、様々な事由・背景により、一部または全部が変更、キャンセル、実現困難となる場合があります。予めご了承下さい。
