使うならイレブン! Windows 11 は飛躍的にセキュリティを強化

現代のコンピューターへの脅威は重要なデータや認証情報の窃盗や、識別や削除が困難なデバイスのファームウェアへのマルウェアの埋め込みなど、そのパターンが複雑化しています。
このような新たな脅威に対処し、ユーザーやデータ、デバイスを保護するためには、ハードウェアとソフトウェアの技術を強固に連携させたセキュリティが必要です。そのため、Windows 11 では、ハードウェア セキュリティの水準を引き上げました。

そこでまず、強化された「コア分離」「セキュリティ プロセッサ」「セキュア ブート」による保護について紹介します。

Windows 10 を標準状態で利用している場合、ウイルス対策ソフトの脆弱性を突いて外部からウイルス対策ソフトが停止されてしまうことがありました。Windows 11 ではこのようなケースに対応するため「コア分離」機能の「メモリ整合性」という機能が初期状態で有効化されています。

コア分離は仮想化ベースのセキュリティで、通常の Windows OS から切り離された安全なメモリ領域を作成し、セキュリティで重要な OS 機能をその仮想化ベースの領域で利用する機能です。

メモリ整合性は HVCI (Hypervisor-Enforced Code Integrity) と呼ばれ、OS の中でも特に重要な領域を起動する際に、ドライバーやコードの署名をチェックして正当なコードのみが実行できるようにする機能です。

コア分離による仮想化ベースの領域で署名チェックを行うことで、マルウェアによる Windows OS の重要な部分を不正なコードにすり替えて実行しようとする攻撃を防ぐことができます。

Windows 10 にもメモリ整合性機能は存在しますが、メモリ整合性は CPU に依存するため、サポートされていない CPU が搭載されているケースを考慮して初期状態では有効となっていませんでした。

なお、Windows 10 からアップグレードした場合はこの機能がオフとなっているケースがあるので注意が必要です。メモリ整合性が有効かどうかは Windows セキュリティから確認できます。

1. スタート ボタンをクリックし、メニューから「設定」をクリック

2. 設定画面から「プライバシーとセキュリティ」をクリックし、「Windows セキュリティ」をクリック

3. 「Windows セキュリティを開く」をクリック

4. 「デバイス セキュリティ」をクリック

5. 「コア分離の詳細」をクリック

6. 「メモリ整合性」がオンになっているかを確認

メモリ整合性がオフになっている場合はチェックを入れてオンにします。また、設定を有効にするためには、コンピューターの再起動が必要です。

Windows 11 は、データの抜き取りに対して対抗できる「TPM (トラステッド プラットフォーム モジュール)」の搭載が条件となっています。TPM とは、パソコンの中にあるデータを暗号化し、暗号で利用する鍵を格納しておくチップのことです。

TPM は Windows 11 搭載パソコンには必ず内蔵されていて、TPM 内には、ID を強固に守る Windows Hello を介した場合のみアクセス可能となる重要なパスワードや、証明書が格納されています。

この情報がないと Windows 11 のサイン インやディスクの暗号化解除ができないように設計されているため、たとえコンピューターが盗まれて SSD が取り出され、別のコンピューターに入ったとしても、データを利用することは困難です。

TPM が有効な状態であることを確認するには、セキュリティ プロセッサを確認します。

Windows セキュリティから「デバイス セキュリティ」を選択し、デバイス セキュリティ画面を表示します。

TPM が有効な場合は「セキュリティ プロセッサ」が表示されます。また、セキュリティ プロセッサの詳細から、セキュリティ プロセッサの詳細画面の仕様バージョン欄で TPM のバージョンが確認できます。

「仕様バージョン 2.0」と表示されている場合は、TPM が 2.0 であることを示しています。

過去 5 年間に出荷されたほとんどのパソコンには、TPM2.0 が組み込まれています。Windows 11 では TPM2.0 がシステム要件となっていて、暗号アルゴリズムなどの機能が強化されています。 

次に「セキュア ブート」について紹介します。
パソコンの起動は、ユーザーが電源を入れると「UEFI (Unified 拡張ファームウェア インターフェイス)」というファームウェアが起動し、SSD などのディスク上にある Windows 11 の OS が起動するというプロセスを踏みます。

近年、その起動の動作の途中で乗っ取りを行い、悪意あるアプリを差し込むといった攻撃手法が発生しています。この乗っ取りを防ぐための機能がセキュア ブートです。

セキュア ブートは、OS の起動の前に実行されるすべてのコードをチェックし、OS の起動のためのプログラムのデジタル署名をチェックして改ざんされていないことを確認します。セキュア ブート機能で署名が無効と判断されると、起動せずエラー メッセージが表示されます。

このしくみは Windows 10 でも有効ですが、UEFI というハードウェア側での対応が必要です。Windows 11 ではハードウェア側での対応は不要です。

セキュア ブートが有効かを確認するには、システム情報を確認します。

1. 検索ボタンをクリックし、検索のテキスト ボックスに「システム情報」と入力し「システム情報」をクリック

2. システムの要約の「BIOS モード」が「UEFI」に、「セキュア ブートの状態」が「有効」となっていることを確認

コンピューターに UEFI が入っていて、セキュア ブートの状態が有効であることが確認できます。

Windows 10 および Windows 11 には Microsoft Defender ウイルス対策と呼ばれる EPP 機能 (Endpoint Protection Platform/エンド ポイント保護プラットフォーム) が標準で備わっており、外部からの脅威の侵入に対抗できるようになっています。

EPP 製品はマルウェア感染を防止することに特化したソフトで、マルウェア攻撃を検知し、コンピューターへの攻撃を封じ込め、システム復旧を支援します。

Microsoft Defender ウイルス対策は無料ながら検知能力は高く、ウイルスの含まれたファイルの検知および除去や、実行されたウイルスの動作停止といった対策が可能です。そのため、防御したい範囲によっては新たにアンチ ウイルス ソフトを購入しなくとも安全に利用できます。

Microsoft Defender ウイルス対策が利用されているかどうかは、Windows セキュリティで確認できます。

1. Windows セキュリティを開き、「ウイルスと脅威の防止」をクリック

2. 「ウイルスと脅威の防止の設定」の「設定の管理」をクリック

3. Microsoft Defender ウイルス対策が設定されていることを確認し、保護の設定状態を確認

ウイルス対策/マルウェア対策ソリューションの名前が表示されます。