Windows11のセキュリティ設定
和戸川 純
Windows11のセキュリティ機能は階層化によって強化されたが、同時に、個人情報が多層構造で大量に収集される。「Windows10のセキュリティ設定」を参照すれば、マイクロソフトが進めている、保護機能強化と情報収集の方向性が見えてくる。機能に関する説明にあいまいな箇所がかなりあり、セキュリティの設定と個人情報の収集許可において、ユーザーには注意深さが求められる。
AIを用いた強力な保護機能が搭載され、Windows11でセキュリティが大幅に改善された、とマイクロソフトが述べている。また、CPU への物理攻撃に対する対策も施されている。ハードウェアによるセキュリティの向上が、ハードウェアを動作させるファームウェアの脆弱性を改善する。
防御の基本概念はゼロトラストで、個々のアクセス要求を決して信用しない。どのアクセス要求も認証と暗号化を行ったあとで許可する。
無料セキュリティソフトの多くは、エンジンの機能が更新されないので、新しいマルウェアへの対処力が弱い。Windows11でこのようなセキュリティソフトを導入すると、Windows11の本来の保護機能に齟齬をきたす可能性がある。エンジン機能が常時更新される、有料のセキュリティソフトを使いたい。
国の情報機関やサイバー軍が開発したマルウェアは、豊富な資金力と組織力、それに高度な技術によって作られている。そのようなマルウェアは、OSやアプリケーションが抱える、脆弱性と呼ばれるセキュリティホールを突いてパソコンへ侵入することが多い。攻撃者はパソコンへ不正プログラムを埋め込み、情報を窃取したり、パソコンに保存されているデータを暗号化して、身代金を要求するなどの悪事を行う。ユーザーが感染に気づかないでいるうちに、他のコンピューターを攻撃するための踏み台にされることがある。完璧な防御は不可能なので、攻撃のリスクを可能な限り下げることが、ユーザーの対策になる。
標準セキュリティ保護機能は「Windowsセキュリティ」と呼ばれ、Windows Firewall、Windows Defender、Windows Smart Screenなどのコンポーネントを含む。これらの機能の設定へ入る入口が、一つの画面に集約されている。
モニター画面下部の「タスクバー」の左端にある、「スタート」ボタン(Windowsロゴ)を左クリックする。派手なアイコンが並んだ「ピン留め済み」画面が表示される。画面の右上にある「すべてのアプリ」ボタンをクリック。表示された「すべてのアプリ」のメニューを下へスクロールすると、「Windowsセキュリティシステム」の項目が見つかるのでクリック。
図1の「セキュリティの概要」画面が表示される。このメニューからセキュリティの各項目へ入ってデフォルトの設定を確認し、必要に応じて設定を変更する。
Windows11のセキュリティ設定は簡素化されていないので、ユーザーが混乱する可能性がある。例えば、「セキュリティの概要」画面へは次のルートでも辿り着くことができる。「スタート」ボタンを右クリックする。表示されたメニューから「設定」を選んで左クリックする。次の画面の左サイドバーのメニューにある、「プライバシーとセキュリティ」をクリック。表示されたメニューから「Windowsセキュリティシステム」をクリックする。次に、メニューの上部にある「Windowsセキュリティを開く」ボタンをクリックすると、図1の「セキュリティの概要」が表示される。
図1の「セキュリティの概要」の画面で、「ウイルスと脅威の防止」をクリックする。
図2の画面が標示される。「アプリを開く」をクリックすると、セキュリティソフトの「ウイルスバスター」が優先されていることが分かる。セキュリティソフトがインストールされていないと、Microsoft Defenderが自動的にオンになる。「Microsoft Defenderウイルス対策のオプション」をクリックして確認できる。
図1の「セキュリティの概要」画面のメニューで、「アカウントの保護」をクリックすると、サインインオプションとアカウントの共有設定を行うための、図3の画面が表示される。
便利さよりもセキュリティを重んじるユーザーは、図3の「Microsoftアカウント」の項目の下にある「同期の設定を管理する」をクリック。表示された図4の「Windowsバックアップ」画面で、「アプリを記憶」も「自分の設定を保存する」もオフにする。この設定で「アプリの一覧」も「基本設定」もバックアップされない(上部右側の表示)。クラウドに保存したアプリ、ファイル、写真、動画などを共有したり、デバイスを同期化する 「OneDrive」は、「同期していません」と表示されている。ところが、その下の項目は「OneDriveフォルダーを同期しています」と矛盾する表現になっている。「同期の設定」をクリックすると、「ドキュメント」、「写真」、「デスクトップ」はバックアップされるが、「ミュージック」と「ビデオ」はバックアップされないことが分かる。これらのバックアップ設定を変えることができる。
「自分の設定を保存する」をオンにしてからこの項目をクリックすると、「アクセシビリティ」、「アカウント、WiFiネットワーク、パスワード」、「個人用設定」、「言語設定と辞書」、「その他のWindowsの設定」が、全て保存されることが分かる。個別にオン、オフの設定をできる。便宜とリスクを考慮して注意深く設定したい。
上のステップで辿り着いた「その他のWindowsの設定」には説明がない。「Windows10のセキュリティ設定」で述べたように、「その他のWindowsの設定」をオンにすると、アカウント設定、接続設定、入力情報、通知設定、アプリ情報、フォルダ内容、日付・時刻設定、地域設定、デスクトップの個人設定、ブラウザのパスワードと各種設定、お気に入り、ネットの閲覧履歴、キーボードやマウスの使用履歴、ナレーターの記録など、極めて多岐に渡る情報が保存される。
更に、FacebookなどのSNSに保存されている写真、ドキュメント、その他のファイルに、登録済みの誰もがアクセスできるようになる。 他の項目をオンにしても「その他のWindowsの設定」はオフにしたい。
図3の「アカウントの保護」メニューに、「Windows Hello」という内容が分かりにくい項目がある。この項目の下にある「サインインオプションの管理」をクリックすると、図6のように多種多様なオプションを網羅していることが分かる。セキュリティ優先のユーザーは、設定が意味するところをよく理解して判断したい。
「サインインする方法」の項目の下のメニューから、「顔認識」、「指紋認識」、「PIN」、「セキュリティキー」、「パスワード」、「ピクチャパスワード」などでサインインできることが分かる。ユーザーが知らない間にカメラを操作するサイバー攻撃があるので、カメラをオフにして「顔認識」を使わない選択がある。「セキュリティキー」を選択すると、あらかじめPINを入力したUSBメモリなどが必要になる。操作が面倒になるが、指紋や PIN と共に使うのでサインインのセキュリティが高まる。
「追加の設定」の項目の下にあるメニューは全てをオフにしたが、ユーザーの必要性に応じてオンにしていただきたい。
「関連」の項目の下にある「サインインオプションの詳細」をクリックし、詳細な説明を読むことができる。サインインのデータ情報は、暗号化されてマイクロソフトへ送られる。生体認証の情報がデバイスから送信されることはない、とされている。
外部ネットワークとの間に設置されているファイアウォールをオフにすると、デバイスや保存データへの攻撃リスクが高まるので、 常時オンにしたい。
図1の「セキュリティの概要」のメニューにある、「ファイアウォールとネットワーク保護」をクリックして開く。社内の「ドメインネットワーク」、検出可能な「プライベートネットワーク」、検出不可の「パブリックネットワーク」などに対応するファイアウォールが、Microsoft Defenderによってデフォルトでオンになっている。通常、パソコンは1つのネットワークにしか接続されない。ユーザーのネットワーク環境に必要なファイアウォールを、選択すれば良い。
アプリによっては、ファイアウォールにブロックされて使えなくなることがある。その場合は、メニューにある「ファイアウォールによるアプリケーションの許可」をクリックし、当該アプリのアクセス許可の設定をする。
図1の「セキュリティの概要」のメニューで、「アプリとブラウザーコントロール」をクリックすると、図8の「アプリとブラウザーコントロール」画面が開く。危険なアプリやファイル、それらのダウンロード、悪意のあるサイトとそのコンテンツなどをブロックする重要な設定なので、取りこぼしがないようにしたい。
「評価ベースの保護」の項目の下にある「評価ベースの保護設定」をクリックすると、保護の設定メニューが表示される。クラウドベースのコンポーネントである、Microsoft Defender SmartScreenが防御機能を提供する。SmartScreenの全機能を有効にするために、「アプリとファイルの確認」、「Microsoft EdgeのSmartScreen」、「フィッシングに対する保護」、「望ましくない可能性のあるアプリのブロック」、「Microsoft StoreアプリのSmartScreen」などの全項目をオンにする。
ユーザーが不正アプリに認証情報を入力すると、警告が表示されるので、悪意のあるアプリの実行阻止が可能になる。また、ハッキングされた ウェブサイトへの誘導を検出して、ユーザーに警告し、フィッシング攻撃から守る。さらに、不正プログラムが埋め込まれたファイルのダウンロードを防ぎ、マルウェアが埋め込まれたウェブサイトやアプリからデバイスを守る。
「Exploit protection(エクスプロイト保護)」はOSやアプリを多層的に監視し、メモリーベースへの攻撃からデバイスを保護する。ゼロデイ攻撃では、見つかったばかりのソフトのセキュリティホールへ、対策が実行される前にマルウェア攻撃が仕掛けられる。通常の対策では防御が困難だ。エクスプロイト保護がこの攻撃を撃退する。ゼロデイ攻撃に対するエクスプロイト保護の防護機序を「Windows10の一段と高度なセキュリティ設定」に書いたので、参照していただきたい。
図8の 「アプリとブラウザーコントロール」メニューの「Exploit protection」の項目の下にある、「Exploit protectionの設定」をクリックする。図9のように構成可能なオプションが表示される。オプションの説明は「Windows10の一段と高度なセキュリティ設定」に書いた。特に理由がない限り、デフォルト設定を変更する必要はない。「必須ASLR」をオンにすると、再配置情報を持つ画像の読み込みが失敗する可能性があるので、デフォルトでオフになっている。
図1の「セキュリティの概要」へ戻って、「デバイスセキュリティ」をクリックする。表示された図10の「デバイスセキュリティ」のメニューから入る設定は、使用しているハードウェアの内容によって異なる。
「セキュリティプロセッサ」項目の下にある、「セキュリティプロセッサの詳細」をクリックして、使用しているデバイスのセキュリティプロセッサの情報を得ることができる。動作の確認もできる。そこに「セキュリティプロセッサ」の情報がない場合は、TPMもPlutonも実装されていない可能性がある。即ち、デバイスの能力が不十分だ。
「セキュアブート」項目の下に、ブートがオンになっていることが書かれている。セキュアブートは、危険で高度なマルウェア (ルートキット) が、パソコンの起動時に読み込まれるのを防ぐ。ルートキットはOSよりも先に起動し、マルウェアを完全に隠す役割を果たす。ログインの回避、パスワードやキー入力の記録窃取、機密ファイルの転送、暗号化データの収集を行うマルウェアなどで、ルートキットがよく使われる。
画面下段に、「標準ハードウェアセキュリティはサポートされていません。」との記述がある。標準ハードウェアセキュリティ要件のうち 、1つ以上を満たしていないことを意味する。要件を満たしていればその旨のメッセージが出る。
図1の「セキュリティの概要」画面で、「デバイスのパフォーマンスと正常性」をクリック。表示された画面の「状態レポート」の項目下に、次の機能の正常性レポートが表示される。ディスク領域の過不足に関する「記憶域容量」、「バッテリーの寿命」、ソフトのエラーや更新の必要性を指摘する「アプリとソフトウェア」、システムの時刻の正確さを確認する「Windowsタイムサービス」。
システムの時刻で問題が指摘されているにもかかわらず、それが解決されなければ、最悪の場合はWindows のクリーンインストールが必要になる。その場合は、メニューの最下段にある「新たに開始」項目の指示に従がう。
大量の個人情報が収集されるのは、不正アクセスによってではなく、正規アクセスによってでもユーザーにとっては心地の良いものでない。セキュリティ画面に集約されていない情報収集機能に関して、注意深い考慮が必要になる。
「スタート」>「設定」>左サイドバーの「プライバシーとセキュリティ」と続けてクリックすると、図12の「プライバシーとセキュリティ」の画面が表示される。「Windowsのアクセス許可」の項目の下にあるメニューから「全般」をクリックする。図13が表示される。私は全項目をオフにしたが、ユーザーの必要に応じてオンにしていただきたい。
「アプリに広告IDを使用して.....広告を表示させる」をオンにすると、ユーザー毎に広告識別子が作成される。アプリ販売会社や広告企業が、関連性の高いアプリの広告を表示するのに役立つ。「Webサイトが言語リストにアクセスして、.....コンテンツを表示できるようにする」は、日本語と英語しか使わない場合はオフにしても問題がない。
「Windowsにアプリ実行の追跡を許可して、.....検索結果の質を向上させる」をオンにすると、ユーザーに合わせた広告をアプリ内で表示するために、個人情報がマイクロソフトへ送信される。位置情報や入力情報などが含まれると思われるが、具体的なことが不明なのでオフにする。「設定アプリでおすすめのコンテンツを表示する」をオンにすると、さまざまな形式でコンテンツが提供されるので、個人情報が深掘りされると思われる。
図12の画面で、「Windowsのアクセス許可」の項目の下のメニューに、「音声認識」と「手書き入力と入力の個人用設定」という一見無難な2つの項目がある。これらの項目をクリックすると、「音声認識」と「手書き入力と入力の個人用設定」というタイトルの画面が表示され、音声と手書きによる入力情報収集に対してオン、オフの設定をできる。説明があいまいなので分かりにくいが、両項目をオンにすると、音声と手書きやタイピングで入力された、メールアドレス、パスワード、スケジュール、音声や手書きの個人パターン、入力した履歴などの大量の情報が、マイクロソフトへ送られると思われる。
これらの情報を把握することによって、検索結果の予測やユーザー辞書の効率化が進む。ユーザーの興味や関心が割り出され、広告宣伝を含めてユーザーに合ったサービスが提供される。
マイクロソフトは、個人の特定が不可能になるようにデータ処理がされる、と述べている。けれども、送られる情報が多岐にわたるので、完璧なセキュリティが存在しないネットでは、設定に注意が必要だ。便利さよりもセキュリティを重んじるならば、「音声認識」も「手書きなどによる入力」もオフにしたほうが良い。
「スタート」>「設定」>「プライバシーとセキュリティ」とクリックし、「プライバシーとセキュリティ」のメニュー画面を開く。メニューを下へスクロールし、「アプリのアクセス許可」の項目の下にあるメニューから「位置情報」をクリック。表示された図14の画面で「位置情報サービス」をオフにすれば、その下にリストアップされている「3Dビューアー」、「Skype」、.....、「カメラ」、「Webビューアー」、「ニュース」、「マップ」、「メール/カレンダー」、「設定」、「天気」などの多種多様なアプリへのアクセスをオフにできる。
個々のアプリについてオン、オフ設定をするには、「情報位置サービス」とその下にある「アプリに位置情報へのアクセスを許可する」をオンにしてから、各アプリ毎にオン、オフ設定をする。
図14の画面上部の説明が分かりにくい。「情報位置サービス」をオフにしても、メディア(CDなど)を使ってインストールするデスクトップアプリが、位置情報を使用する可能性がある。また、デバイスの位置を特定できるサードパーティアプリがある。支援が必要な非常時には、設定とは関係なくWindowsがユーザーの位置を特定する。
サインインにおいて顔や音声で認証したり、Teams、Zoom、Skypeなどのビデオ通話を行う場合は、図12の画面を下へスクロールする。「カメラ」や「マイク」の項目を見つけてクリックし、「位置情報」と同じやり方でオン、オフの設定をする。ユーザーが知らない間に、カメラやマイクを操作するサイバー攻撃があるので、必要がないならば「カメラ」と「マイク」をオフにしたい。
図12の「プライバシーとセキュリティ」のメニューをさらに下へスクロールし、「通知」、「アカウント情報」、「連絡先」、「カレンダー」、「通話履歴」などを順にクリックして、オン、オフを設定する。これらをオンにすると、自分の名前や画像などのアカウント情報、連絡先、カレンダーなどへアプリがアクセスできるようになる。アプリによっては、これらの情報が必要な場合がある。アプリを余り使わないユーザーはオフで良い。
メニューをさらに下へスクロールすると、「メール」、「タスク」、「メッセージング」、「無線」などの項目が現れる。それらをオンにすれば、アプリがユーザーにアクセスして、メールやSMSを読み取り、無線を制御し、送信し、必要のないワイヤレスデバイスと情報のやり取りをする可能性がある。 これが意味するところを完全に理解し、必要と判断する場合にのみオンにする。通常はオフにしたい。