Essay 80

Windows11のセキュリティ設定

和戸川の関連書籍「サイバー世界戦争の深い闇
2022年5月3日
和戸川 純
高度になったセキュリティ機能と個人情報収集

Windows11のセキュリティ機能は階層化によって強化されたが、同時に、個人情報が多層構造で大量に収集される。「Windows10のセキュリティ設定」を参照すれば、マイクロソフトが進めている、保護機能強化と情報収集の方向性が見えてくる。機能に関する説明にあいまいな箇所がかなりあり、セキュリティ設定と個人情報の収集許可において、ユーザーには注意深さが求められる。

AIを用いた強力な保護機能が搭載され、Windows 11でセキュリティが大幅に改善された、とマイクロソフトが述べている。また、CPU への物理攻撃に対する対策も施されている。ハードウェアによるセキュリティの向上が、ハードウェアを動作させるファームウェアの脆弱性を改善する。

パソコンなどのデバイスに追加の暗号化を提供する、TPM(トラステッド・プラットフォーム・モジュール)プロセッサーが使われているが、これは次世代のPlutonに置き換えられる。OSのコア機能、プロセッサーが読み書きするメモリー・データの一貫性確保、ファームウェアの改ざん防止、ユーザーのIDやパスワードなどの保護が、Plutonによって強化される。さまざまな攻撃パターンに対応でき、高度な標的型フィッシング攻撃からの防御が可能になる。

* * * * * * * *

防御の基本概念はゼロトラストで、個々の要求を決して信頼しない。どのアクセス要求も、完全な認証と暗号化を行ったあとで許可する。豊富なデータとアナリティクスによって、異常の検出と対応がリアルタイムで行なわれる。
無料セキュリティ・ソフトの多くは、エンジンの機能が更新されないので、新しいマルウェアへの対処力が弱い。Windows 11でこのようなセキュリティ・ソフトを導入すると、Windows 11の本来の保護機能に齟齬をきたす可能性がある。エンジン機能が常時更新される、有料のセキュリティ・ソフトを使いたい。

国の情報機関やサイバー軍が開発したマルウェアは、豊富な資金力と組織力、それに高度な技術によって作られている。そのようなマルウェアは、OSやアプリケーションが抱える、脆弱性と呼ばれるセキュリティ・ホールを突いて、パソコンへ侵入することが多い。攻撃者はパソコンへ不正プログラムを埋め込み、情報を窃取したり、パソコンに保存されているデータを暗号化して、身代金を要求するなどの悪事を行う。ユーザーが感染に気づかないでいるうちに、他のコンピューターを攻撃するための踏み台にされることがある。完璧な防御は不可能なので、攻撃のリスクを可能な限り下げることが、ユーザーの対応策になる。

なお、Windows10からWindows11へのアップグレードができない場合は、パソコンのハードウェアが、上記の要件を満たしていない可能性がある。

「セキュリティの概要」画面から入る設定
「スタート・メニュー」からセキュリティへ

標準セキュリティ保護機能は「Windowsセキュリティ」と呼ばれ、Windows Firewall、Windows Defender、Windows Smart Screenなどのコンポーネントを含む。これらの機能の設定へ入る入口が、一つの画面に集約されている。

モニター画面下部の「タスクバー」の左端にある、「スタート」ボタンを左クリックする。派手なアイコンが並んだ「ピン留め済み」画面が表示される。画面の右上にある「すべてのアプリ」ボタンをクリックする。表示された「すべてのアプリ」画面のメニューを下へスクロールすると、「Windowsセキュリティ」の項目が見つかるのでクリック。

図1.「セキュリティの概要」に集約された機能

図1の「セキュリティの概要」画面が表示される。このメニューからセキュリティ機能の各項目へ入ることができるので、デフォルトの設定を確認し、必要に応じて設定を変更する。

Windows11のセキュリティ設定は簡素化されていないので、ユーザーが混乱する可能性がある。たとえば、「セキュリティの概要」画面へは次のルートを辿っても入ることができる。
「スタート」ボタンを右クリックする。表示されたメニューから「設定」を選んで左クリックする。次の画面の左サイドバーのメニューにある、「プライバシーとセキュリティ」をクリック。現われたメニューから「Windowsセキュリティ」項目をクリックする。次に、メニューの上部にある「Windowsセキュリティを開く」ボタンをクリックすると、図1の「セキュリティの概要」画面が表示される。

設定ルートの一本化をマイクロソフトにお願いしたい。

「ウイルスと脅威の防止」で基本防御壁構築

図1の「セキュリティの概要」の画面で、「ウイルスと脅威の防止」項目をクリックする。

図2.ウイルス対策でセキュリティソフトと連携

図2の画面が標示され、セキュリティ・ソフトの「ウイルスバスター」が優先されていることが分かる。セキュリティ・ソフトがインストールされていないと、Windows Defenderが自動的にオンになる。「現在の脅威」の項目の下にある「クイック・スキャン」ボタンをクリックし、手動で感染の有無をスキャンできる。

そのボタンの下にある「スキャンのオプション」をクリックする。次の画面で、すべてのファイルとプログラムをチェックする「フル・スキャン」、選択したファイルをチェックする「カスタム・スキャン」、または最新の驚異の定義を使ってスキャンする「Microsoft Defenderオフライン・スキャン」を実行できる。

図2の画面で、「ウイルスと脅威の防止の設定」の項目の下にある、「設定の管理」をクリックする。表示された画面のメニューで、「リアルタイム保護」はWindows Defenderの機能なので、セキュリティ・ソフトがインストールされているとオフになる。「クラウド提供の保護」、「サンプルの自動送信」、「改ざん防止」をオンにする。

「ウイルスと脅威の防止の更新」項目において「保護の更新」をクリックする。表示された画面で「更新プログラムのチェック」ボタンをクリックして、脅威を検出する「セキュリティ・インテリジェンス」プログラムの更新の有無を、確認できる。

「ランサムウェアの防止」項目において、「ランサムウェア防止の管理」をクリック。表示された画面で、不正プログラムによるファイルやメモリー領域への攻撃を阻止する、「コントロールされたフォルダー・アクセス」のオン、オフの設定をできる。アクセス制御はWindows Defenderの機能なので、セキュリティ・ソフトがインストールされていれば、この機能はオフになる。

「アカウントの保護」で深掘りされる個人情報
図3.共有設定に入る「アカウントの保護」

図1の「セキュリティの概要」画面のメニューで、「アカウントの保護」をクリックすると、サインイン・オプションとアカウントの共有設定を行うための、図3の画面が表示される。

図4.大量の個人情報が流出する可能性

便利さよりもセキュリティを重んじるユーザーは、図3の「Microsoftアカウント」の項目の下にある「同期の設定を管理する」をクリック。現れた図4の「Windowsバックアップ」画面で、「アプリを記憶」も「自分の設定を保存する」もオフにする。この設定でマイクロソフトが勧める「OneDrive」がオフになる(上部の表示)。「OneDrive」は、クラウドに保存したアプリ、ファイル、写真、動画などを共有したり、デバイスを同期化する機能だ。

「自分の設定を保存する」をオンにしてこの項目をクリックすると、「パスワード」、「言語設定」、「その他のWindowsの設定」を、個別にオン、オフできる設定画面が表示される。

「その他のWindowsの設定」の説明がそこにはない。表現が余りにもあいまいなので、リスクが分かりにくい。「Windows10のセキュリティ設定」で述べたように、「その他のWindowsの設定」は、アカウント設定、接続設定、入力情報、通知設定、アプリ情報、フォルダ内容、日付・時刻設定、地域設定、デスクトップの個人設定、ブラウザのパスワードと各種設定、お気に入り、ネットの閲覧履歴、キーボードやマウスの使用履歴、ナレーターの記録など、極めて多岐な情報を網羅する。
さらに、これをオンにすれば、FacebookなどのSNSに保存されている写真、ドキュメント、その他のファイルに、登録済みの誰もがアクセスできるようになる。他の項目をオンにしても、特別な理由がない限り、「自分の設定を保存する」はオフにしたい。

図5.「Windows Hello」の設定に細心の注意を

図3の「アカウントの保護」メニューに、「Windows Hello」という内容が分かりにくい項目がある。この項目の下にある「サインイン・オプションの管理」をクリックすると、図5のように多種多様なオプションのあることが分かる。セキュリティ優先のユーザーは、設定が意味するところをよく理解して判断したい。

「サインインする方法」の項目の下のメニューから、「顔認識」、「指紋認証」、「PIN」などでサインインできることが分かる。ユーザーが知らない間にカメラを操作するサイバー攻撃があるので、カメラをオフにし、「顔認証」を使わない選択がある。「セキュリティ・キー」を選択すると、あらかじめPINを入力したUSBなどが必要になる。操作が面倒になるが、指紋や PIN と共に使うのでサインインのセキュリティが高まる。アカウントのパスワードや写真をロック解除に使う場合は、「パスワード」と「ピクチャ・パスワード」で設定する。

「追加の設定」の項目の下にあるメニューはすべてをオフにしたが、ユーザーの必要性に応じてオンにしていただきたい。

「関連」の項目の下にある「サインイン・オプションの詳細」をクリックし、情報を得ることができる。生体認証の情報がデバイスから送信されることはない、とされている。サインインのデータ情報は、暗号化された上でマイクロソフトへ送られる。

ファイアウォールはデフォルトでオン

外部ネットワークとの間に設置されているファイアウォールをオフにすると、デバイスや保存データへの攻撃リスクが高まるので、 常時オンにしたい。

図1の「セキュリティの概要」のメニューにある、「ファイアウォールとネットワーク保護」項目をクリックして開く。社内の「ドメイン・ネットワーク」、検出可能な「プライベート・ネットワーク」、検出不可の「パブリック・ネットワーク」などに対応するファイアウォールが、Microsoft Defenderによってデフォルトでオンにされている。通常、パソコンは1つのネットワークにしか接続されないので、ユーザーのネットワーク環境に必要なファイアウォールを、選択すればよい。

アプリによっては、ファイアウォールにブロックされて使えなくなることがある。その場合は、メニューにある「ファイアウォールによるアプリケーションの許可」項目をクリックし、当該アプリのアクセス許可の設定をする。

「アプリとブラウザー・コントロール」で防御
図6.アプリとブラウザーの重要な設定

図1の「セキュリティの概要」のメニューで、「アプリとブラウザー・コントロール」項目をクリックすると、図6の「アプリとブラウザー・コントロール」画面が開く。危険なアプリやファイル、それらのダウンロード、悪意のあるサイトとそのコンテンツなどをブロックする重要な設定なので、取りこぼしがないようにしたい。

「評価ベースの保護」の項目の下にある「評価ベースの保護設定」をクリックすると、保護の設定メニューが表示される。クラウド・ベースのコンポーネントである、Microsoft Defender SmartScreenが防御機能を提供する。SmartScreenの全機能を有効にするために、「アプリとファイルの確認」、「Microsoft EdgeのSmartScreen」、「望ましくない可能性のあるアプリのブロック」、「Microsoft StoreアプリのSmartScreen」をすべてオンにする。

以上の設定で、個人情報を搾取するフィッシングに対応できる。ユーザーが不正アプリに認証情報を入力すると、警告が表示されるので、悪意のあるアプリの実行阻止が可能になる。また、ハッキングされた ウェブサイトへの誘導を検出して、ユーザーに警告し、フィッシング攻撃から守る。さらに、不正プログラムが埋め込まれたファイルのダウンロードを防ぎ、マルウェアが埋め込まれたウェブサイトやアプリからデバイスを守る。

* * * * * * * *

「Exploit protection(エクスプロイト保護)」はOSやアプリを多層的に監視し、メモリー・ベースの攻撃からデバイスを保護する。見つかったばかりのソフトのセキュリティ・ホールへ、対策が実行される前にマルウェア攻撃をしかける、ゼロデイ攻撃は通常の対策では防御が困難だ。エクスプロイト保護がこの攻撃を撃退する。ゼロデイ攻撃に対するエクスプロイト保護の防護機序を「Windows10の一段と高度なセキュリティ設定」に書いたので、参照していただきたい。

図7.Exploit protectionによる高度な防御

図6の 「アプリとブラウザー・コントロール」メニューの「Exploit protection」の項目の下にある、「Exploit protectionの設定」をクリックする。図7のように構成可能なオプションが表示される。オプションの説明は「Windows10の一段と高度なセキュリティ設定」に書いた。特に理由がない限り、デフォルト設定を変更する必要はない。「必須ASLR」をオンにすると、再配置情報を持つ画像の読み込みが失敗する可能性があるので、デフォルトでオフになっている。

「デバイス・セキュリティ」でハードの保護
図8.デバイスのセキュリティ設定

図1の「セキュリティの概要」へ戻って、「デバイス・セキュリティ」項目をクリックする。表示された図8の「デバイス・セキュリティ」のメニューから入る設定は、使用しているハードウェアのサポート内容によって異なる。

「セキュリティ・プロセッサ」項目の下にある、「セキュリティ・プロセッサの詳細」をクリックして、使用しているデバイスのセキュリティ・プロセッサの情報を得ることができる。動作の確認もできる。そこに「セキュリティ・プロセッサ」の情報がない場合は、上記のTPMもPlutonも実装されていない可能性がある。

「セキュア・ブート」項目の下に、ブートがオンになっているか否かが表示される。セキュア・ブートは、危険で高度なマルウェア (ルートキット) が、パソコンの起動時に読み込まれるのを防ぐ。ルートキットは、OSと同じアクセス許可を使用し、OSより先に起動するので、マルウェアを完全に隠す役割を果たす。ログインの回避、パスワードやキー入力の記録窃取、機密ファイルの転送、暗号化データの収集を行うマルウェアなどに、ルートキットがよく含まれている。

画面下段に、「標準ハードウェア・セキュリティはサポートされていません。」の記述がある。標準ハードウェア・セキュリティ要件のうち 、1つ以上を満たしていないことを意味する。要件を満たしていればその旨のメッセージが出る。

「デバイスのパフォーマンスと正常性」の設定

図1の「セキュリティの概要」画面で、「デバイスのパフォーマンスと正常性」項目をクリック。現れた画面の「状態レポート」の項目下に、次の機能の正常性レポートが表示される。
システムの時刻の正確さを確認する「Windowsタイム・サービス」、ディスク領域の過不足に関する「記憶域容量」、「バッテリーの寿命」、ソフトのエラーや更新の必要性を指摘する「アプリとソフトウェア」。

システムの時刻などで問題が指摘されていて、それが解決されなければ、最悪の場合はWindows のクリーン・インストールが必要になる。その場合は、メニューの最下段にある「新たに開始」項目の指示に従がう。

「セキュリティの概要」以外の重要な設定
プライバシーの設定で個人情報収集の可否

大量の個人情報が収集されるのは、不正アクセスによってではなく、正規アクセスによってでも、ユーザーにとっては心地のよいものでない。セキュリティ画面に集約されていない情報収集機能に関して、注意深い考慮が必要になる。

図9.個人情報取得へのアクセス許可設定

図10.広告表示に使われる種々の個人情報

「スタート」>「設定」>左サイドバーの「プライバシーとセキュリティ」と続けてクリックすると、図9の「プライバシーとセキュリティ」画面が表示される。「Windowsのアクセス許可」の項目の下にあるメニューから「全般」をクリックする。図10が表示される。私は全項目をオフにしたが、ユーザーの必要性に応じてオンにしていただきたい。

「アプリに広告IDを使用して.....」をオンにすると、ユーザー毎に広告識別子が作成される。アプリ販売会社や広告企業が、関連性の高いアプリの広告を表示するのに役立つ。「Webサイトが言語リストにアクセスして、.....」は、日本語と英語しか使わない場合はオフにしても問題がない。
「Windowsにアプリ実行の追跡を許可して、.....」をオンにすると、ユーザーに合わせた広告をアプリ内で表示するために、個人情報がマイクロソフトへ送信される。位置情報や入力情報などが含まれると思われるが、具体的なことが不明なのでオフにする。「設定アプリでおすすめのコンテンツを表示する」をオンにすると、さまざまな形式でコンテンツが提供されるので、個人情報が深掘りされると思われる。

タイトルは無難だが裏側で大量の情報収集

図9の画面で、「Windowsのアクセス許可」の項目の下のメニューに、「音声認識」と「手書き入力と入力の個人用設定」という一見無難な2つの項目がある。これらの項目をクリックすると、「音声認識」と「手書き入力と入力の個人用設定」というタイトルの画面が表示され、音声と手書きによる入力情報収集に対してオン、オフの設定をできる。説明があいまいなので分かりにくいが、両項目をオンにすると、音声と手書きやタイピングで入力された、メール・アドレス、パスワード、スケジュール、音声や手書きの個人パターン、入力した履歴などが、マイクロソフトへ送られると思われる。

これらの情報を把握することによって、マイクロソフトによる検索結果の予測やユーザー辞書の効率化が進む。ユーザーの興味や関心が割り出され、広告宣伝を含めてユーザーに合ったサービスが提供される。
マイクロソフトは、個人の特定が不可能になるようにデータ処理がされる、と述べている。けれども、送られる情報が多岐にわたるので、完璧なセキュリティが存在しないネットでは、設定に注意が必要だ。便利さよりもセキュリティを重んじるならば、「音声認識」も「手書きなどによる入力」もオフにしたほうがよい。

Windows10で活躍したAIアシスタントのCortanaは、Windows11ではデフォルトでオフになっている。

位置情報、通話、メールへアプリがアクセス
図11.アプリを通しての個人情報アクセス

「スタート」>「設定」>「プライバシーとセキュリティ」とクリックし、「プライバシーとセキュリティ」のメニュー画面を開く。メニューを下へスクロールし、「アプリのアクセス許可」の項目の下にあるメニューから「位置情報」をクリック。表示された図11の画面で「情報位置サービス」をオフにすれば、その下にリストアップされている「3Dビューアー」、「Skype」、.....、「カメラ」、「Webビューアー」、「マップ」、「メール/カレンダー」、「天気」などの多種多様なアプリのアクセスをオフにできる。

個々のアプリについてオン、オフ設定をするには、「情報位置サービス」とその下にある「アプリに位置情報へのアクセスを許可する」をオンにしてから、各アプリ毎にオン、オフ設定をする。

図11の画面上部の説明が分かりにくい。「情報位置サービス」をオフにしても、メディア(CDなど)を使ってインストールするデスクトップ・アプリが、位置情報を使用する可能性がある。また、デバイスの位置を特定できるサードパーティ・アプリがある。支援が必要な非常時には、設定とは関係なくWindowsがユーザーの位置を特定する。

* * * * * * * *

サインインにおいて顔や音声で認証したり、Teams、Zoom、Skypeなどのビデオ通話を行う場合は、図9の画面を下へスクロールする。「カメラ」や「マイク」の項目を見つけてクリックし、「位置情報」と同じやり方でオン、オフの設定をする。
ユーザーが知らない間に、カメラやマイクを操作するサイバー攻撃があるので、必要がないならば「カメラ」と「マイク」をオフにしたい。

図9の「プライバシーとセキュリティ」のメニューをさらに下へスクロールし、「通知」、「アカウント情報」、「連絡先」、「カレンダー」、「通話履歴」などを順にクリックして、オン、オフを設定する。これらをオンにすると、自分の名前や画像などのアカウント情報、連絡先、カレンダーなどにアプリがアクセスできるようになる。アプリによっては、これらの情報が必要な場合がある。アプリを余り使わないユーザーはオフでよい。アプリ毎にオン、オフを設定できる。

メニューをさらに下へスクロールすると、「メール」、「タスク」、「メッセージング」、「無線」などの項目が現れる。それらをオンにすれば、アプリがユーザーにアクセスして、メールやSMSを読み取り、無線を制御し、送信し、必要のないワイヤレス・デバイスと情報のやり取りをする可能性がある。 これが意味するところを完全に理解し、必要と判断する場合にのみオンにする。通常はオフにしたい。


広告(Googleアドセンス)