「Defender」だけじゃない Windows標準セキュリティ対策3選

“Windows標準”のセキュリティ対策機能を紹介する。なかなか進まないセキュリティ対策、まずはここから始めてみるのはいかがだろうか。

[村田知己，キーマンズネット]

　企業のセキュリティインシデントが後を絶たない。東京商工リサーチの調査によると、2022年に上場企業とその子会社で個人情報の漏えい・紛失事故を公表したのは150社、事故件数は165件となり、社数・事故件数ともに2012年の調査開始以来最多となった（注1）。

　多くの企業が何らかのセキュリティ対策製品を導入する中、実は「Windows」の標準機能で対策できる部分も多い。

　本稿では、企業が導入すべき3つの“Windows標準”セキュリティ対策を紹介する。

まずはここから　Windows標準のセキュリティ対策3選

BitlockerとPIN

　「BitLocker」はディスクを暗号化する機能で、Windowsの「Pro」「Enterprise」「Education」であれば無料で使える。

　PIN（6〜20桁の数字）を正しく入力しないとOSが起動しないように設定でき、PCを紛失したり、盗難に遭ったりしてもデータを読み取られるリスクが減る。

　大塚商会の湯浅 しおり氏によると、PINの入力はOS起動前のためパスワードクラックツールが利用できず、破るのは難しいという。強固な反面、PINを忘れると厄介だが、その場合は48桁の回復キーを利用して復元できる（注2）。

Active Directory

　「Active Directory」（以下、AD）は、従業員のIDとパスワードを一元管理し、連携するサーバやサービスへの認証を行う「Windows Server」の標準機能だ。

　湯浅氏によれば、攻撃者がVPN装置にアクセスできたとしても、ADに正しいユーザーだと認められないと社内ネットワークに接続できないため、不正アクセス対策になるという。ユーザーにパスワードを複雑にさせたり、前回ログイン時のユーザー名を非表示にしたり、パスワードの入力ミスでロックしたりといった機能でさらにセキュリティを強化できる。

　「内部不正対策にもADが役に立つ」と同氏は述べる。ADを用いれば従業員の入社時、退職時のアカウントの処理を一括で行えるため、退職者が情報にアクセスしてしまうことも起きにくい。個人や所属部署ごとにアクセス権限を設定でき、一部の従業員にしか見せられない情報がある場合も便利だ。

　ただし、これだけでは現役の従業員が情報漏えいに加担するケースには対応できない。こういった内部不正を防ぐには、ADでなりすましを防ぎつつ、「LanScope Cat」や「SKYSEA Client View」といったPCログ管理システムの導入が必要だと湯浅氏は指摘する。

Windows Hello

　「Windows Hello」はPINまたは生体認証でログインする機能で、Windows10・11の標準機能だ。ADと組み合わせることもでき、万が一PINが流出しても、別のPCではADの認証が通らないためログインできない。

　対応デバイスがあれば、指紋認証や顔認証も利用できる。湯浅氏によれば、これらの生体認証はセキュリティ向上というよりも利便性向上が目的のため、生体認証が通らない場合でもPINでログインできる。ちなみに筆者のPCでもWindows Helloの生体認証を利用しているが、指紋、顔ともにスムーズに認証でき便利だ。

導入支援サービスも

　今回紹介した機能はどれもWindowsの標準機能だが、設定の難易度が高い場合もあるだろう。そういった企業のために、これらの機能の導入支援サービスを提供する企業もあり、大塚商会はBitlockerやWindows Helloの導入設計・設定サービス、ADの導入支援サービスなどを提供している。

　「セキュリティ強化が必要だけど、どこから手を付ければいいか分からない……」そんな企業は、本稿で紹介した対策から始めてみてほしい。

本稿は、大塚商会が2023年2月21日に開催したセミナー「テレワーク向けセキュリティ強化がWindowsの標準機能でここまでできる！　やさしく解説します」の内容を編集部で再構成した。

注1：個人情報漏えい・紛失事故 2年連続最多を更新 件数は165件、流出・紛失情報は592万人分 〜 2022年「上場企業の個人情報漏えい・紛失事故」調査 〜（東京商工リサーチ）

注2：WindowsでBitLocker回復キーを見つける（Microsoft）