「Windows 11」はどこまで“安全”なのか？ Microsoftが明かす次なるセキュリティ

サイバー攻撃が高度化、広範囲化する中で、OSレベルのエンドポイントセキュリティはどうあるべきか。MicrosoftがWindows11で考えるこれからのセキュリティについて解説する。

[キーマンズネット]

　「Windows 11」には実証済みの暗号化機能や、マルウェアに対する保護機能を標準で備える。Microsoftが公開した情報を基に、Windows 11におけるMicrosoftのセキュリティに対する考え方や、ハードウェアのベースの保護機能について解説する。

（出典：MicrosoftのWebサイト）

なぜTPM 2.0は必要なのか？　ゼロトラストとの関係

　米国国立標準技術研究所（National Institute of Standards and Technology：NIST）や米国土安全保障省（Department of Homeland Security：DHS）によると、ハードウェアやファームウェアを標的としたサイバー攻撃は増加傾向にある。また、Microsoftは「ファームウェアへの攻撃を受けたことがある企業の割合は83％に上るのに対して、攻撃を防御しようと対策を講じる企業の割合は29％にすぎない」としている。

　Windows 11は、こうした外部脅威に対する保護機能を標準で備える。同機能を支える要素が、今回インストール条件に加わったTPM（Trusted Platform Module）で、「Root of trust（ルート オブ トラスト）」と呼ぶ、暗号システムやセキュリティシステムが正しく機能するために必要な、改変不可能な構成要素だ。

　Windows 11では、TPM 2.0を「BitLocker」や「Windows Hello」といった機能に活用している。BitLockerは、ストレージの暗号化機能で、Windows Helloは生体認証によってパスワードを使わずにWindowsにサインインする機能だ。企業向けの「Windows Hello for Business」では、IT管理者が認証方法を細かく制御でき、クラウドツール間の通信を保護する。コンシューマー向けのWindows 11では、標準でパスワードレスになる。

　さらにTPMは、ゼロトラストセキュリティにも使われる。その一例がWindows 11が標準で対応する「Microsoft Azure Attestation」（MAA）だ。これはプラットフォームの信頼性と、そこで実行されるソフトウェアの整合性を検証する構成証明サービスで、ハードウェアが設置されている場所や、稼働している仮想マシンの構成などを証明する。これにTPMが使われる。

　Windows 11では、仮想化などセキュリティに関する機能を備えたCPUの利用を必須としている。それは、仮想化ベースのセキュリティ「Virtualization Based Security」（VBS）や、ハイパーバイザーで保護されたコード整合性「Hypervisor Code Integrity」（HVCI）、ハードウェア強制型のスタック保護機能「Hardware-enforced Stack Protection」といった機能に必要だからだ。これらは「Windows 10」にも実装されていたが、Windows 11では標準で有効にされる。Microsoftは、これらの機能によって、一般的なマルウェアやランサムウェアだけでなく、より高度な攻撃からも保護できるとしている。