― Defender・VBS・ゼロトラストを前提に考える
Windows 11を語るうえで、
セキュリティを避けて通ることはできない。
なぜならWindows 11は、
「セキュリティを強化できるOS」ではなく
「セキュリティを前提に設計されたOS」
だからだ。
第8回では、
Windows 11のセキュリティを「機能の集合」ではなく、
一貫したモデルとして理解することを目的とする。
Windows 11のセキュリティは“重い”のか
技術者の間でよく聞く不満がある。
Windows 11は重い
セキュリティのせいで遅い
これは半分正しく、半分誤っている。
Windows 11は確かに、
- 仮想化を多用し
- 常時監視を行い
- 多層防御を前提
としている。
しかしこれは、
後付けの負荷ではなく、設計に組み込まれたコストだ。
セキュリティモデルの中核はVBSである
Windows 11セキュリティの要が
VBS(Virtualization-Based Security)だ。
VBSは、
- ハイパーバイザを利用し
- OS内部に隔離領域を作り
- 重要情報を分離する
という仕組みで動作する。
VBSが守るもの
- 認証情報
- カーネル整合性
- セキュリティポリシー
つまり、
OSが侵入される前提で設計されている。
Credential GuardとHVCI
VBS上で動く代表的な機能が、
- Credential Guard
- HVCI(Hypervisor-Enforced Code Integrity)
だ。
Credential Guard
- LSASSを隔離
- パスワード/ハッシュの窃取防止
- Pass-the-Hash対策
HVCI
- カーネルモードコードの検証
- 未署名・改ざんドライバの拒否
- ルートキット対策
これらは、
従来型マルウェアを前提外に追い出す仕組みである。
Defenderは「アンチウイルス」ではない
Windows Defenderは、
もはや単なるアンチウイルスではない。
- リアルタイム保護
- 振る舞い検知
- クラウド連携
- 攻撃面の縮小(ASR)
これらが統合され、
EDRに近い役割を担っている。
技術者がやりがちな、
他社製AVを入れればOK
という発想は、Windows 11では通用しない。
SmartScreenと実行制御
Windows 11では、
- ダウンロード時
- 実行時
- スクリプト実行時
にSmartScreenが介在する。
これは単なる警告ではなく、
ユーザー操作を前提にしたセキュリティ境界だ。
「うるさい」と感じるのは、
OSが責任をユーザーに委ねている証拠でもある。
ゼロトラストとの親和性
Windows 11は、
ゼロトラストセキュリティと非常に相性が良い。
- デバイス信頼性
- ユーザー認証
- 状態ベース評価
これらを組み合わせることで、
「安全な端末しかアクセスできない」世界を実現できる。
これは、
社内だから安全
という発想の完全否定だ。
技術者が理解すべきトレードオフ
Windows 11のセキュリティは万能ではない。
- 古いドライバが動かない
- 仮想化と競合することがある
- パフォーマンスに影響が出る場合もある
重要なのは、
「切る」か「受け入れる」かを意識的に選ぶことだ。
無意識に無効化するのが、
最も危険な選択になる。
個人・開発・企業環境での考え方
個人環境
- 基本ON
- 不具合時のみ部分的に調整
開発環境
- 仮想化競合に注意
- 必要に応じて検証環境を分離
企業環境
- 原則フル有効
- ポリシーで一元管理
Windows 11は「守るOS」から「壊されにくいOS」へ
Windows 10までの発想は、
攻撃を防ぐ
Windows 11では、
攻撃されても致命傷を避ける
に変わっている。
この変化を理解できないと、
Windows 11は「使いにくいOS」にしか見えない。
次回予告
第9回:ストレージ管理とFile Explorerの内部動作
― OneDrive統合は、何を便利にし、何を見えにくくしたのか。
コメント