Windows 11の新しいセキュリティ対策を発表、NTLMの非推奨など
Microsoftは5月20日(米国時間)、「New Windows 11 features strengthen security to address evolving cyberthreat landscape|Microsoft Security Blog」において、Windows 11に追加予定の新しいセキュリティ対策を発表した。これは「Secure Future Initiative」の取り組みに基づいたWindowsのセキュリティ強化プログラムとされる。
○Windows 11に組み込まれる新しいセキュリティ対策
Microsoftが発表したWindows 11の新しいセキュリティ対策および強化策の概要は次のとおり。
○安全なハードウェア
「Microsoft Pluton security processor(以下、Microsoft Plutonと呼称)」がすべての「Copilot + PC」においてデフォルトで有効になる。Microsoft Plutonは、システムオンチップ(SoC: System on a Chip)のセキュアサブシステムと、セキュアサブシステム上で動作するMicrosoftのソフトウェアで構成されたセキュリティ技術。ゼロトラストを中核としており資格情報、ID、個人情報、暗号鍵を保護できる。
また、「Copilot + PC」には「Windows Hello Enhanced Sign-in Security」が搭載されており、安全な生体認証サインインを可能にし、パスワードを不要にする。Windows Hello Enhanced Sign-in Securityは、他の互換性のあるWindows 11デバイスでも利用可能。
○ローカルセキュリティ機関(LSA)
これまで商用デバイスにおいてデフォルトで有効になっていたローカルセキュリティ機関(LSA)の保護を、新しい民生用デバイスにおいてもデフォルトで有効にする。有効になっていないデバイスをアップデートした場合は猶予される。ローカルセキュリティ機関の保護により、信頼できないコードのロードや、信頼できないプロセスによるLSAメモリーへのアクセスを防止して資格情報を保護する。
○NTLM(NT LAN Manager)の非推奨
2024年後半にNTLM(NT LAN Manager)は非推奨となる(参考:「Microsoft、Windowsの古い認証(NTLM)の廃止を発表 | TECH+(テックプラス)」)。将来的にNTLMは廃止される予定。
○VBSを使用した鍵の保護強化
現在Windows Insidersのパブリックプレビューで利用可能な「仮想化ベースのセキュリティ(VBS)を使用した鍵の保護強化」をサポートする。この機能により、パフォーマンス、信頼性、スケールの影響をほぼ無視して管理者レベルの鍵を保護できる。
○Windows Helloの強化
生体認証が組み込まれていないデバイスを使用している場合、Windows Helloはデフォルトで強化され、仮想化ベースのセキュリティ(VBS)を使用して認証情報を分離し、管理者レベルの攻撃から保護する。
○スマートアプリコントロール
Microsoftが毎日収集する78兆のセキュリティシグナルを学習したAI(Artificial Intelligence)モデルを使用して、アプリが安全か予測する。安全なアプリは実行し、安全でないアプリの実行はブロックされる。なお、署名されていないアプリはブロックされる可能性が高くなる。
○Win32アプリの分離
Win32アプリはAppContainersとリソースの仮想化により分離される。現在この機能はプレビュー中だが、開発者コミュニティのフィードバックにより一般利用が可能になりつつある。
○管理者権限をより安全に
必要に応じてジャスト・イン・タイムの管理者権限を要求する。これにより、アプリが不意に管理者権限を悪用し、マルウェアや悪意のあるコードを展開することが難しくなる。アプリが管理者権限を必要とする場合、認証が求められる。
○VBSエンクレーブ
「仮想化ベースのセキュリティ(VBS)エンクレーブ」をサードパーティーアプリも使用可能になる。ソフトウェアによる信頼された実行環境を提供し、機密性の高いワークロードに対する強力な保護を提供する。
○Windows保護印刷
「Windowsの保護印刷モード(WPP: Windows Protected Print Mode)」をデフォルトの印刷モードにする予定(参考:「A new, modern, and secure print experience from Windows - Microsoft Community Hub」)。
○TLSサーバ認証
2048ビット未満のRSA鍵を持つTLS(Transport Layer Security)証明書は信頼されなくなる。
○最後に
Microsoftはセキュリティをチームスポーツに例え、OEM(Original Equipment Manufacturing)、開発者、その他のエコシステムと提携することでデフォルトでも安全なWindowsを提供できると説明している。また、Windowsを安全な状態に維持するため「(PDF) Windows 11 Security Book: Powerful security by design」の閲覧を推奨している。
○Windows 11に組み込まれる新しいセキュリティ対策
Microsoftが発表したWindows 11の新しいセキュリティ対策および強化策の概要は次のとおり。
○安全なハードウェア
「Microsoft Pluton security processor(以下、Microsoft Plutonと呼称)」がすべての「Copilot + PC」においてデフォルトで有効になる。Microsoft Plutonは、システムオンチップ(SoC: System on a Chip)のセキュアサブシステムと、セキュアサブシステム上で動作するMicrosoftのソフトウェアで構成されたセキュリティ技術。ゼロトラストを中核としており資格情報、ID、個人情報、暗号鍵を保護できる。
また、「Copilot + PC」には「Windows Hello Enhanced Sign-in Security」が搭載されており、安全な生体認証サインインを可能にし、パスワードを不要にする。Windows Hello Enhanced Sign-in Securityは、他の互換性のあるWindows 11デバイスでも利用可能。
○ローカルセキュリティ機関(LSA)
これまで商用デバイスにおいてデフォルトで有効になっていたローカルセキュリティ機関(LSA)の保護を、新しい民生用デバイスにおいてもデフォルトで有効にする。有効になっていないデバイスをアップデートした場合は猶予される。ローカルセキュリティ機関の保護により、信頼できないコードのロードや、信頼できないプロセスによるLSAメモリーへのアクセスを防止して資格情報を保護する。
○NTLM(NT LAN Manager)の非推奨
2024年後半にNTLM(NT LAN Manager)は非推奨となる(参考:「Microsoft、Windowsの古い認証(NTLM)の廃止を発表 | TECH+(テックプラス)」)。将来的にNTLMは廃止される予定。
○VBSを使用した鍵の保護強化
現在Windows Insidersのパブリックプレビューで利用可能な「仮想化ベースのセキュリティ(VBS)を使用した鍵の保護強化」をサポートする。この機能により、パフォーマンス、信頼性、スケールの影響をほぼ無視して管理者レベルの鍵を保護できる。
○Windows Helloの強化
生体認証が組み込まれていないデバイスを使用している場合、Windows Helloはデフォルトで強化され、仮想化ベースのセキュリティ(VBS)を使用して認証情報を分離し、管理者レベルの攻撃から保護する。
○スマートアプリコントロール
Microsoftが毎日収集する78兆のセキュリティシグナルを学習したAI(Artificial Intelligence)モデルを使用して、アプリが安全か予測する。安全なアプリは実行し、安全でないアプリの実行はブロックされる。なお、署名されていないアプリはブロックされる可能性が高くなる。
○Win32アプリの分離
Win32アプリはAppContainersとリソースの仮想化により分離される。現在この機能はプレビュー中だが、開発者コミュニティのフィードバックにより一般利用が可能になりつつある。
○管理者権限をより安全に
必要に応じてジャスト・イン・タイムの管理者権限を要求する。これにより、アプリが不意に管理者権限を悪用し、マルウェアや悪意のあるコードを展開することが難しくなる。アプリが管理者権限を必要とする場合、認証が求められる。
○VBSエンクレーブ
「仮想化ベースのセキュリティ(VBS)エンクレーブ」をサードパーティーアプリも使用可能になる。ソフトウェアによる信頼された実行環境を提供し、機密性の高いワークロードに対する強力な保護を提供する。
○Windows保護印刷
「Windowsの保護印刷モード(WPP: Windows Protected Print Mode)」をデフォルトの印刷モードにする予定(参考:「A new, modern, and secure print experience from Windows - Microsoft Community Hub」)。
○TLSサーバ認証
2048ビット未満のRSA鍵を持つTLS(Transport Layer Security)証明書は信頼されなくなる。
○最後に
Microsoftはセキュリティをチームスポーツに例え、OEM(Original Equipment Manufacturing)、開発者、その他のエコシステムと提携することでデフォルトでも安全なWindowsを提供できると説明している。また、Windowsを安全な状態に維持するため「(PDF) Windows 11 Security Book: Powerful security by design」の閲覧を推奨している。
