Windows 11の新しいセキュリティ対策を発表、NTLMの非推奨など

2024年5月22日 15時33分

Microsoftは5月20日(米国時間)、「New Windows 11 features strengthen security to address evolving cyberthreat landscape｜Microsoft Security Blog」において、Windows 11に追加予定の新しいセキュリティ対策を発表した。これは「Secure Future Initiative」の取り組みに基づいたWindowsのセキュリティ強化プログラムとされる。

New Windows 11 features strengthen security to address evolving cyberthreat landscape｜Microsoft Security Blog

○Windows 11に組み込まれる新しいセキュリティ対策

Microsoftが発表したWindows 11の新しいセキュリティ対策および強化策の概要は次のとおり。

○安全なハードウェア

「Microsoft Pluton security processor(以下、Microsoft Plutonと呼称)」がすべての「Copilot + PC」においてデフォルトで有効になる。Microsoft Plutonは、システムオンチップ(SoC: System on a Chip)のセキュアサブシステムと、セキュアサブシステム上で動作するMicrosoftのソフトウェアで構成されたセキュリティ技術。ゼロトラストを中核としており資格情報、ID、個人情報、暗号鍵を保護できる。

また、「Copilot + PC」には「Windows Hello Enhanced Sign-in Security」が搭載されており、安全な生体認証サインインを可能にし、パスワードを不要にする。Windows Hello Enhanced Sign-in Securityは、他の互換性のあるWindows 11デバイスでも利用可能。

○ローカルセキュリティ機関(LSA)

これまで商用デバイスにおいてデフォルトで有効になっていたローカルセキュリティ機関(LSA)の保護を、新しい民生用デバイスにおいてもデフォルトで有効にする。有効になっていないデバイスをアップデートした場合は猶予される。ローカルセキュリティ機関の保護により、信頼できないコードのロードや、信頼できないプロセスによるLSAメモリーへのアクセスを防止して資格情報を保護する。

○NTLM(NT LAN Manager)の非推奨

2024年後半にNTLM(NT LAN Manager)は非推奨となる(参考：「Microsoft、Windowsの古い認証(NTLM)の廃止を発表 | TECH+（テックプラス）」)。将来的にNTLMは廃止される予定。

○VBSを使用した鍵の保護強化

現在Windows Insidersのパブリックプレビューで利用可能な「仮想化ベースのセキュリティ(VBS)を使用した鍵の保護強化」をサポートする。この機能により、パフォーマンス、信頼性、スケールの影響をほぼ無視して管理者レベルの鍵を保護できる。

○Windows Helloの強化

生体認証が組み込まれていないデバイスを使用している場合、Windows Helloはデフォルトで強化され、仮想化ベースのセキュリティ(VBS)を使用して認証情報を分離し、管理者レベルの攻撃から保護する。

○スマートアプリコントロール

Microsoftが毎日収集する78兆のセキュリティシグナルを学習したAI(Artificial Intelligence)モデルを使用して、アプリが安全か予測する。安全なアプリは実行し、安全でないアプリの実行はブロックされる。なお、署名されていないアプリはブロックされる可能性が高くなる。

○Win32アプリの分離

Win32アプリはAppContainersとリソースの仮想化により分離される。現在この機能はプレビュー中だが、開発者コミュニティのフィードバックにより一般利用が可能になりつつある。

○管理者権限をより安全に

必要に応じてジャスト・イン・タイムの管理者権限を要求する。これにより、アプリが不意に管理者権限を悪用し、マルウェアや悪意のあるコードを展開することが難しくなる。アプリが管理者権限を必要とする場合、認証が求められる。

○VBSエンクレーブ

「仮想化ベースのセキュリティ(VBS)エンクレーブ」をサードパーティーアプリも使用可能になる。ソフトウェアによる信頼された実行環境を提供し、機密性の高いワークロードに対する強力な保護を提供する。

○Windows保護印刷

「Windowsの保護印刷モード(WPP: Windows Protected Print Mode)」をデフォルトの印刷モードにする予定(参考：「A new, modern, and secure print experience from Windows - Microsoft Community Hub」)。

○TLSサーバ認証

2048ビット未満のRSA鍵を持つTLS(Transport Layer Security)証明書は信頼されなくなる。

○最後に

Microsoftはセキュリティをチームスポーツに例え、OEM(Original Equipment Manufacturing)、開発者、その他のエコシステムと提携することでデフォルトでも安全なWindowsを提供できると説明している。また、Windowsを安全な状態に維持するため「(PDF) Windows 11 Security Book: Powerful security by design」の閲覧を推奨している。

みんなの感想は？

Windows 11の新しいセキュリティ対策を発表、NTLMの非推奨など

外部サイト

ランキング

外部サイト

おすすめ記事

ランキング