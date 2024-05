Microsoftは5月20日(米国時間)、「New Windows 11 features strengthen security to address evolving cyberthreat landscape|Microsoft Security Blog」において、Windows 11に追加予定の新しいセキュリティ対策を発表した。これは「Secure Future Initiative」の取り組みに基づいたWindowsのセキュリティ強化プログラムとされる。

○Windows 11に組み込まれる新しいセキュリティ対策Microsoftが発表したWindows 11の新しいセキュリティ対策および強化策の概要は次のとおり。○安全なハードウェア「Microsoft Pluton security processor(以下、Microsoft Plutonと呼称)」がすべての「Copilot + PC」においてデフォルトで有効になる。Microsoft Plutonは、システムオンチップ(SoC: System on a Chip)のセキュアサブシステムと、セキュアサブシステム上で動作するMicrosoftのソフトウェアで構成されたセキュリティ技術。ゼロトラストを中核としており資格情報、ID、個人情報、暗号鍵を保護できる。また、「Copilot + PC」には「Windows Hello Enhanced Sign-in Security」が搭載されており、安全な生体認証サインインを可能にし、パスワードを不要にする。Windows Hello Enhanced Sign-in Securityは、他の互換性のあるWindows 11デバイスでも利用可能。○ローカルセキュリティ機関(LSA)これまで商用デバイスにおいてデフォルトで有効になっていたローカルセキュリティ機関(LSA)の保護を、新しい民生用デバイスにおいてもデフォルトで有効にする。有効になっていないデバイスをアップデートした場合は猶予される。ローカルセキュリティ機関の保護により、信頼できないコードのロードや、信頼できないプロセスによるLSAメモリーへのアクセスを防止して資格情報を保護する。○NTLM(NT LAN Manager)の非推奨2024年後半にNTLM(NT LAN Manager)は非推奨となる(参考:「Microsoft、Windowsの古い認証(NTLM)の廃止を発表 | TECH+(テックプラス)」)。将来的にNTLMは廃止される予定。○VBSを使用した鍵の保護強化現在Windows Insidersのパブリックプレビューで利用可能な「仮想化ベースのセキュリティ(VBS)を使用した鍵の保護強化」をサポートする。この機能により、パフォーマンス、信頼性、スケールの影響をほぼ無視して管理者レベルの鍵を保護できる。○Windows Helloの強化生体認証が組み込まれていないデバイスを使用している場合、Windows Helloはデフォルトで強化され、仮想化ベースのセキュリティ(VBS)を使用して認証情報を分離し、管理者レベルの攻撃から保護する。○スマートアプリコントロールMicrosoftが毎日収集する78兆のセキュリティシグナルを学習したAI(Artificial Intelligence)モデルを使用して、アプリが安全か予測する。安全なアプリは実行し、安全でないアプリの実行はブロックされる。なお、署名されていないアプリはブロックされる可能性が高くなる。○Win32アプリの分離Win32アプリはAppContainersとリソースの仮想化により分離される。現在この機能はプレビュー中だが、開発者コミュニティのフィードバックにより一般利用が可能になりつつある。○管理者権限をより安全に必要に応じてジャスト・イン・タイムの管理者権限を要求する。これにより、アプリが不意に管理者権限を悪用し、マルウェアや悪意のあるコードを展開することが難しくなる。アプリが管理者権限を必要とする場合、認証が求められる。○VBSエンクレーブ「仮想化ベースのセキュリティ(VBS)エンクレーブ」をサードパーティーアプリも使用可能になる。ソフトウェアによる信頼された実行環境を提供し、機密性の高いワークロードに対する強力な保護を提供する。○Windows保護印刷「Windowsの保護印刷モード(WPP: Windows Protected Print Mode)」をデフォルトの印刷モードにする予定(参考:「A new, modern, and secure print experience from Windows - Microsoft Community Hub」)。○TLSサーバ認証2048ビット未満のRSA鍵を持つTLS(Transport Layer Security)証明書は信頼されなくなる。○最後にMicrosoftはセキュリティをチームスポーツに例え、OEM(Original Equipment Manufacturing)、開発者、その他のエコシステムと提携することでデフォルトでも安全なWindowsを提供できると説明している。また、Windowsを安全な状態に維持するため「(PDF) Windows 11 Security Book: Powerful security by design」の閲覧を推奨している。