menu
ネタと話題 [ Story and Topics ]

Windows 10のセキュリティ性能について

Windows 10に搭載された「Windows Hello」は、顔や指紋、眼の虹彩などを使用したサインインを可能にする

[2016.04.18]

生体認証機能を搭載

 

  米マイクロソフトのWebサイトに、Windows 7とWindows 10のセキュリティを四つのカテゴリーで比較したチャートがある。その四つとは、「Identity Protection(認証)」「Data Protection(データ保護)」「Threat Resistance(脅威からの保護)」「Device Security(デバイス保護)だ。これらのカテゴリーにおいて、Windows 10は以下のような機能を提供、あるいは予定している。

 

・Identity Protection
Microsoft Passportの提供
Windows Helloによる認証
Microsoft Azure Active Directory連携

 

・Data Protection
BitLockerによるドライブの暗号化
Enterprise Data Protectionによる保護

 

・Threat Resistance
Device Guardの提供

 

・Device Security
Hardware-based security
UEFI Secure Boot

Windows Helloは、サインインのオプションから設定

指紋認証にも対応する

 

  すでにWindows 7から提供されているものもある。代表はBitLockerだろう。ただしWindows 10では、対応するエディションの範囲が拡大されている。Windows 7ではBitLockerはUltimateとEnterpriseエディションでしか利用できなかった。それが、Windows 10からは、ProとEnterpriseとEducationのユーザーが利用できるようになった。


  パスワードなしでサインインできる新しい生体認証のWindows Helloも、注目したいセキュリティ機能だ。ただし、このWindows Helloを使うためには、指紋や顔認証に対応したハードウェアが必要になる。そのため、Windows 10を搭載した新たなPCやタブレットを提案するときには、ぜひWindows Helloに注目して、その利便性を伝えると同時に、対応するデバイスを紹介すると効果的だろう。

法人向けセキュリティEDPに期待

ビジネス向けのWindowsストアが用意されている

 

  マイクロソフトが、Windows 10の企業向けのセキュリティ対策として、2015年の前半に頻繁に宣伝していた機能が、Enterprise Data Protection(EDP)だ。これは、モバイルデバイスに提供されているMDMのWindows 10版と呼べるセキュリティ機能で、PCにも対応している点が特長となる。その導入メリットについて、マイクロソフトの技術サイトでは、以下のように解説している。

 

・従業員が所有するデバイスと企業が所有するデバイスで、企業のデータを暗号化できる。

・管理されているコンピューター(従業員が所有するコンピューターを含む)から、個人データに影響を与えることなく、企業データをリモートで消去できる。

・従業員が明確に認識できる特権アプリと呼ばれる企業データにアクセスできる特定のアプリを選択できる。また、特権のないアプリが企業データにアクセスできないようにブロックできる。

・従業員は、企業ポリシーの適用時に、個人アプリと企業アプリの間で切り替える間に作業を中断されず、環境の切り替えも、複数回のサインインも必要なくなる。

 

  その保護のレベルは、4段階で設定されていて、以下のようになる。

 

ブロック…EDPが、不適切なデータ共有を探し、従業員の操作を停止する

オーバーライド…EDPが、不適切なデータ共有を検索し、不適切な操作を実行しているかどうかを従業員に知らせる。ただし、この保護のレベルでは、操作が監査ログに記録されるものの、従業員はポリシーをオーバーライドして、データを共有できる

監査…EDPがメッセージを表示せずに実行され、何もブロックせずに、不適切なデータ共有をログに記録する

オフ…EDPがアクティブではなくなり、データは保護されない

 

  このほかにも、デバイスのデータのリモート消去、コピーやダウンロードしたデータの自動暗号化、特権アプリの制御、データアクセスのレベル設定も可能だ。


  実際にEDPで、社員が利用する権限やアプリをコントロールしようとすると、社内で配布するためのWindows Store for Businessが必要になる。これは、ビジネス向けのWindowsストアで、企業がWindows 10アプリをまとめて取得したり管理して配布できる場所を提供するもの。利用するためには、Version 1511以上のWindows 10が必要になり、管理者はAzureのActive Directoryのアカウントでサインアップする必要がある。


  EDPは、企業でWindows 10を搭載したデバイスを包括的に安全に管理する上では、とても期待できるセキュリティ機能だ。完全な形で利用可能になれば、Windows 10のビジネス向けの提案の後押しになるだろう。

キーワードから記事を探す