Windows Defenderを巡る議論

PCの運用には、なんらかのセキュリティ対策ソフトの実行が必須である。個人PCでも会社で使う業務PCでも例外はない。だが、Windows 8のリリースあたりから、Windows OSのセキュリティ対策は付属のWindows Defenderで十分ではないか、という話がでるようになった。

さまざまな記事で議論されているが、結論からいうと「半分本当で半分ウソ」ということになる。もうすこし突っ込んでいうと「個人利用のPCでWindows 10/11を使っているならOS付属のセキュリティ機能(Windowsセキュリティ)とブラウザが持っている保護機能を有効にしていればOK。業務PCや端末はその限りではない」ということになる。

Defenderセキュリティスイーツの系譜

Windows Defenderは、2004年にマイクロソフトが買収したセキュリティベンダーの製品がベースとなっている。最初のバージョンは2005年にリリースされた。Microsoft AntiSpywareという名称だったが、翌年バージョン2で「Windows Defender」という名前が使われた。

Defenderの特徴のひとつは、マイクロソフトがWindows OS内蔵のアンチウイルスソフトとして無償でバンドルされたことだ。無償配布について複数のセキュリティベンダーは市場の独占につながると反発したが、有効化や利用はユーザーが設定可能で、サードパーティ製アンチウイルスを制限するものではないとして、Defenderのバンドルは続けられた。

現在、Windows Defenderは「Windowsセキュリティ」という機能名の中で、マイクロソフトのアンチウイルスソフトの名称のほか、セキュリティ対策のブランド名としても利用されている。例えばMicrosoft 365 Defenderは、エンタープライズ向けエンドポイント対策を統合したセキュリティスイーツの名称である。

以下、Windows Defender(または単にDefender)といった場合、アンチウイルスソフトとしてのDefenderのことを指す。

マイクロソフトがセキュリティソフトを提供する理由

セキュリティ対策ソフト、とくにマルウェアを検出・駆除するアンチウイルスソフトは、歴史的にサードパーティが提供してきた。ウイルス対策についてニーズと商機を見出したのが、マイクロソフトなどOSベンダーより先だったこともその理由のひとつだ。

だが、マルウェアが高度になってくると、アプリケーションとして侵入や攻撃に対策するより、OSの機能として対策するほうが効果的な場合が増えてくる。ウイルスの検知は、保存されているファイルの中身や実行中のメモリの中身などを検査する必要がある。これらの機能はファイルシステムやメモリ管理、ネットワークやストレージのデバイスドライバなど、OSがリソースを直接管理している機能と深くかかわる。

事実、アンチウイルスソフト製品は、攻撃に合わせて高度化・複雑化するにつれPCのパフォーマンスに与える影響が無視できない状態がでてくる。アンチウイルスをインストールすると、起動が遅くなった。スキャンが始まるとPCの反応が鈍くなる。といった問題を経験したことがあるだろう。

マイクロソフトは10年以上前から製品の開発プロセスにセキュリティ要件を組み込み、ソフトウェアライフサイクルでセキュリティ対策やメンテナンスを組み込んでいる。OSにセキュリティ機能を組み込むことはむしろ当然であり合理的だ。セキュリティ機能をうまく実装すれば、ユーザーアプリへのパフォーマンスの影響を抑えることもできる。

スマートフォンは、OSとセキュリティ機能を一体化した例としてわかりやすい。OSの機能とユーザーモードを厳密に分離し、アプリの実行制限、リソースのアクセス制御がPCよりも厳しくなっている。iOSではアプリのダウンロードサイトも公式なものに制限するなどしており、マルウェア感染が非常に困難になっている(これらの制限を無効にした「脱獄」端末を除く)。iPhoneが、ブラウザのフィルタリングさえしっかり行っていればアンチウイルス不要といわれるのはこのためだ。

端末側対策はほぼ全部入りのWindowsセキュリティ

Windows10/11の「Windowsセキュリティ」には現在、以下の機能がデフォルトで搭載されている。

  • ウイルスの脅威と防止:マルウェアの検知と駆除
  • アカウントの保護:MicrosoftアカウントとWindows Helloによるデバイスごとの個人認証機能
  • ファイアウォールとネットワーク保護:OSレベルの簡易ファイアウォール
  • アプリとブラウザの制御:マルウェア・攻撃サイトの遮断やマルウェア実行を抑制するメモリ保護機能
  • デバイスセキュリティ:セキュアブート、TPMによるプロセッサの暗号化
  • デバイスのパフォーマンスと正常性:リソースの状態管理とシステムの整合性チェック
  • ファミリーオプション:ペアレンタルコントロール機能

簡単にいえば、アンチウイルス、ファイアウォール、アカウント管理、暗号化、不正アプリの実行保護、ブラウザのフィルタリング、基本的なアクセス制御機能がほぼそろっている。アカウント管理のWindows Helloは、指紋や顔認証のような生体情報、PINコードなど、デバイスごとに完結できる認証により、クラウドに保存されるMicrosoftアカウントの認証とは別のレイヤでの保護機能を実現している。

クラウド上の認証情報は、ネットワーク越しにアクセスできるが、デバイスに保存されたPINコード、生体認証情報は、そのデバイスと本人がそろわないとアクセスできないため、多要素認証、追加認証に必須のセキュリティ要件となっている。

Windowsセキュリティは、さまざまな保護機能が実装され、そのうちの多くがデフォルトで有効化されている。高度なセキュリティソリューション、クラウドセキュリティ、あるいはSOCを使ったセキュリティ監視のような業務システム全体、業務ネットワーク全体のセキュリティ対策までは対応していない。だが、PCとそのOSができるセキュリティ対策のほとんどをカバーしている。

市販セキュリティソフトと大差ない性能

Windows 8以降、マイクロソフト製品のセキュリティ機能の強化が進み、このあたりからWindows Defenderのマルウェア検知率や防御率が、市販のセキュリティ製品とそん色がなくなってきた。Windowsセキュリティで高度な保護機能も実装されるようになり、セキュリティの専門家からも「Defenderで十分」という声があがるようになった。

AV-Comparativesは定期的に市販のアンチウイルス製品のベンチマークや性能評価を公表している。そのレポートでもWindows Defenderのマルウェア検知率は98.8%、防御率は99.96%、誤検知率(Fales Positive:偽陽性)でも高い性能を示している。

アンチウイルス製品の検知率評価(AV-Comparativesレポートより筆者作成)

表では、オフライン時の検知率が60%と市販製品に比べて劣っている。現在のアンチウイルスソフトの多くは、パターンファイルの更新を1日、半日など頻繁に行っている。世界中で検知される新しいマルウェア(亜種を含む)は秒単位で増えている。ベンダーのパターンファイルも、世界中のラボから検体が送られ、分単位でアップデートされる運用が普通だ。オフラインの検知が落ちるのは、PC内部で保存されるパターンファイルのサイズが小さい、更新頻度が低いといった理由が考えられる。

ESETなど、パターンファイルに依存しない検知手法を採用しているベンダーの製品は、オフライン、オフラインでも同じ検知率だ。パターンファイルに依存しない検知とは、AIを使ったり統計学や確率論を利用したアルゴリズムなどで実現されている。

Defenderの意味は個人と業務利用で異なる

マルウェアの検知やブロックでいえば、Defenderを有効にしていれば市販のアンチウイルスソフトをインストールする必要はなさそうだ。オフラインで検知率が落ちるとはいえ、いまどきオフラインでPCを使う状況は限られるだろう。これが冒頭に述べた「個人PCならDefenderで十分」という理由だ。

しかし、業務利用の場合はそう単純な話ではない。個人利用ならPCの外はプロバイダーのネットワークであり守る範囲はWindowsセキュリティのカバー範囲と大きく変わらない。業務PCは業務システムの一部であって、かかわるシステムは業務サーバーやイントラネット、インターネット、さらに近年では自宅やリモート環境も含まれる。

セキュリティはクラウド環境を含む企業システム全体で考える必要がある。サーバーやPC、モバイルデバイスなど、エンドポイントでのセキュリティ対策、ネットワーク監視、サーバーのログ監視はいまや必須ともいえる。リモート接続での認証処理、リスクベース認証など機動的な認証やアクセス制御にも対応する必要がある。アプリの実行や外部サイトのアクセス制御も欠かせない。

これらは、UTMSIEMといった統合ソリューション、SOCのような監視ソリューション、IDS/IPSなどの境界防衛ソリューションとの組み合わせと業務システムとの連携が原則となる。システム構成によっては、Windows Defenderを利用するより、ITシステム全体の中でアンチウイルスやセキュリティ対策ソフトを考える必要があるだろう。