現代のPCはさまざまな脅威にさらされています。被害を防ぐための新しい方法として注目されているのが、Windows 11に搭載されているハードウェアを活用したセキュリティ機能です。こちらを活用することで、情報漏洩などのリスクを下げることができます。
サイバー攻撃の脅威にさらされるノートPC
新型コロナウイルス感染症のパンデミック発生以来、“ニューノーマル”と称される新しい世界では、テレワークやリモートワークなどと呼ばれる自宅や外出先でのPCの利用が圧倒的に増えました。そうした環境下では会社が設置したネットワーク以外のオープンなネットワークに頻繁に接続するため、従来のファイアウォールの外で使われることが多くなっています。そのためノートPCは、常時サイバー攻撃の脅威に晒されていると言えます。
金品を要求されるサイバー攻撃
具体的には、ランサムウェア(データを人質にして金銭を要求する攻撃)やブルートフォース攻撃(総当たり攻撃)といった手法が流行しています。日本の企業でも外部ネットワークに接続しているPCから侵入を許し、ランサムウェアの攻撃に晒されてしまったという事例も出てきています。一度、侵入を許せば、巨額の金銭を要求され、データを奪われビジネスを継続することが不可能になる可能性があり、決して対岸の火事ではないというのが現実です。
新しいセキュリティ対策
サイバー攻撃に対する防衛策と言えば、従来はウィルス検出ソフトの利用が一般的でした。しかし、そうしたソフトウェアだけの対策ではもはや十分ではなくなりつつあります。そこで注目されているのが、そうしたソフトウェアの対策に、ハードウェアの対策を組み合わせる新しい方法です。
ソフトウェアはリモートからでも簡単にコピーしてインストールすることができるため、侵入者も同じ武器を利用できると言えます。それに対してハードウェアは、侵入者がコピーすることが不可能であるため、侵入者にとってはとても高い壁となるのです。それがハードウェアを組み合わせたセキュリティが注目されている理由です。
Windows 11で利用可能なハードウェアベースのセキュリティ機能
MicrosoftのPC用OS「Windows 11」には、そうしたハードウェアを活用した新しいセキュリティ機能が標準搭載されています。
TPMを利用したデータ暗号化
ディスクを暗号化するBitLockerは、PCに搭載されているTPM(Trusted Platform Module)という物理的なチップ(またはCPU)に内蔵されている暗号化鍵を利用してディスクを暗号化します。TPMの内部に物理的に侵入することも、ソフトウェア的に侵入することも難しいため、仮にノートPCが盗まれてもログインIDやパスワードが盗まれない限りはディスク上の情報にアクセスすること不可能で、非常に高い秘匿性を実現します。
仮想化による基幹プログラムの保護
また、Windows 11にはPCの心臓部であるCPUの仮想化機能を利用するVBS(Virtualization-based Security)、HVCI(Hypervisor-Enforced Code Integrity)と呼ばれる機能が用意されています。このVBS/HVCIは、OSを基幹部分であるデバイスドライバーが動作する領域とアプリケーションが動作する領域とを分離して実行することで、侵入者がOSの重要部分に侵入することを防ぐ仕組みです。
このため、仮に侵入者が作成したマルウェアをユーザーが知らない間にインストールしてしまっても、そのマルウェアを含むアプリケーションはOSが展開しているメモリの領域に不正にアクセスすることができなくなるため、OS自体が攻撃される可能性が低くなります。
セキュリティ機能を有効にするときのチェックポイント
ハードウェアベースのセキュリティを利用するには、Windows 11に対応したPC、具体的にはTPM機能を内蔵したCPUかTPMチップがPCに搭載されている必要があります。
OSのアップグレードでは対応できないことも……
Windows 11に対応したCPUは、OSベンダーであるMicrosoft社のWebサイトで公開されています。Windows 10からWindows 11へアップグレードする前に、下記のリストでアップグレードするPCのCPUがサポート対象であることを確認する必要があります。
https://docs.microsoft.com/ja-jp/windows-hardware/design/minimum/windows-processor-requirements
それに対してWindows 11がプリインストールされているPCの場合、TPM機能は標準搭載なので、そのまま利用することができます。
BitLockerやVBS/HVCIを有効にする方法
Windows 11がプリインストールされているPCの場合、BitLockerによる暗号化やVBS/HVCIなどのセキュリティ強化機能は有効、無効の2つの構成があります。有効になっていない場合には、管理者がツールを利用して有効にする必要があります。
Windows 11 Homeでも管理者ツールによる設定変更はできますが、より設定が容易なのは上位版のWindows 11 Proになります。例えば、VBS/HVCIの設定はWindows 11 Proのみで利用できるグループポリシーエディター(gpedit.msc)を使えば簡単に設定できます。また、管理する台数が多い場合にはMDM(Mobile Device Management)と呼ばれるOSのアクティベーション時に自動設定できる管理ツールを利用することで有効にすることも可能で、導入を検討してみるといいでしょう。
業務に使用しているアプリとの互換性について
注意したいのは業務で使用しているアプリケーションとの互換性とBitLockerの解除鍵の管理です。古いアプリケーションはVBS/HVCIと互換性がない場合があり、動作に問題が生じることがあります。このため、事前に自社で利用しているアプリケーションで動作に問題がないかを検証してからセキュリティレベルの変更を行いましょう。
また、BitLockerによるディスク暗号化を行うと、通常の利用であれば自動で暗号化解除されて利用できるのですが、何かの拍子にロックがかかり開くことができなくなる場合があるので注意が必要です。データを失うことを防ぐ為にも、設定変更前のロック解除の鍵やデータのバックアップは必須と言えるでしょう。
まとめ
Windows 11ではハードウェアとソフトウェアを組み合わせた強力なセキュリティ機能が用意されており、有効にするとサイバー攻撃に対して効果的な対策となります。
Windows 10からアップグレードしたPCに関してはハードウェアの要件に注意する必要がありますが、Windows 11プリインストールのPCでは標準で利用することが可能で、簡単な手順で有効にすることができます。また、Windows 11 Proでは管理ツールを使って有効にすることができるため、これから社内にWindows 11搭載PCを導入するときWindows 11 Proを選ぶメリットは大きいのではないでしょうか。
