Windows 10 は、セキュリティ面で、いくつかの思い切った修正を行っていますが、これをまとめてご紹介する機会があまりないと考えていたところ、米国の Windows 10 のサイトに掲載された、”Protection against modern security threats” として、Windows 10 のセキュリティ面の取り組みと、その背景がよい粒度感でまとめてありました。正式な翻訳を待ってもよいのですが、自分でも内容を把握したかったため、参考訳を作りました。
攻撃に対応し続けるプラットフォームとして、現在のセキュリティ状況をどう見ているのかが、よく表れていると思うので、こちらの BLOG で参考訳として公開をさせていただきます。
Designed to be the most secure Windows yet
これまでにないセキュリティレベルを実現した Windows 10
Protection against modern security threats
個人的な参考訳by CSA 高橋 正和
https://www.microsoft.com/en-us/windowsforbusiness/windows-security
現代のセキュリティに対する脅威からの保護
今日の脅威に立ち向かうためには、これまでの延長線上のアプローチではなく、新しいアプローチが必要です。Windows 10は、カーネルなどのシステムの内面から、ネットワークやユーザーインターフェースなどの外面に至る包括的な保護機構を実装することで、単に境界領域での対策を強化するだけでは見込めない、効果の高い構造上の変革を行いました。
セキュリティ上の脅威の進展を直視すれば、だれもが不安をいだかざるえません。企業は、悪戯や個人的な利益を求める、個人や小さなグループからの攻撃と戦ってきましたが、現在では、利益を求める、豊富な資金を持った犯罪組織からの攻撃に直面しています。これらの犯罪組織は、明確な目的に基づいた、秘密結社を組織することで、これまでになく高い攻撃能力を獲得しています。
現在は、攻撃者側にアドバンテージがあるという厳しい状況にあります。組織が攻撃の標的となった場合、攻撃者があなたのネットワークに侵害できるかどうかは問題ではなく、どれだけ迅速に侵害できるかが問題となります。さらに、侵入の発見に、数か月を要することも珍しくないことに加えて、復旧にあたっても同様の期間を必要とします。
Windows 10
Windows 10では、プラットホームの重要な構造的変更を行っています。多くの変更は、あなたが経験しているかもしれない、よく知られた攻撃手法への対策です。この取り組みは、単に攻撃の難易度を上げるだけではなく、攻撃手法によっては、完全に攻撃を阻止するものです。Windows 10では、この目的を達成するため、「ユーザー・アイデンティティ」、「情報」、「デバイス」をハッキングとマルウエアの脅威から保護するために、最新ハードウェア技術の優位性を最大限活用する必要がありました。
- 安全なデバイス
- 認証情報の保護
- 情報の保護
- 脅威への対応
安全なデバイス(Secured Devices)
Windows 7では、安全に利用いただくための重要なステップとして、多数の技術的な変革に取り組みました。しかし、現状においては単に攻撃が多少難しくなったという結果にすぎませんでした。現在のセキュリティ上の難問に立ち向かうためには、最新ハードウェア技術の優位性を活用することが不可欠です。Windows 10は、普及が進む新しいテクノロジーを活用し、プラットホームの重要な構造上の変革を行いました。
デバイスの一貫性(Device Integrity)
マルウエアやハッキングとの戦いにおいては、ハードウェアとオペレーティングシステムのブートプロセスを保護する必要があります。Windows 8に先立つシステムでは、これは克服ができない困難な課題でした。ブートキットやルートキットと呼ばれるマルウエアは、オペレーティングシステムが起動する前に動き始め、PC等のデバイス全体を支配下に置くことで、すべてのセキュリティシステムを無効にすることができました。しかし、Windows 8以降のWindows対応ハードウェアに実装されている、UEFI Secure Bootと呼ばれる機能により、電源を投入してから電源を切るまで、オペレーティングシステムとファームウェアの一貫性を維持することで、ブートキットやルートキット対策ができるようになりました。
Read: Controlling the health of Windows 10-based devices
暗号化プロセス(Cryptographic processing)
利用者による違反行為が避けられない現状では、機密性が特に高い情報(暗号鍵や認証情報等)を確実に保護するためには、ハードウェアの利用が不可欠です。Windowsは、標準技術であるTrusted Platform Module(TPM)を使用して、機密性の高い情報を生成します。TPMは、Oから分離されたハードウェア環境で稼働するため、OSに対する攻撃の影響を受けません。Windows 10では、UEFI Trusted Boot等の機能が、TPMを利用することで、システムが正規状況にあり、改変がないことが検証できます。Windows 10 TPMは、ネットワークに接続するPC等のデバイスが改変されていない健全なシステムであることを検証し、検証結果に基づいた条件付きアクセス制御を可能とします。TPMはコンシュマー向け、企業向けの双方のデバイスで普及しており、標準技術として、世界中の国(例えばこれまで規制をされていた中国とロシアを含む)で利用することができます。
Read: Trusted Platform Module Technology Overview
Read: What’s new in Trusted Platform Module?
仮想化(Virtualization)
Windows10におけるプラットホーム・セキュリティ戦略の中核は、ハードウェアを活用し、機密性の高い情報や機能をオペレーティングシステムから分離することにあります。Windows 10では、これまでWindowsサーバで取り組んだ仮想化技術を取り入れました。クライアントシステム上で仮想化技術を利用することで、これまでとは異なるレベルのセキュリティを提供できるようになりました。Hypervisor技術を使ったVirtualization-Based Security(VBS)により、最も重要でセンシティブなWindowsプロセスを、Windowsカーネルそのものが侵害されても、安全が担保される独立した環境に移行しました。Windows 10では、VBSはDevice GuardとCredential Guardのようなマルウエアやハッカー用ツールによる侵害を阻止するための技術に利用されています。
Watch: Windows 10 Virtual Secure Mode with David Hepkin
バイオメトリックセンサー(生体認証装置:Biometric sensors)
Windows プラットホームでは、以前からバイオメトリクスをサポートしてきましたが、単に便宜を提供する機能に留まっていました。つまり、ユーザー名とパスワードによる認証機構を使いやすくしただけのもので、バイオメトリクスで実現できる高いレベルの保護機構は提供されませんでした。この状況は、Windows 10が提供するMicrosoft PassportとWindows Helloにより一新されました。これらの技術は、企業レベルで展開するスマートカードと類似していますが、指紋、顔認証、虹彩認証などのバイオメトリックベースのテクノロジーの優位性を活かした、多要素認証機能を提供するものです。指紋認証機能や顔認機能(Intel Real Sense等)をもつデバイスは、Microsoft PassportとHelloをすぐに活用することができます。コンシュマー向け、企業向けを問わず、OEMから提供される新しいデバイス技術は、Windows上でのバイオメトリックの利用を促進していきます。
認証の保護(Identity Protection)
ネットワーク侵害を試みる際には、認証情報の搾取とマルウエアの感染(多くの場合は両方)が、主要な成功要因です。これらの攻撃手法への対策を怠ることは、攻撃者の侵害を容易に許すことにほかなりません。
認証情報を保護するためには、まず、パスワードのような一要素認証から、多要素認証に移行する必要があります。そして、シングルサインオンで利用する派生認証情報(ハッシュ、チケット等)の保護が必要です。これまで、多要素認証を実現するためにはハードウェアを追加する必要がありましたが、Windows 10では、ハードウェアを追加せずに、利用、展開、管理が容易な認証保護技術を提供します。このような決定的なセキュリティソリューションが提供されることは稀ですが、Microsoft Passport、Windows Hello, Credential Guardにより、容易に利用することができます。
Microsoft Passport
既に一要素認証が機能せず、パスワードによる保護が容認できないことは明らかで、フィッシング、推測、盗難を通じて簡単に悪用されています。実際のところ、2014年には、ある犯罪組織が12億のユーザー名とパスワードの組合せを盗み出したと公表しました。世界中の実オンライン利用者数を考えると、パスワードによる保護が期待できないことは明らかです。
この問題を解決するには、スマートカード等の多要素認証が必要とされていますが、高価で、展開が難しく、使い勝手も厄介だという問題があります。加えて、利用者が使いたいと思うような最新のデバイス(ウルトラモバイル、ライト、電話等)では利用できない問題もあります。もう一つの課題は、公開鍵基盤(PKI)を必要とする点です。PKIの展開は、PC等の端末の管理に相当な複雑さをもたらすことになります。
Windows 10では、多要素認証を利用する上で鍵となるこれらの課題に対して、スマートカードの特性をすべて持ちながら欠点を取り去った、Microsoft Passportによって取り組んでいます。たとえば、Microsoft Passportは、すでにご利用になっているPCやWindows Phoneを、多要素認証の一要素として使用することができます。トークン、カード、リーダーなどの追加のデバイスは必要ありません。Microsoft Passportを、PKI上で利用することもできますが、PKIを展開しなくても利用できます。このため、コンシュマー、中小規模の企業、ユーザー認証インフラをシンプルにしたいと考える大企業においても、ご利用いただくことが可能です。
Read: Microsoft Passport overview
Read: Manage identity verification using Microsoft Passport
Read: Implement and manage Microsoft Passport in your organization
Windows Hello
Microsoft Passportは、新しい二要素認証ソリューションですが、二要素のうちの一つ目の要素です。二番目の要素として、PINコードまたは、バイオメトリクス・センサーを使った指紋、顔、虹彩を使った認証を利用します。このバイオメトリクスを使った認証方法をWindows Helloと呼んでいます。
Windows Helloは、Windows 10デバイス、アプリ、オンラインサービスにサインインするより簡単な方法です。カメラを少し見つめたり、指紋センサーにタッチするだけで、ユーザーを認証し、必要とするアクセス権限を付与します。これまでに登場した多くのバイオメトリック技術とは異なり、Windows Helloは企業レベルのセキュリティを持ち、利用者のバイオメトリックデータとプライバシーを守るための、成りすまし対策を有しています。指紋センサー付きの既存のデバイスはWindows Helloをご利用いただくことが可能です。そして、顔認証(赤外線カメラ等)のおよび虹彩認知技術を実装した新しいデバイスは、すでに市場に出回っています。Windows Helloとバイオメトリックは、真にWindowsデバイスの主流となる準備が整っています。
Watch: Making Windows 10 More Personal With Windows Hello
Read: Say “Hello” to Windows Hello on Windows 10
Read: Making Windows 10 More Personal and More Secure with Windows Hello
Read: Windows Hello and privacy: FAQ
Credential Guard
ユーザーをMicrosoft Passportの等の多要素認証ソリューションへ移行することは、認証情報を保護するための重要な一歩となります。次のステップとして、シングルサインオンで利用される派生認証情報(ハッシュ、チケット等)を保護することが、同様に重要な取り組みとなります。派生認証情報は、機密性が高い情報であるにも関わらず、容易に盗むことが可能です。攻撃者は、この情報を悪用することで、ユーザー名とパスワードを使わずに、ユーザーへの成りすしや、多要素認証デバイスへのアクセスが出来てしまいます。この攻撃には、デバイスに対する管理者権限を奪取する必要がありますが、攻撃者は脆弱性やマルウエアを使って管理者権限を手に入れます。この撃手法は、Pass the Hashやチケット攻撃とよばれるもので、多くのサイバー攻撃で悪用されています。
Windowsは、この攻撃への対策を提供してきましたが、決定的な対策とはなりませんでした。しかし、Windows 10においては、Credential Guardを実装することで、この状況を一変させることが出来ました。Credential Guardは、Virtualization-Based Security (VBS)を使い、派生認証情報をWindowsオペレーティングシステムから分離することで、仮にオペレーティングシステムが完全に侵害を受けたとしても、派生認証情報を守ることができます。
情報保護(Information Protection)
突き詰めると、セキュリティは情報を保護することに他なりません。しかし、素晴らしいセキュリティ対策を実施していても、包括的な対策ではない場合には、対策を回避することができます。これは、情報保護戦略には、アイデンティティ保護と、マルウエアなどの脅威に対する強靭性が必要であることを意味します。
Windows 10は、この情報保護に対して、斬新で効果が高く強固な技術基盤を実装しました。これまで、情報保護のための3rdパーテのソリューションが必要とされましたが、Windows 10では、OSの一部として実装されています。
Windowsは、長年にわたって情報保護機能に取り組んできましたが、Office 365にRights Management Servicesを組み込んだことで、自社ドメインを超えて幅広い情報保護技術が利用できるようになりました。加えて、Windows 10では、BYODやクラウドなどの新しいトレンドに対する包括的な保護手法が追加されています。
BitLocker とEnterprise Data Protection
BitLockerは、デバイスの紛失や盗難の際にデータを保護するための優れたソリューションです。しかし、利用者が誤ってデータを漏えいするようなケースでは、データを保護することができません。この課題への対策として、新たにEnterprise Data Protection(EDP)が実装されました。EDPは、組織レベルでファイルレベルのデータ分離、封じ込め、アプリケーション管理、リーク保護を、実現することでビジネスデータを保護します。
EDPは多くのデータ流出対策技術とは異なり、デバイスがどこにあっても、利用者に意識させることなしに、ビジネスデータの保護することができるため、コンテナ・ベースのソリューションを使用するモバイル機器においても高い有効を発揮します。EDPは、ユーザーが使い慣れたWindowsの操作に組み込まれており、モードを変更したり、データ保護を目的としたアプリケーションを強要することなく、好きなアプリケーションを利用し続けることができます。
EDPが提供する機能は、ほとんどユーザー意識されることなく舞台裏で働き、シンプルでわかりやすいインタフェースを持つことから、好意的に受け止められるものと考えています。また、利用者がビジネス上の機密性の高いドキュメントや情報を、誤って個人的なドキュメントの保存場所に保存してしまうことや、一般に閲覧可能なWebサイトにコピー&ペーストしてしまうことによる、機密情報の漏洩から利用者を保護します。
Read: Protect BitLocker from Pre-Boot Attacks
Read: BitLocker: How to enable Network Unlock
Read: Enterprise Data Protection overview
Rights Management Services
Enterprise Data Protection(EDP)は、組織が必要とする情報漏えい対策として、情報分離を容易にする、堅牢な基盤を提供します。この基盤は、Office 365が提供するEDPとRMSを利用することで、さらに拡張することが可能です。EDPが提供するアプリケーションコントロールや、RMSによるドキュメントに対する操作制限(許可のない印刷や転送、コピー・ペーストの制限)ができます。Office365では、組織の外のアカウントであっても、同様に制限設定ができるようになりました。Office 365が提供するEDPとRMSは、組織が必要とするエンド・エンドのデータ流出保護を提供します。加えて、Windows 10とOffice 365を合わせて利用することで、容易に展開し、利用いただくことが可能です。
脅威への耐性(Threat Resistance)
今週も、フォーチュン50や政府に対する新らたな侵害が報道されることになるでしょう。これらの事件を通じて、マルウエアとハッキングの脅威に対する戦いが困難を極めることが、ようやく認識されるようになりました。大きな組織では、豊富なセキュリティ予算と優秀な人材も保有し、最新技術を使っていますが、それでも侵害に会うことは珍しくありません。多くの組織が、悪者を特定して排除するという、決して勝つことができないアプローチで戦っていることが、この現状の背景となっています。このようなモデルは、毎日、何十万種もの新しいマルウエアがリリースされる現状には対応できません。現在は、自らを変更することで検知を逃れるポリモーフィック型のマルウエアや、攻撃を行う直前に作成されるジャストインタイムのマルウエアにも対応する事が必要になっています。
Windows 10は、マルウエアやハッキングとの戦いの場を、システムを守るための全く新しいフィールドへと変えることができました。
SmartScreen
セキュリティは、境界領域の強化が最初のステップとなります。ブラウザ、メール・クライアント、他のアプリケーションを利用してインターネットに接続することで、境界領域は広大なスケールで試されることになります。Windows 10の、あまり目立たないが有益な機能のひとつがSmartScreenです。SmartScreenは、マルウエアなどの脅威を削除や隔離するものではなく、侵入を防ぐように設計され、脅威があなたのデバイスに触れる前に対処します。SmartScreenは、EdgeとInternet Explorerの利用者が、Webサイトにアクセスする際に、クラウドベースのインテリジェンスを使って、サイトの安全性を評価します。悪意がある、または疑わしいと判断されたWebサイトやアプリケーションは、ダウンロードの段階でブロックされることになります。
Microsoft Edge とInternet Explorer
エンドポイント(端末)への攻撃の多くは、ブラウザ(どんなブラウザでも)を攻撃の対象とします。脆弱性の悪用や、ユーザーをだますなど、様々な手段で悪意のあるWebサイトに誘導し、マルウエアをインストールします。しかし、Microsoft EdgeやInternet Explorerでは、SmartScreen技術により、このような脅威の大部分を防ぐことができます。
Microsoft EdgeとInternet Explorerは、脅威がデバイスに侵入する前に防御するテクノロジー基盤を持っています。
EdgeとInternet Explorerで最も効果的なセキュリティ機能は、App Containerと呼ばれるサンドボックス技術で、ブラウザをオペレーティングシステムやメモリ管理から分離する技術です。発見されたばかりの脆弱性への攻撃についても、攻撃を防ぐ仕組みを提供していています。
Microsoft Edgeは、これまで攻撃者が安全性の高いブラウザの攻略に悪用してきた、最大の攻撃ルート、VML, VBscript, Toolbar, ブラウザヘルパーオブジェクト(BHO)、Active-Xなどサポートを取りやめ、HTML 5と最新のブラウザに置き換えることで、この種の攻撃ができないようにしました。また、クラウドベースのインテリジェンスであるSmartScreenは、Office 365 Advanced Threat Protection(ATP)としも実装され、疑わしいリンクやバイナリ―を含んだメールが、メールボックスへ配信されることを防ぐために利用されます。
Read: Microsoft Edge: Building a safer browser
Read: Protecting Microsoft Edge against binary injection
Device Guard
Windows 7オペレーティングシステムで、脅威の大半は、アンチウイルスソフト等の検出システムが対応するものでした。しかし、1日に何十万もの新しい脅威がリリースされる状況では、アンチ・ウィルス・コミュニティが最新の脅威に追従することはできません。コミュニティの誰かが、感染を確認し、通知を行い、対策のためのアップデートが行われるまでに、多くの利用者が影響を受けています。
持続的な脅威(APT)では、悪意のあるアプリが特定の任務向けにカスタムメードされるため、アンチ・ウィルス・コミュニティがAPTについて知ることは、極めて難しいのが実情です。加えて、マルウエアを使用することなく攻撃を実施することもできます。
この難問への解決策は、現在の主要な防御方法である発見ベースから、脆弱性の影響緩和と、アプリケーションのコントロールに移行すべきです。Windows 10 Device Guard機能は、このアプローチに基づいて設計されており、これまでにないレベルで、ゼロディ攻撃対策とアプリケーションコントロールを提供します。システムコア(カーネルモード)を保護するためには、Device Guardは、仮想マシンベースのセキュリティ(VBS: Virtualization-Based Security) と、ハードウェアを利用することで、システム・コア(カーネル)の脆弱性を攻撃に悪用することを、大幅に制限(緩和)します。加えて、Device Guardは、未許可のソフトウェアをデバイスの上で実行すること防ぐ、ポリシーベースのコントロールを使用することで、デバイスをマルウエアから保護します。
Device Guardは、マルウエア等の脅威に対処する最も重要なアプローチの一つですが、Windows Defenderのような、これまでのマルウエア対策を完全に置き換えるものではありません。Windows Defenderは、メモリ内の攻撃(In-memory attack)等のDevice Guardが対応できない脅威をカバーすることによって、保護を強固なものにします。これらの取り組みが同時に機能することで、ハッキングとマルウエア対策を、高いレベルに引き上げることができます。
Read: Device Guard overview
Read: Device Guard certification and compliance
Read: Device Guard deployment guide
Read: Managing Windows 10 Device Guard with Configuration Manager
Windows Defender
利用者が脅威の対策を考えるとき、最初に思い浮かぶものの1つは、ウイルスとスパイウェアを検出するアンチマルウエア・ソリューションです。この種の脅威に対処するために、Windows 10は強力な企業レベルのアンチマルウエアあるWindows Defenderを含んでいます。被害(の件数と深刻度合)が拡大する現在の脅威状況に対して、本質的な対処を改善しています。
Windows Defenderは、毎日何十万もの新たな脅威に対する迅速な対応を行うため、膨大な規模のWindows クラウド・サービス、機械学習、世界的な研究チームを利用します。Windows Defenderでは、豊富なローカルコンテキストと、特権昇格などの疑わしい活動を検出する挙動分析技術を取り入れることで、脆弱性に対する攻撃と、メモリ内の攻撃を検知できるようになりました。企業が考慮すべきもうひとつの脅威は、潜在的に不必要なアプリケーション(PUA: Potential Unwanted Application)の検知です。PUAはシステムやアプリケーションにバンドル(同梱)されており、これをインストールすることで、ネットワークがマルウエアに感染するリスクを高めることになります。Windows Defenderは、ダウンロードとインストールのタイミングで、ユーザーをPUAから保護します。
Read: Windows Defender in Windows 10
Read: August Threat Intelligence report about Windows Defender in Windows 10
Read: Windows Defender: Rise of the machine (learning)
Read: Shields up on potentially unwanted applications in your enterprise
Trusted Boot
マルウエアを使う攻撃者のゴールは、システムの最下層にルートキットやブートキットと呼ばれるマルウエアを埋め込むことにあります。これにより、より多くの認証情報が取得できる上に、検出を逃れることが出来るためです。このため、デバイスのセキュリティにおいては、特にシステム・コア(例えば、ブートプロセス、カーネル、ドライバとプラットホーム・サービス)の一貫性を維持することが重要になります。Windows 10は、UEFI Secure Boot等のハードウェア・ベースの技術を使うことで、ブートキットやルートキットによるシステムへの侵害から保護します。UEFIは、Windows 8認定デバイスから標準的に装備されているもので、Windows自身が一貫性を検証するために不可欠な、信頼の起点を提供するものです。
UEFI Secure Bootは、デバイスのファームウェア・ベースのコンポーネントが安全であること、マルウエアではなく、本来のOSが最初に動くことを保証するために利用されます。一旦Windowsが安全に起動されると、Windows Trusted Bootは、Windows コアの一貫性の確保に利用され、もし、異常が見つかった場合は、自動的な回復作業により一貫性を取り戻します。おそらく脅威対策レイヤの中の最も面白い機能ではありませんが、信頼のための最も重要なものの一つです。Windows上で稼働するセキュリティ機能のすべては、システム・コアの一貫性に依存しています。UEFI Secure BootとTrusted Bootは、この一貫性を保証するために利用されます。
Device Health Attestation とConditional Access
Windows 10は我々がこれまでにリリースした最高に安全性の高いオペレーティングシステムですが、現実問題として、執拗な攻撃者がいる限りシステム防衛力がテストされ、ある日侵害されるとの仮定が必要です。この仮定は、デバイスが侵害を受けた場合には、デバイスが示す健全性の主張は、信頼が出来ないことも考慮する必要があることを意味します。
侵害により健全性が信頼できなくなった場合、デバイスでアサート(健全性の主張)された結果が、もはや信頼できないという事実に基づく必要があります。
言い換えると、ウイルス検査で何も見つからず、ファイアウォールも正常に動いているように見えても、なにも問題がないとは限りません。まったく正反対の場合もあります。
現在の捕捉困難なマルウエアを前提とした場合、デバイス自身が報告する健全性を信頼することは出来ず、遠隔による評価が必要となります。Windows 10では、デバイスの健全性評価を、Windowsクラウド・サービスと管理システムの組合せにより、遠隔から確認することができます。Intuneのようなモバイル装置管理システム(MDM)では、2015年からこの機能の提供を始めており、どんな管理システムでも実行することが可能です。この機能を利用することで、健全なデバイスだけが会社のVPN、E-mail, SharePoint等にアクセスできるなど、デバイスのコンディションに応じたアクセス権の付与を行うことも可能となります。