Microsoftは、Windows 11のセキュリティ強化を大々的に宣伝しています。Microsoftによると、比較的新しいパソコンでも多くのユーザーがWindows 11のインストールをためらうほどシステム要件が高かったのは、主にセキュリティ機能のせいだそうです。では、Windows 11とは一体何なのでしょうか?そして、どうすればそのメリットを享受できるのでしょうか?
この記事では、Microsoftと他社のプライバシー保護に関する疑問にお答えし、プライバシーをより効果的に保護する方法をご紹介します。私たちの生活がデジタル化されるにつれ、プライバシーの重要性はますます高まっています。
知らなかったWindows 11のセキュリティ機能
Windows 11 のシステム要件の多くは、Windows 10 に長年搭載されてきたものの、企業の IT 部門以外ではほとんど注目されていなかったセキュリティ機能に関連しています。これらの機能の一部は、Windows 10 からアップデートした場合は自動的に有効になりませんが、Windows 11 が直接搭載されたすべての新規コンピューターでは有効になります。中には、コンピューターのパフォーマンスに全く影響を与えない、非常に合理的な機能もありますが、逆に悪影響を与える可能性のある機能もあります。パフォーマンスを重視する場合は、以下でこれらの機能を無効にする方法を説明します。
セキュアブートとTPM
PC に Windows 11 をインストールするには、最新のプロセッサ (Intel 第 8 世代または AMD Ryzen 3000 以降) と、セキュア ブートと、いわゆる信頼されたプラットフォーム モジュール (TPM) という2 つのセキュリティ機能が必要です。
セキュアブートは長年存在していましたが、義務化されておらず、面倒だと感じていたため、ほとんどのPCユーザーはセキュアブートを有効にしていませんでした。この機能は、BIOSの最新の代替であるUEFIの一部です。コンピューターの基本ソフトウェアは、暗号署名をチェックすることで、改変されたオペレーティングシステムを検出し、それを停止することができます。
セキュアブートを有効にすると、例えばWindowsにいわゆるブートキットとしてインストールされ、システム上で発生するすべての情報を密かに読み取るような、巧妙なマルウェアを効果的に阻止できます。セキュアブートはコンピューターのBIOS設定で有効にできますが、Windows 11のインストールや実行にセキュアブートを有効にすることは必須ではありません。必要なのは、コンピューターがセキュアブートを使用できることです。
一方、TPMは新しいシステムのインストールと実行に必須です。回避策はいくつかありますが、Microsoftは将来のアップデートを利用できなくなる可能性があると警告しています。また、2013年以降のほぼすべてのIntelおよびAMDプロセッサにはTPMモジュールが内蔵されているため、TPMの要件がWindows 11のインストールを妨げる唯一の要因ではない可能性が高いです。
ブラッド・チャコス/IDG
セキュアブートの利点はやや難解ですが、TPMが優れたアイデアである理由はより明確です。TPMの基本機能は、暗号化キーや証明書などの安全な保管、そして新しいキーの安全な作成と管理です。例えば、ハードドライブ上のすべてのデータを保護するBitLockerの暗号化キーや、PINや顔認証によるクイックログインを実現するWindows Helloの暗号化キーとして利用できます。FirefoxやChromeなどのサードパーティ製アプリケーションも、Windows 10でもTPMがサポートされていればTPMを使用します。
これは、長年iPhoneやiPadを保護してきたAppleの「セキュアエンクレーブ」や、Qualcomm、Samsungなどのメーカーのモバイルプロセッサの同様の機能とよく似た仕組みだ。
TPMを有効にすると、Windowsや暗号化キーの生成を必要とする個々のプログラムは、TPMにキー生成を依頼できます。生成されたキーはTPMにのみ保存され、抽出したり他の場所にコピーしたりすることはできません。これは、トロイの木馬などのマルウェアが理論的にキーを傍受する可能性があるため、通常のプロセッサでキーを生成する場合よりもはるかに安全です。
ブラッド・チャコス/IDG
TPMがどのようにユーザーを保護するかを示す良い例として、Windows Helloが挙げられます。Windows 11では、MicrosoftはMicrosoftアカウントを使用し、アカウントパスワードによるサインインを無効にして、Windows Hello(通常はPINを使用しますが、顔認識や指紋スキャナーも使用できます)のみでサインインできるようにすることを推奨しています。
キーロガーを搭載したマルウェアに感染し、キーボードで入力したすべての情報が記録されたとします。PINも記録されますが、PINはこのコンピューターの暗号化キーにリンクされているため、マルウェア作成者は別のコンピューターであなたのMicrosoftアカウントにログインできません。もしアカウントのパスワードでログインしていたら、アカウントのハッキングから身を守る手段は2要素認証しか残っていなかったでしょう。
さらに詳しく: Windows 11用のTPMはどこで購入できますか?
仮想化ベースのセキュリティ
Windows 11 がこれほど新しいコンピューターを必要とする真のハードウェア要件は、仮想化ベースのセキュリティ(VBS)と呼ばれるものです。これは、システムが最新のプロセッサの能力を利用して、専用のワーキングメモリ領域を持つ仮想マシンでコードを実行することを意味します。
仮想化は、Windowsや他のシステム内で他のオペレーティングシステムを実行するために最初に使用されました。これにより、例えばソフトウェアをテストしたり、通常のシステムでは動作しないプログラムを実行したりすることが可能になります。よくある例としては、Macユーザーが仮想マシンを使ってWindowsを実行し、Windows固有のプログラムにアクセスすることが挙げられます。
仮想化ベースのセキュリティは、Windowsの特定の部分を分離し、システムの他の部分からアクセスできないようにする、同じ技術を使用しています。これは複数の異なるコンポーネントで構成されており、その一部はWindowsのエンタープライズ版でのみ利用可能で、Home版では利用できません。
メモリの整合性
Windows セキュリティを開き、「デバイス セキュリティ」を選択します。VBS が有効な場合、「コア分離」の横に緑色のチェックマークが表示され、「仮想化ベースのセキュリティによりデバイスのコア部分が保護されます」と表示されます。「コア分離」情報をクリックすると、サブメニューが表示され、メモリ整合性と呼ばれる機能を有効または無効にすることができます(この技術は「ハイパーバイザーによるコード整合性」または HVCI と呼ばれます)。
ブラッド・チャコス/IDG
これはVBSが実現する機能の一つで、Windowsが機密コードを仮想マシンに配置することを意味します。この仮想マシンには、管理者権限を持っていてもシステムの他の部分からはアクセスできません。これによりセキュリティが強化され、一部のマルウェアに対する保護が強化されますが、パフォーマンスが低下する可能性があり、マシンによっては最大25%も低下することがあります。そのため、ゲーマーやコンピューターを集中的に使用するユーザーは、セキュリティ上のメリットがあるにもかかわらず、この機能を無効にすることがよくあります。
Windows 10からアップデートした場合、メモリ整合性はデフォルトで有効になっていません。システムが付属する新しいコンピューターでは有効になっています。コンピューターのパフォーマンスに問題がある場合は、この機能が有効になっているかどうかを確認し、無効にしてみてください。問題がない場合は、コンピューターを可能な限り保護するために、この機能を有効にしておくことをお勧めします。
プライバシー保護 – マイクロソフトは改善しました
Windows 10 の発売後にマイクロソフトが最も批判されたことの 1 つは、システムが分析データを会社に送信する方法と、この共有をオフにすることがいかに難しいか、そしてスタート メニューが広告でいっぱいだったことです。
Windows 11では、Microsoftは批判に耳を傾け、プライバシー保護とユーザーデータ共有の設定を大幅に改善しました。Windows本体の設定と、カメラや画像ライブラリなどの機能へのサードパーティ製アプリケーションによるアクセスの許可は、「設定」→「プライバシーとセキュリティ」で行えます。これらの設定方法と、不要な共有をオフにする方法をご紹介します。
ブラッド・チャコス/IDG
設定パネルには、「セキュリティ」、「Windows 権限」、「アプリの権限」という3つの主要なセクションがあります。「セキュリティ」は主に別のプログラムである「Windows セキュリティ」へのショートカットなので、最もよく使うのは残りの2つです。
Windowsの権限
「全般」には、広告IDという重要な設定があります。これは、許可するとユーザーを追跡するために使用できる固有のコードです。これにより、広告主は、例えば、ユーザーがクリックした広告バナーから商品の購入を追跡できるようになります。システム内で広告が表示されたくない場合は、この設定をオフにしてください。
手描き入力と入力の個人用設定: ペンを使用して画面に直接書き込むことがある場合、この設定により、Windows でカスタマイズされた辞書を作成するかどうかを決定できます。
音声認識は、Microsoftのより高度なオンライン音声認識機能を使用するかどうかを制御します。この機能は、もちろん、ユーザーの発話内容をMicrosoftのサーバーに送信します。この機能をオフにすると、コンピューター上で直接、より低機能な音声認識機能を使用することになります。
ブラッド・チャコス/IDG
診断とフィードバック:コンピューターの使用状況を分析目的でどのように使用するかを設定することができます。データは匿名化され、Microsoft が Windows やその他の製品を改善するために使用されます。システムは常に「必須データ」を送信しますが、追加データの送信を選択することもできます。これは、コンピューターを Windows Insider プログラムに接続する場合に必須です。ここで重要な機能は「診断データの削除」です。診断データの共有をオンにしていたが、現在オフにしている場合は、収集済みのデータをすべて削除することをお勧めします。
アクティビティ履歴は、Microsoftアカウントの機能で、同じアカウントにログインしている別のデバイスで作業を継続できます。コンピューターが1台しかない場合は、この機能は全く必要ないので、オフにしてください。
検索権限: ここには 2 つの重要な設定があります。Windows 検索機能で成人向けコンテンツをフィルターするかどうかと、以前に検索した内容をより速く見つけられるように検索履歴を保存するかどうかです。
Windows の検索機能には、検索対象外のフォルダなど、プライバシー設定には属さないと思われる他の設定もあります。なぜ「設定」の「システム」にないのか疑問に思われるかもしれませんが、答えは見つかりません。ここで Windows 検索を設定して、ホームフォルダ外のファイルを検索できます。
アプリの権限
ブラッド・チャコス/IDG
パソコンのプライバシーに関わるあらゆる項目について、いくつかのサブセクションが用意されています。最も重要なものは、アプリの権限セクションの上部に便利に配置されています。位置情報(Windowsとアプリケーションがあなたの現在地を特定できるかどうか)、カメラとマイク(よく知られている)、そして音声起動、メッセージ(通知)、アカウント情報といった機能です。
「カメラとマイク」では、個々のアプリケーションへのアクセスを簡単にオン/オフにできます。アクセスを許可するプログラムは控えめにし、使用しなくなったアプリケーションについては両方ともオフにすることをお勧めします。アクセスを許可するプログラムは少ないほど良いでしょう。
位置情報データは、パソコンでは携帯電話ほど役に立ちません。多くのユーザーにとって、Windowsに位置情報を認識させることの唯一のメリットは、オンラインストアで最寄りの実店舗を簡単に表示できること、そしてお店やレストランなどのウェブ検索で近所の検索結果が瞬時に表示されることです。もしそれが気に入らないのであれば、位置情報の追跡を完全にオフにすることをお勧めします。
変更したいその他の設定
プライバシーとセキュリティの設定に加えて、Microsoft がユーザーについて知っていることに関連する他の多くの設定も変更する必要がある場合があります。
あなたの習慣について言わないで
ブラッド・チャコス/IDG
Microsoftは、Windowsの使用状況を把握したいと考えています。この機能は「デバイスの使用状況」と呼ばれ、Microsoftはこれをシステムのカスタマイズと広告表示に利用しています。ただし、この機能はオフにすることができます。
「設定」を開き、「個人用設定」から「デバイスの使用状況」に進みます。この情報をMicrosoftに提供したくない場合は、すべてオフにしてください。
Microsoft アカウントを調整します…
Microsoft アカウントを完全に制御したい場合は、ブラウザからプライバシー パネルにアクセスできます。
account.microsoft.com/privacyにアクセスし、Microsoft アカウントでサインインしてください。画面上部の「開始する」を選択すると、設定を管理するウィザードが起動します。 「アクティビティデータの管理」を選択して手動で変更することもできます。
…他のプログラムを制御する
Xbox や Microsoft Teams などの他の Microsoft 製品でも同様の設定を行うことができます。
Microsoft アカウントのプライバシー パネル(上記参照) を開き、製品のプライバシー設定を選択します。
最近のWindowsには、すべてのデバイスのクリップボードを保存し、共通のクリップボードリストで同期できる強力なクラウドクリップボードマネージャーが搭載されています。非常に便利ですが、プライバシーの問題が気になる場合は、無効にすることもできます。
ブラッド・チャコス/IDG
「設定」を開き、「システム」を選択し、「クリップボード」を選択します。クリップボードの履歴をオフにするか、デバイス間でクリップを同期しないように選択します。また、 「クリア」を選択してクラウド上の履歴を削除することもできます。
VPNで匿名性を保つ
ブラウジング中の匿名性を高めるには、仮想プライベートネットワーク(VPN)サービスを利用できます。VPNを利用すると、追跡が困難になり、接続先の国を変更することで、ロックされたストリーミングサービスにアクセスできるようになります。
ただし、VPNは有料サービスです。ご契約後、専用のWindowsプログラム(またはモバイルアプリ)をインストールすることで、サービスのオン/オフを切り替えたり、インターネットを利用する国を選択したりできます。最適なVPNをお選びいただくためのガイドをご覧ください。
何をしたかを隠す
Windowsでは、最近開いたドキュメントやその他の項目を表示できます。ただし、これを非表示にすることもできます。これは、他の人があなたのコンピュータを使用する場合に便利です。
設定を開き、「個人用設定」 → 「スタート」を選択します。ここで「最近開いた項目を表示する」機能をオフにすることができます。ご覧のとおり、他にも切断できる通知があります。
デバイス間の共有を停止する
Windowsの新機能は、同じMicrosoftアカウントにサインインしている複数のコンピューター間で、ソフトウェアの設定やその他のデータを同期するものです。例えば、デスクトップとノートパソコンをそれぞれ1台ずつ持っている場合、これは非常に便利ですが、コンピューターが1台しかない場合は、クラウドへのデータ送信は不要に思えるかもしれません。
「設定」を開き、「アプリ」 → 「アプリの詳細設定」を選択します。「デバイス間で共有」をタップし、機能をオフにするか、使用方法を選択します。
この記事はスウェーデン語から英語に翻訳され、元々はpcforalla.seに掲載されていました。
この記事はもともと当社の姉妹誌 PC för Alla に掲載され、スウェーデン語から翻訳およびローカライズされました。
