何らかの理由で、危険な可能性があると分かっているWebサイトを閲覧することがあります 。悪意のあるポップアップ、ランサムウェア、その他のマルウェアがPCに感染する恐れがあります。完全に安全なソリューションはありませんが、Microsoftは現在、オンライン保護に特化したEdgeブラウザの無料版、Windows Defender Application Guard(WDAG)を提供しています。
WDAGはもともとWindows 10 Enterprise向けに開発され、数十億ドル規模の企業を保護していました。現在、同じ保護機能がWindows 10 Pro(Windows 10 Homeユーザーの方はご注意ください)にもオプション機能として移行され、Windows内で無料で有効化できます。Windows 10 ProではWindows 10 April 2018 Updateの一部として導入され、2018年10月のアップデートでもいくつかの新機能が追加される予定です。
Google Chrome はブラウザを「サンドボックス化」することでブラウザのレンダラーを分離し、Windows、ネットワーク上の他の PC、そして他のデバイスをマルウェアから保護すると聞いたことがあるかもしれません。WDAG はサンドボックスをさらに進化させ、PC の仮想化機能を利用してブラウザからマルウェアが漏れるのを防ぎます。つまり、Windows は信頼できないブラウザセッション(タブごとではありません)ごとに小さな「仮想」OS とブラウザを作成し、PC の他の部分から分離します。たとえマルウェアがブラウザをクラッシュさせたとしても、PC の他の部分は影響を受けないという仕組みです。
Chrome でのブラウジングは、Edge WDAG タブでのブラウジングよりも安全でしょうか?ご想像のとおり、これは簡単に答えられる質問ではありません。セキュリティ専門家は WDAG のサンドボックス実装を高く評価しているようですが、WDAG にはいくつかの制限があり、それについては後ほど詳しく説明します。
Microsoft Edge(WDAGが有効になっていないと思われる)は、2017年のPwn2Ownハッキングコンテストで複数回ハッキングされましたが、Chromeは影響を受けませんでした。Edgeは2018年3月のコンテストでもハッキングされました。しかし、結局のところ、Chromeは長年存在し、タブ間の分離を強化する新しいサイト分離機能など、時間をかけて防御力を高めてきたようです。EdgeのWDAGはまだ、同様の包括的なサードパーティテストの実績を積んでいないようですが、だからといって安全性が低いというわけではありません。
ただし、現時点では、Chrome と一連のセキュリティ プラグインを使用してブラウジングする方が便利だと言っても過言ではありません。
通常、Windows 10の半年ごとの機能アップデートをレビューする際には、「隠れた機能のベスト」という記事を掲載しています。これは、OSの奥深くに隠された機能をまとめた、いわばジュニアカレッジの入門編的なリストです。WDAGはレビュー記事に掲載するほど重要な機能でしたが、確かに隠れた機能と言えるでしょう。しかし、10月のアップデートでは、WDAGが影から姿を現すでしょう。
WDAG が動作するには、Windows 10 Pro(2018年4月のアップデート以降にアップデート済み)と、64ビットの Hyper-V 対応プロセッサの2つの要素が必要です。一般的に、第6世代、第7世代、第8世代の Intel Core チップのほとんどがこの機能を搭載しており、AMD64 チップの多くもこの機能を搭載しています。ただし、この情報については、あまり深く調べる必要はありません。お使いの PC がこれら両方をサポートしていれば、WDAG は有効になります。
マーク・ハッハマン / IDGEdge WDAG 機能を有効にするためのコントロールはここにあります。
April 2018 Update でこの機能を見つけるには、PC のコントロール パネルを開き、「Windows の機能の有効化と無効化」 メニューを開きます。ここには、Windows の奥深くに潜む、必ずしも有効にする必要がない機能がすべてリストされています。下にスクロールして「Windows Defender Application Guard」ボックスをオンにします。October 2018 Update を実行している場合は、「設定」メニュー(「設定」>「更新とセキュリティ」>「Windows セキュリティ(別名 Windows Defender)」>「アプリとブラウザーの制御」)に移動し、「分離ブラウジング」まで下にスクロールします。
マーク・ハックナン / IDG少し探す必要がありますが、WDAGはWindows 10の2018年10月のアップデートにも含まれています。有効にするには、マシンを再起動する必要があることに注意してください。
WDAGは、Windows 10 Pro内で仮想マシン(Windowsの自己完結型バージョン)を作成できるHyper-V仮想化テクノロジーのサブセットを使用します。ただし、Microsoftのサポートドキュメントによると、 WDAGを使用するためにHyper-Vをオンにする必要はありません。WDAGが自動的にHyper-Vを有効化します。
WDAG をオンにして機能リストを終了すると、Windows は適切なソフトウェアを探し出し、PC の再起動を求めます。小さなアップデートが適用されると、Edge WDAG が有効になった状態で PC で Web を閲覧できるようになります。
2018年10月のアップデートをご利用の場合は、以前のバージョンでは無効になっていた便利な機能(印刷機能など)を追加するための設定オプションも選択できます。必要に応じて有効にしてください。
マーク・ハッハマン / IDG必要に応じて、少し時間を取って、WDAG をさらに便利な機能で構成してください。
EdgeとWDAGでウェブを閲覧する
WDAG を使って Edge で Web を閲覧するのは、設計通り非常に簡単です。Edge を開き、右上の省略記号(3 つの点)メニューから「新しいアプリケーション ガード ウィンドウ」を選択します。
マーク・ハッハマン / IDGEdge WDAG を初めて起動すると、これが表示されます。
Application Guard では、仮想マシンの起動時に初期化に多少の時間がかかります。(Surface Pro 4 と Surface Book 2 では 1 分程度かかったため、ノート PC に SSD が搭載されているかどうかによって多少異なる可能性があります。)幸いなことに、Edge WDAG では、後続の WDAG タブを開く際に同じセットアップ時間は必要なく、別のセッションの起動もはるかに高速です。
WDAG ウィンドウを開くと、左上隅に鮮やかな赤色の「Application Guard」ラベルが表示され、他の Edge ウィンドウと区別できます(2018年10月更新ビルドでは黒色です)。タスクバーでは、タスクアイコンの上に小さな盾アイコンが表示され、WDAG ウィンドウが使用中であることを示します。WDAG 環境内で InPrivate プライベートブラウジングウィンドウを開いて、プライバシーをさらに強化することもできます。
現時点では、WDAGはセキュリティを重視しており、スピードや(正直に言うと)利便性は考慮されていません。設定メニューは柔軟性に欠け、ほとんどのオプションがグレー表示になっています。(Edge自体にもWDAG専用のコントロールは用意されていないようです。)以下は、記事執筆時点でのWDAG 2018年4月アップデート版におけるWDAGの制限事項です。
- お気に入りをインポートすることはできません。また、WDAGウィンドウ以外のウィンドウからURLを切り取って貼り付けることも、WDAGウィンドウから他の場所に貼り付けることもできません。
- 現在、ほとんどのダウンロードがブロックされています。
- 拡張機能は無効になっています。
- WDAG には広告をブロックする機能はありません。そのため、欺瞞的な広告や、個人情報の入力を促すウェブサイトに誘導する広告が表示される可能性があります。WDAG はブラウザウィンドウを保護するだけです。
2018 年 10 月の更新プログラムでは、上記の設定で有効にすると、ファイルのダウンロード、印刷、WDAG 内外への URL の切り取りと貼り付けが可能になります。
また、Windows 10 EnterpriseでWDAGが有効になっている場合、システム管理者は永続ポリシーを設定できます。これにより、WDAG内でサイトにアクセスし、手動でお気に入りメニューに追加できるようになります。追加したサイトは次回のセッションまで保持されます。この機能はWindows 10 Pro版には搭載されていません。また、何かを「ダウンロード」できたとしても、実際に使用できるとは限りません。WDAGの保護されたダウンロードフォルダは、ユーザーがアクセスできないようです(Microsoftによると、Enterprise版ではアクセス可能です)。
マーク・ハッハマン / IDGEdge WDAG 内の設定メニューは実質的に役に立たず、ほとんどすべてのオプションがグレー表示されて使用できません。
WDAGブラウザの履歴は、PCからサインアウトするまで保存されます。もちろん、Edge内から履歴を消去したり、InPrivateモードを使用してさらに秘密裏にブラウジングすることもできます。
WDAGのパフォーマンスはやや遅い場合があります。WDAGはWeb閲覧とセキュリティ確保という一つの目的のために構築されており、これはテキストベースの環境で最も効果的に機能します。サイトを閲覧して何かをダウンロードしたい場合は、おそらくそうすべきではありません。いずれにしても、うまく動作しない可能性が高いからです。
WDAG はブラウザを保護するかもしれませんが、ブラウザがマルウェアに感染したかもしれない という不安からユーザーを守ることはできません。また、ウェブページが別のタブを開くのを防いだり、ポップアップ詐欺の表示をブロックしたりする機能もないようです。
ポップアップ詐欺は、ブラウザにポップアップを表示し、終末的なメッセージを表示します。例えば、メッセージに記載されている番号に電話をかけるまでPCが感染したままになるなどと主張します。また、警告音やサイレン、自動音声による警告が伴う場合もあります。ウェブサイトを離れるとPCが使えなくなるという警告です。私の場合、ブラウザやタスクバーを閉じようとしたにもかかわらず、ポップアップが閉じられず、PCを再起動せざるを得ませんでした。このような面倒な事態は、優れた広告ブロッカーやスクリプトブロッカーがあれば回避できます。Edge WDAGは現在、これらの機能をサポートしていません。
では、Edge WDAG が、何もダウンロードできず、お気に入りを保存できず、親戚がパニックになって電話をかけてくるようなポップアップの乗っ取りから保護もできないブラウザーだとしたら、一体何の役に立つのでしょうか。
現時点では、WDAGは理想的なソリューションではありません。そのためには、Microsoftは拡張機能のサポートを追加し、サイトがポップアップテイクオーバーをトリガーできないようにする必要があります。Edgeでリンクを右クリックしてWDAGウィンドウで開けるようになれば便利です。ダウンロード機能は必須ではありませんが、セキュリティリスクはありますが、あれば便利です。スクリプトブロックと広告ブロックの拡張機能がいくつか搭載されているChromeのサンドボックスは、まともな代替手段となり得ます。
マーク・ハッハマン / IDGPC に Spring 2018 Update をインストールした後、Microsoft は WDAG エクスペリエンスをどのように改善できるかを知りたがっていました。
これらの制限は、MicrosoftがWDAGに消極的だった理由を示唆しているのかもしれません。Microsoftは2018年4月のアップデートのリリース前にWDAGがInsiderビルドに追加されたことを言及していましたが、一般向けには大々的に宣伝していませんでした。
WDAGは無料で利用できます。少し改良すれば、Edgeは一般ユーザーにも使いやすいエンタープライズクラスのセキュリティソリューションになる可能性があります。WDAGはブラウザがハッキングされないことを保証するものではなく、個人情報を不用意に漏らしてしまうことを防ぐものでもありません。しかし、WDAGは追加の保護レイヤーであり、MicrosoftがEdgeの開発を続ける中で、覚えておく価値のあるものです。
この記事は9月18日午後3時7分に更新され、Windows 10 October 2018 Updateに含まれるWDAGのバージョンの詳細と解説ビデオが追加されました。また、この機能がWindows Defender Application Guardと呼ばれることも修正されました。
