マイクロソフトは、OS に直接組み込まれた 2 要素認証などの新しいセキュリティ機能を宣伝し、CIO に Windows 10 への関心を持ってもらうためのキャンペーンを続けています。
マイクロソフトによると、Windows 10に二要素認証を組み込む取り組みは、近年安全性が著しく低く、システム侵入やデータ盗難の事例を数多く引き起こしてきた従来の単一パスワード認証方式を廃止することを目的としている。二要素認証では、悪意のあるハッカーがシステムに侵入するには、パスワードと、スマートフォンなどのユーザーのデバイスに送信されるコードなど、2つの情報を入手する必要がある。
全体として、Windows 10 は、企業に ID 保護やアクセス制御、情報保護、脅威耐性などの分野で強化されたセキュリティを提供します。これは、テスト用に公開されている Windows 10 のプレリリース バージョンに言及して、Jim Alkove 氏がブログ投稿で述べたとおり、「[Windows 10] Technical Preview の提供開始を発表して以来、セキュリティが多くの顧客との会話の中心となってきたからです」というものです。
アイデンティティとアクセス制御の分野では、Windows 10 は、サードパーティ製品に頼ることなく、2 要素認証でユーザーの資格情報とデバイスを保護するために必要な機能を IT 管理者に提供する、と彼は書いている。
「このソリューションは、現在スマートカードなどのソリューションに限定されている多要素セキュリティをオペレーティングシステムとデバイス自体に組み込むことで、追加のハードウェアセキュリティ周辺機器の必要性を排除し、ID保護を新たなレベルに引き上げると考えています」とアルコーブ氏は書いている。
具体的には、Windows 10 では、ユーザーが自分のデバイスを 2 つの認証要素の 1 つとして登録できるようになり、2 つ目の認証要素は PIN または指紋の読み取りなどの生体認証入力になります。
「セキュリティの観点から言えば、これは攻撃者がユーザーの認証情報を使用する手段に加えて、ユーザーの物理デバイスも入手する必要があることを意味し、そのためにはユーザーのPINや生体認証情報にアクセスする必要がある」と彼は書いている。
認証情報は、Windows によって生成されるキーペア、または企業の既存の PKI システムによってデバイスにプロビジョニングされた証明書のいずれかになります。「これらの両方のオプションを提供することで、Windows 10 は既存の PKI 投資を持つ組織にとって最適な選択肢となり、PKI ベースの ID が実用的ではない Web やコンシューマーのシナリオにも適用可能になります」と彼は書いています。
新しいユーザー認証システムは、Microsoft の Active Directory、Azure Active Directory、およびコンシューマー向け Microsoft アカウントでサポートされるため、「Microsoft オンライン サービスを使用している企業やコンシューマーは、すぐにパスワードから移行できるようになります。」
Windows 10 には、認証プロセスの一環として生成されるユーザー アクセス トークンを保護する機能も備わっており、Pass the Hash などの手法と高度な持続的脅威の組み合わせによる脆弱性が回避されます。
「Windows 10では、Hyper-Vテクノロジー上で動作する安全なコンテナ内にユーザーアクセストークンを保存するアーキテクチャソリューションを採用することで、この種の攻撃を排除することを目指しています。このソリューションは、Windowsカーネル自体が侵害された場合でも、デバイスからトークンが抽出されるのを防ぎます」と彼は記している。
情報保護の分野では、Windows 10 には個人データと企業データを区別し、「封じ込め」を使用して後者を保護するデータ損失防止 (DLP) テクノロジが組み込まれます。
「Windows 10 の企業データ保護により、企業ネットワークからデバイスに届く企業アプリ、データ、電子メール、Web サイトのコンテンツ、その他の機密情報が自動的に暗号化されるようになります」と彼は書いている。
Windows 10 の新しいスタート メニューとウィンドウ化された Metro アプリ。
DLP テクノロジは Windows Phone でも動作し、さまざまなデスクトップやモバイル デバイスからアクセスされたドキュメントもこの保護の対象になります。
IT 管理者は、どのアプリが企業データにアクセスできるかを制御するポリシーを確立できるようになります。また、Windows 10 では、従業員が所有するデバイス上のこのデータを保護するために VPN 制御オプションも拡張されます。
「アプリ許可リストとアプリ拒否リストにより、IT プロフェッショナルはどのアプリが VPN にアクセスすることを許可されるかを定義し、デスクトップ アプリとユニバーサル アプリの両方で MDM ソリューションを通じて管理できるようになります」と彼は書き、管理者は特定のポートまたは IP アドレスによるアクセスを制限することもできると付け加えました。
最後に、脅威とマルウェア耐性の領域では、Windows 10 にはデバイスをロックダウンし、Microsoft が提供する署名サービスを使用して署名されたアプリのみをユーザーが実行できるようにする機能が搭載されます。
「署名サービスへのアクセスは、WindowsストアへのISV公開アクセスを制御する方法と同様の審査プロセスによって制御され、デバイス自体はOEMによってロックダウンされます」と彼は記している。「OEMが使用するロックダウンプロセスは、Windows Phoneデバイスで行っているものと似ています。」
IT 管理者は、自分で署名したアプリ、ISV によって署名されたアプリ、Windows ストアで入手できるアプリ、またはそれらすべてなど、信頼できるアプリを決定できるようになります。
「結局のところ、Windows 10 のこのロックダウン機能は、企業に最新の脅威と戦うための効果的なツールを提供し、ほとんどの環境で動作させる柔軟性も備えています」と彼は書いている。
Microsoft は、2015 年半ばまでに Windows 10 を出荷することを目指しており、その間、オープン プログラムで公開テストを行っており、最近参加者が 100 万人を超え、20 万件のフィードバック項目が生成された。
Windows 8 が Microsoft の企業顧客から完全に無視された後、同社は CIO やその他の企業の IT 幹部に Windows 10 に注目してもらうために全力を尽くしている。
この OS がリリース前の公開テストを進めるにつれ、アルコーブ氏が今日大々的に宣伝している Windows 10 のセキュリティ強化が、最終的にビジネス顧客にとって十分に魅力的なものになるかどうかがより明らかになるだろう。
