Windows 10/11には標準でWindowsセキュリティと呼ばれるセキュリティ対策機能が搭載されている。果たして、このWindowsセキュリティだけでパソコンのセキュリティ対策は十分なのだろうか?この記事では、Windowsセキュリティの基本的な機能と、セキュリティベンダーが提供するセキュリティソフトとの違いについて解説する。
Windowsセキュリティとは
Windowsセキュリティとは、Windows 10/11に標準で搭載されているセキュリティ機能の総称である。以前は、Windows Defender セキュリティセンターと呼ばれていた。
そのルーツはWindows XPに搭載されていたスパイウェア対策ソフト「Windows Defender」であるが、Windows 8でマイクロソフト社が無償で提供していたウイルス対策ソフトである「Microsoft Security Essentials」が「Windows Defender」と統合されたことで、総合型セキュリティソフトとほぼ同等の機能を備えるようになった。
その後、新たな機能追加や名称の変更などが行われたが、2023年時点では「Windowsセキュリティ」と呼ばれるようになっている。なお、Windowsセキュリティとは別にMicrosoft 365の有償ユーザー向けとして、Microsoft Defenderも存在する。
Windowsセキュリティの機能
統合型セキュリティソフトと同等の機能を有するとされるWindowsセキュリティには、主に以下7つの機能が搭載されている。
1)ウイルスと脅威の防止
セキュリティ機能の中核となるもので、デバイスへの脅威を監視する。定期的にシステムのスキャンを実行し、マルウェアの検出・削除を行う。また、パソコンのOS自体がルートキットなどに汚染されている可能性がある場合は、通常の手段でマルウェアを削除することは難しいが、「Microsoft Defenderオフラインスキャン」により、OSを起動せずにオフラインスキャンを行い、脅威を排除することが可能だ。
2)アカウントの保護
パスワードの管理やWindows Hello、デバイスロックなどの機能を設定できる。Windows Helloでは顔認証や指紋認証などの生体認証を利用できるため、IDとパスワードによる認証よりも強固なセキュリティを実現できる。また、デバイスロックではキー操作によるロックのほか、ペアリングしたデバイスがパソコンから離れると自動的にロックをかける動的ロックも利用できる。
3)ファイアウォールとネットワーク保護
外部からの不正なアクセスを遮断するパーソナルファイアウォール機能に関する設定を行う。Windowsセキュリティのパーソナルファイアウォール機能では、ネットワークを「ドメインネットワーク」、「プライベートネットワーク」、「パブリックネットワーク」の3種類に分け、それぞれファイアウォールの設定が可能だ。また、受信ルールや送信ルール、接続セキュリティ規則を細かく設定し、監視ログを確認することもできる。
4)アプリとブラウザーコントロール
危険性のあるアプリ、ファイル、Webサイト、ダウンロードファイルからデバイスを保護できる機能であり、「Microsoft Defender SmartScreen」を設定することが可能だ。また、脆弱性を悪用したエクスプロイト攻撃からの保護も設定できる。
5)デバイスのセキュリティ
デバイスに搭載されているハードウェアによるセキュリティ機能の設定を行う。CPUに搭載されているコア分離機能やメモリ整合性、暗号化を強化するセキュリティ プロセッサ(TPM:Trusted Platform Module)の設定、ルートキットが読み込まれることを防ぐセキュアブートの設定が可能だ。
6)デバイスのパフォーマンスと正常性
ストレージの残容量やバッテリー駆動時間など、デバイスの正常性をチェックできる。デバイスの正常性でチェックできる項目は、「ストレージ容量」、「アプリとソフトウェア」、「バッテリー駆動時間」、「Windowsタイムサービス」の4つで、定期的にチェックしておくと安心できる。
7)ファミリーのオプション
子供に対するアクセス制限を行うことができる。教育上、不適切なWebサイトだけでなく、アプリやゲームをブロックすることやデバイスの利用時間の制限、Microsoft Storeでの購入に利用できる金額の管理が可能だ。
Microsoft Defenderの機能
先述のように、有償のMicrosoft 365ユーザー向けには別途セキュリティ機能が用意されている。Microsoft 365とは、もともとOffice 365と呼ばれるサブスクリプションのオフィススイートにセキュリティ機能や業務効率化のためのツールが付加され、2020年に名称変更されたサービスだ。現在では個人向け、法人向けともにMicrosoft 365の名称で統一され、個人向けの追加セキュリティ機能はMicrosoft Defenderとして提供される。主な機能は以下のとおりだ。
1)マルウェア対策
ユーザーが利用する端末のバックグラウンドに常駐し、定期的にデバイスのスキャンを行うことでマルウェアを検出する。マルウェアが検出された場合、ユーザー向けに通知が表示されるため、ユーザーは駆除を承認、あるいは手動で対応することが求められる。
2)有害なWebサイトへのアクセス遮断
フィッシング詐欺と疑われるWebサイトをはじめ、危険性が過去に認められたWebサイトへユーザーがアクセスしようとする場合、このWeb保護機能がアクセスを遮断する。
3)ID情報の盗難監視
近年、何かしらの方法で盗み出されたID情報は闇マーケットにて販売されることが少なくない。Microsoft DefenderではID盗難防止などを支援するエクスペリアン社と提携し、パブリックなインターネット、ダークウェブ双方で情報が流出していないかをチェックする。
4)統合的なデバイス保護
Microsoft Defenderでは、ユーザーごとに最大5台のデバイスを保護することが可能だ。統合的に管理することで、保有するデバイスのセキュリティ状態を網羅的にチェックできる。
総合型のセキュリティソフトが必要とされる理由
Windowsセキュリティでは、すでに解説したように複数のセキュリティ機能を備えており、OSのバージョンアップに伴い機能も年々強化されている。加えて、Microsoft Defenderも提供されていることから、Windows 10/11にはセキュリティベンダーが提供する有償のセキュリティソフトは必要ないという意見もある。しかし、有償の総合セキュリティソフトには、Windowsセキュリティにはない3つの特長がある。
1)総合的なセキュリティ対策
有償の総合セキュリティソフトは、迷惑メールやフィッシング詐欺対策、ネットバンキング保護、ホームネットワーク保護、パスワードマネージャー、Webカメラ保護など、より広範囲にわたるセキュリティ対策機能を提供する。Windowsセキュリティで提供されるセキュリティ対策は、有償の総合セキュリティソフトの機能と比較すると限定的となる。
2)高度なウイルス検出エンジン
セキュリティベンダーが提供している総合セキュリティソフトは、機械学習や振る舞い検知、サンドボックスを利用した高度なウイルス検出エンジンを搭載する。そのため、修正パッチが公開される前にその脆弱性を突いて攻撃を行う、「ゼロデイ攻撃」への対処も期待される。
3)利用時のサポート
有償オプション扱いの場合も多いが、総合セキュリティソフトでは何か困ったことがあった際に、ユーザーが電話やメールで個別サポートを受けることが可能だ。Windowsセキュリティの場合は、基本的にフォーラムの掲示板に書き込み、返信を待つことになり、必ずしも回答が得られるとは限らない。
このように、Windowsセキュリティがあっても、より強固な対策を行いたい場合や、利便性を重視する場合、あるいはITスキルに自信があまりないユーザーや、セキュリティを高めたい場合、有償の総合セキュリティソフトを導入するメリットは大きいと言える。
Microsoft 365の法人向けセキュリティ機能
Windowsセキュリティに加え、マイクロソフト社のサブスクリプションサービス「Microsoft 365」を契約することで、Microsoft 365を利用できるのは先述のとおりだ。加えて、法人向けとしてセキュリティ機能が強化されるサービスも存在する。
法人向けでは、サブスクリプションの月額費用によって利用できるセキュリティ機能が異なり、自社に必要なセキュリティ機能に応じたプランを選択できる。以下に、法人向けMicrosoft 365で提供されるセキュリティ機能を紹介する。
多要素認証による不正アクセス防止
ID/パスワードだけでなく、電話やSMS、モバイルアプリによる多要素認証を利用できるため、なりすましによる不正アクセスの抑制に寄与する。
データ転送時の暗号化
Microsoft 365では、データの保存時に暗号化を行い、サーバー上のデータを保護する。さらに、SSL/TLSを利用し、ユーザーとサーバー間で送信されるデータを保護するため、安全性が高まる。
マルウェア対策
EOP(Exchange Online Protection)と呼ばれる高度なセキュリティ機能により、メールを保護し、ランサムウェアやスパイウェアからシステムを守ることができる。また、クラウドストレージのSharePoint Onlineにもマルウェア検知機能が搭載されており、ファイルをアップロードする際もマルウェアを検出する。さらに、万一ランサムウェアの被害に遭った場合でも、回復策が用意されているため安心だ。
アクセス制限による不正防止
管理者がアプリケーション・ユーザー・グループといった単位でアクセス制限をかけることが可能であり、不正を防止できる。Exchange Onlineは、グローバルIPアドレスで接続制限がかけられるため、社内からのアクセスだけを許可することも可能だ。
データの損失を防ぐDLP
予期せぬトラブルによってデータの破壊・損失・流出を防止するDLP(Data Loss Prevention)により、クレジットカード番号やマイナンバーなどの機密情報が共有されないように設定できる。
Office 365 Advanced Threat Protection
ランサムウェアをはじめとする各種マルウェアや有害なリンクからユーザーを保護する、クラウドベースのメールフィルタリングサービスを利用できる。AIを利用し、危険なメールを高い精度で検出する。
Microsoft Intune
統合的なエンドポイント管理プラットフォームであり、企業が貸与している端末や従業員がBYODによって業務に使っている端末を管理し、常にセキュリティを最適な状態に保つことができる。また、iOSやAndroid、Windows、macOSといった異なるOSのデバイスも一元的に管理できる。
Windows 10/11に標準搭載されているWindowsセキュリティとMicrosoft 365のセキュリティ機能を組み合せることで、法人では総合的なセキュリティ対策を低コストで実現できる。ただし、個人向けMicrosoft 365を利用していたとしても、Windowsセキュリティに新たなセキュリティ機能が付加されるわけではないことに注意が必要だ。
安全なセキュリティ対策、充実したサポート体制を求めるのであれば、セキュリティベンダーが提供する有償の総合セキュリティソフトの導入を検討してほしい。