「Windows 8でBYOD」を安全にするセキュリティ機能：マルウェア対策やタッチ認証、暗号化など

米Microsoftの次期OS「Windows 8」には、私物端末の業務利用（BYOD）を見据えたさまざまなセキュリティ機能が搭載される。主要機能を紹介する。

[Michael Cobb，TechTarget]

　Windows 8を搭載した私物端末の業務利用（BYOD）の準備を進める企業もあるだろう。ところで、Windows 8タブレットにどういったセキュリティ機能が搭載されているのかを把握できているだろうか？

関連記事

• 【事例】DeNAがBYODをやめた理由
• 【事例】コニカミノルタの私物iPhone／iPad解禁を促したセキュリティ対策
• 私物スマートフォンを業務利用させる前に検討すべき3つの項目

　Windowsの次期バージョンとなるWindows 8は、従来型のデスクトップPCやノートPCに加えて、タッチスクリーン式のタブレットに対応する。Windows 7の管理機能やセキュリティ機能は全て引き継がれる他、LANへの接続を許可できるWindows 8搭載の私物端末を求めている企業にとって、魅力的なセキュリティ機能や変更も加えられている。

関連記事

• どっちを選ぶ？　「Surface」と「iPad」を徹底比較
• Windows 8タブレットが“iPadキラー”になり得る理由
• Windows 8タブレットが成功しない2つの理由

ウイルス対策機能を統合した「Windows Defender」

　Windows Defenderには、ウイルス対策製品「Microsoft Security Essentials」の機能が標準搭載される。さらに、別のマルウェア対策機能として、「Unified Extensible Firmware Interface」（UEFI）のセキュアブート機能をサポートする。デバイスの起動時に、マルウェア対策ドライバを含む全ブートコンポーネントのデジタル署名を検証し、改変されていないかどうかを確認する。このチェックで不合格になった場合は、「Windows Recovery Environment」（Windows RE）がOSの修復を試みる。これにより、システムの起動プロセスが保護され、rootkitのような低レベルのマルウェアが読み込まれないようにする。

レピュテーション機能の強化

　「Address Space Layout Randomization」（ASLR）とURLレピュテーション技術の「SmartScreen」も進歩した。米Microsoftによると、こうした機能は、フィッシングやソーシャルエンジニアリング攻撃からユーザーを守る効果がある（ソーシャルエンジニアリング攻撃については「『人の脆弱性』をあぶり出す、4つの侵入テスト手法」を参照）。

　ファイルレピュテーション機能は、ファイルのダウンロード状況を監視し、ファイルのレピュテーション（危険度を評価するスコア）をチェックする。管理者は、ユーザーが不審なファイルを開く際に警告メッセージを無視できないよう設定できる。こうしたコントロールを組み合わせれば、不正なソフトウェアがシステムに侵入することは一層困難になる。

関連記事

• レピュテーションに仮想化対応――マルウェア検出技術の今を知る
• 「レピュテーション」の仕組みと効果が分かる3つのホワイトペーパー

タッチベースの認証機能

　新しいタッチベースのセキュリティログオン機能として加わったのが、画像パスワードだ。ユーザーは、1枚の画像を選び、その画像の上で3種類のタッチジェスチャをする。システムは、この一連のジェスチャをパスワードとして保存する。コンセプトは、Androidのパターンスクリーンロックと似ている。

PDFビュワーの統合

　私が特に興味を持ったのは、PDFビュワー「Modern Reader」の統合だ。Modern Readerは、Adobe Readerに代わるセキュアなPDFビュワーになる可能性を秘めている。これでパッチはWindows Updateの一部となり、Adobe Readerのパッチを個別に適用する必要はなくなるかもしれない。Adobe Readerのセキュリティが、企業にとって長年の頭痛の種だったことを考えると、Modern Readerはセキュリティを1歩前進させる可能性がある。

関連記事

• 狙われるAdobe製品とJavaの脆弱性
• FlashやAcrobatの使用禁止はマルウェア感染防止に効くのか？

HDD暗号化やアプリ管理機能

　Windows 8のProおよびEnterpriseエディションには、「BitLocker」と「BitLocker To Go」によるHDD暗号化とリムーバブルドライブの暗号化機能が実装される。

関連記事

• BitLockerとどう違う？　市販「HDD暗号化製品」の利点と注意点

　Software Assurance（SA）契約を結んでいれば、ユーザーが実行できるアプリケーションと、そのアプリケーションからどのファイルへアクセスできるかを管理する「AppLocker」も利用できる（参考：Windows 8 Consumer Previewに見る企業向け機能）。Windows 8では、従来型のデスクトップアプリケーションと、これまで「Metro」と呼ばれていた新しいWindows 8アプリケーションの両方をAppLockerで管理できる。

関連記事

• Windows 7のAppLocker活用法　前編──ホワイトリストの作成
• Windows 7のAppLocker活用法　後編──ルール作成の自動化

社内環境を私物端末で再現する「Windows To Go」

　Windows 8端末のBYODを許可する予定の企業には、リモート消去機能と「Windows To Go」が役立つ（参考：Windows 8環境をUSBメモリで携帯できる「Windows To Go」）。Windows To Goは、会社のWindows 8端末のシステムイメージを、ユーザーのビジネスアプリとデータおよび設定とともに、USBメモリに保存できる機能だ。従業員がこのUSBメモリを私物端末に接続すれば、会社のWindows 8デスクトップ環境を実行できる。

　Windows 8は既に完成しているものの、世界で発売されるのは2012年10月26日。テストユーザーからのフィードバック次第では、まだ変更が発生する可能性もあるとMicrosoftは述べる。メーカー各社は、さまざまな仕様の端末を発売する予定だ。企業は、購入を計画しているWindows 8搭載端末のフルスペックをチェックする必要がある。例えば米Dellは、企業に訴求するためにセキュリティチップの「Trusted Platform Module」（TPM）とロックスロットを搭載（TPMについては「新たな認証レイヤーを追加するアイデンティティー対応ネットワークデバイス」も参照）。オプションとして指紋またはスマートカードによる認証機能、データ保護機能「Dell Data Protection」などを提供する見通しだ。