Windows Defender Application Guardで実現するセキュアなブラウジング環境――Windows 10の新しいセキュリティ機能(その2):企業ユーザーに贈るWindows 10への乗り換え案内(15)(2/2 ページ)
前回は、間もなく企業向け(半期チャネル)に配布が始まるWindows 10 Fall Creators Updateに搭載された新しいセキュリティ機能「Exploit Protection」を紹介しました。今回は、もう1つのセキュリティ機能「Windows Defender Application Guard(WDAG)」が提供する安全なWebブラウジング環境を紹介します。
エンタープライズモードによるWDAG使用の強制
WDAGのエンタープライズモードは、企業で使用するWebサイト(ローカルおよびクラウド)を事前に定義し、企業用のWebサイトには通常のMicrosoft Edgeや「Internet Explorer(IE)」でのアクセスを提供し、それ以外の信頼できないWebサイトはWDAGによるブラウジングに自動的にリダイレクトします。ローカルとWDAG間のクリップボード使用許可や、WDAGからの印刷設定などを詳細に許可または禁止することもできます(画面4)。
画面4 Microsoft Edge/IEから信頼されたWebサイトへのアクセス以外は、全てWDAGの分離されたMicrosoft Edgeにリダイレクトされる。クリップボード操作を完全に無効化することも可能
また、エンタープライズモードは、グループポリシーやMicrosoft Intuneなどのモバイルデバイス管理(MDM)サービスを利用して構成および展開することが可能です。グループポリシー(またはローカルコンピューターポリシー)で展開するには、次の2つの場所にあるポリシーを、企業の環境やポリシーに合わせて構成します。
- コンピューターの構成\管理用テンプレート\ネットワーク\ネットワーク分離
- コンピューターの構成\管理用テンプレート\Windowsコンポーネント\Windows Defender Application Guard
「ネットワーク分離」ポリシーでは、以下の3つの範囲を定義します。
- クラウドでホストされるエンタープライズリソースドメイン
- 職場用と個人用に分類されたドメイン
- アプリのプライベートネットワークの範囲
WDAGはこれらのポリシーで構成された企業ネットワークの境界の定義に基づいて、企業以外のリソースにアクセスするための全ての要求をWDAGコンテナに自動的にリダイレクトします。また、WDAG環境からこれらのWebサイトへのアクセスはブロックされるため、ネットワークを介した攻撃リスクが大幅に軽減されます。
「Windows Defender Application Guard」ポリシーでは、エンタープライズモードの有効化、セッション間でのデータの永続化許可(既定は無効)、監査イベントの記録、通常のMicrosoft Edge/IEへの非エンタープライズサイトのコンテンツ読み込み許可(既定は可能)、クリップボードの許可設定(片方向または双方向にテキストとイメージのコピーを許可することが可能。既定は全てをブロック)、印刷設定のカスタマイズ(PDFやXPSへのファイル出力許可、ローカル/リモートプリンタへの印刷許可が可能。既定は全て無効)を構成することができます(画面5)。WDAGとローカルコンピュータ間ではファイルのやりとりはできませんが、PDFまたはXPS形式のファイルに出力するという手段を許可することができます。
WDAGのシステム要件に関する留意事項
WDAGは、Hyper-Vハイパーバイザーを利用し、WDAGコンテナで小さなWindows 10インスタンス(英語版)を動かします。そのため、最適なパフォーマンスを得るには、Hyper-Vのシステム要件に加え、以下のシステム要件を満たしている必要があります。これらの要件を満たしていない場合、既定ではWDAGを有効化できないことがあります。
| CPU | x64プロセッサ。4コアを推奨 |
|---|---|
| メモリ | 8GBを推奨 |
| ディスク | 5GB以上の空き。SSDを推奨 |
| その他 | Windows 10 Enterprise バージョン1709以降 |
| ▲WDAGのシステム要件 | |
Hyper-Vのシステム要件とは、Intel VT-xまたはAMD-Vのサポートと、第二レベルアドレス変換拡張(Second Level Address Translation:SLAT)のサポートです。これは、VBSのシステム要件でもあります。
WDAGの概念やセットアップ手順については、以下の公式ドキュメントおよびブログを参照してください。
- Windows Defender Application Guardの概要(Windows IT Pro Center)
- Windows Defender System Guardでシステムのセキュリティを強化し整合性を維持する(Microsoft TechNet 日本のセキュリティチーム)
WDAGはWindows 10 Enterprise バージョン1709で正式に利用可能になりましたが、先に指摘したように、本稿執筆時点(2018年1月初旬)では英語(en-us)環境での利用が想定されており、他の言語では正常にセットアップできなかったり、機能しなかったりする場合があります。
例えば、日本語環境では、初期セットアップ時のエラーの問題やキーボード認識(WDAG内は101配列)の問題などがあります。現時点で日本語環境やシステム要件を満たしていない環境でWDAGを評価したい場合は、以下の筆者の個人ブログを参考にしてください。物理コンピュータまたは「入れ子構造の仮想化(Nested Virtualization)」を有効化したHyper-V仮想マシンで評価することが可能です。
筆者紹介
山市 良(やまいち りょう)
岩手県花巻市在住。Microsoft MVP:Cloud and Datacenter Management(Oct 2008 - Sep 2016)。SIer、IT出版社、中堅企業のシステム管理者を経て、フリーのテクニカルライターに。Microsoft製品、テクノロジーを中心に、IT雑誌、Webサイトへの記事の寄稿、ドキュメント作成、事例取材などを手掛ける。個人ブログは『山市良のえぬなんとかわーるど』。近著は『Windows Server 2016テクノロジ入門−完全版』(日経BP社)。
Copyright © ITmedia, Inc. All Rights Reserved.
関連記事
Microsoft、業務PC自動セットアップツール「Windows AutoPilot」を提供
Microsoftは「Windows 10 Fall Creators Update」で、IT管理者向けに組織内へのPC展開と管理を容易にする一連の新機能「Windows AutoPilot」を提供する。
Windows 10 Fall Creators Updateに搭載される「次世代」のセキュリティ機能
Microsoftが「Windows 10 Fall Creators Update」に搭載する次世代セキュリティ機能を紹介。「Windows Defender ATP」に含まれるツールを大幅に拡充することを明らかにした。
「Windows 10 Fall Creators Update」に搭載される新機能まとめ
マイクロソフトはWindowsの次期大型アップデート「Windows 10 Fall Creators Update」を2017年後半にリリースすると発表。Windows MRやiOS/Androidも包括したマルチプラットフォーム対応など、コンシューマー/技術者それぞれに向けた新機能を多数リリースする。
Windows 10 Creators Updateがやってきた!――確実にアップグレードする方法を再確認
2017年4月6日(日本時間、以下同)、Windows 10の最新バージョンである「Windows 10 Creators Update」が正式にリリースされ、利用可能になりました。4月12日からはWindows Updateを通じた配布が段階的に始まります。