ここから本文です

まだ7を使う? 2017年秋にWindows 10のセキュリティと管理機能はここまで進化する

7/5(水) 16:01配信

ITmedia PC USER

 2017年4月11日に配信が始まったWindows 10の大型アップデート「Creators Update」、そして2017年9月以降に配信予定の次期大型アップデート「Fall Creators Update」では、ビジネス向けに数多くの機能拡張が行われている。企業ユーザーにとって、Windows 10は管理面や安全面でさらに使いやすいOSに進化を続けている状況だ。

【今後のWindows 10大型アップデート予定】

●年2回のWindows 10大型アップデートを適用するか否か

 Microsoftが掲げるWindows 10の特徴の1つとして「Windows as a Service(WaaS)」が挙げられる。

 これは、従来の「ソフトウェアを導入したら、ライフサイクルの終了まで基本そのまま(セキュリティ対策の更新や細かな新機能追加はあるが)」という方針とは異なり、定期的に新しいソフトウェアに更新され、その度にユーザーは全く新しい機能が利用可能になるというもの。「Software as a Service(SaaS)」と呼ばれるWebサービス型アプリケーションでのセールスポイントを、そのままWindowsというOSの仕組みに導入したわけだ。

 Windows 10は既に最初のバージョン(1507)からCreators Update(1703)まで3度の大型アップデートを経ており、今後もこの方針は継続される。このWaaSには「ソフトウェアを最新状態に保たないと18カ月でサポートが終了する」というデメリットがあるものの、アップデートを継続する限りはサポート期間の延長が保証される仕組みだ。

 そのため、企業のIT管理者にとってはアップデートのタイミングが重要になるが、2017年4月20日にMicrosoftは「今後のWindows 10大型アップデートは3月と9月の年2回で行う」と、大型アップデートの提供サイクルを固定化したため、クライアントPCのアップデート計画が従来より立てやすくなった。企業のIT管理者は、大型アップデートの適用サイクルを年1回または2回のどちらにするかを選択可能だ。

●セットアップ自動化ツールでWindows 7からの移行を容易に

 新規にPCを導入した場合、企業のIT管理者にとって面倒なのは各種セットアップ作業に違いない。Fall Creators Updateでは、これを省力化して簡単にデバイスを管理できる仕組み「Windows AutoPilot」が提供される予定だ。AutoPilotは一種のPCセットアップ自動化ツールであり、初期段階では「AutoPilot Reset」「Enhanced Personalization」「Self Service Active Directory domain join」の3機能が用意される。

 ユーザーが初期セットアップ段階でAzure ADへと接続することで、あらかじめ管理者が登録していた各種設定内容が自動的に導入され、必要な設定が済んだ状態ですぐにPCの利用を開始できる。この作業の進行状況はユーザーが確認可能だ。利用を開始したPCはIntune MDMを介した管理に対応し、後述のWindows Analyticsなどと組み合わせてリアルタイムでの監視や制御が行える。

 このようにして管理制御下に入ったデバイス群は、Microsoft OMS(Operation Management Suite)のダッシュボードで一律監視が可能だ。

 「Windows Analytics」という名称で幾つかのツールの提供が予定されており、「Upgrade Readiness」では旧OSならびにWindows 10間でのアップグレードに関する互換性情報の収集、「Update Compliance」では各デバイスのバージョン情報や更新プログラムの適用状況の把握、「Device Health」ではデバイスの稼働状況における正常性チェックが行える。

 現在、企業ユーザーは2020年1月に控えたWindows 7の延長サポート終了に向けたクライアントOSの移行期間に突入しており、企業のIT部門は今後1~2年の予算や負荷の増大が見込まれる。これら管理ツールや新しい機能群は、Windows 7からWindows 10へのスムーズな移行をサポートするためのものだ。

 なお、個人ユーザー向けの機能ではあるが、3GB超もの大型アップデートのダウンロード容量を3分の1程度に圧縮する「Unified Update Platform(UUP)」という機能もFall Creators Updateで追加される。これも大量のクライアントPCを社内に抱える企業にとって非常に影響が大きいだろう。

●クラウド対応で強化されるWindows 10のセキュリティ機能

 Windows 10はセキュリティ上のメリットも大きい。最近話題になったWannaCryのようなランサムウェアの動向を見ても、その被害はWindows 7に集中しており、Windows 10での被害拡大は未然に防がれている。

 ちなみに、Windowsのセキュリティ対策製品は全て「Windows Defender」という名称でリブランディングが行われ、従来Windows Defenderと呼ばれていた製品は「Windows Defenderウイルス対策」という名称に変更されている。

 ウイルス対策、いわゆるアンチウイルスソフトウェアと呼ばれる製品は20年以上も利用が続けられている。ある意味で枯れた技術の製品だ。しかし最新のWindows Defenderウイルス対策が従来と大きく異なるのは、単にシグネチャを使ってウイルス検出を行うのではなく、世界中のデバイスのリアルタイム監視で異常を検出し、その情報をクラウドで一気に拡散する部分にある。

 例えば、あるデバイスが未知の脅威によって添付ファイル経由のウイルスに感染したとしても、この情報を把握した対策センターはリアルタイムでクラウドを介して脅威を伝え、最短数十秒ほどで二次感染を防げる。変種ウイルスの誕生サイクル短期化や拡散の高速化が続く中、未知の脅威への対応も日々進化するというわけだ。

 Windows Defenderウイルス対策は個別対策に近いものだが、これを統合的に管理し、検出から拡散防止、当該デバイスの修復までを行う仕組みが「EDR(Endpoint Detection and Response)」となる。

 MicrsoftでのEDRは「Windows Defender Advanced Threat Protection(ATP)」と呼ばれ、OS提供者であるファーストパーティの強みを生かし、別途エージェントの導入なしにEDRに必要な機能を利用可能だ。

 利用にあたっては「Windows 10 Enterprise E5」という専用サブスクリプションの個別契約が必要だが、各クライアントPC上でのプロセスを監視し、リモートで特定のプロセスを停止させたり、あるいは問題を起こすプロセスが判明した場合にポリシー配布で全クライアント一斉に実行を阻止したりと、監視や情報収集、リモート管理が容易になる。

 この情報収集に関する新機能は、「Exploit Guard」としてFall Creators Update以降にWindows Defender ATPで利用できるようになる。

 またFall Creators Updateでは「Application Guard」という新機能も追加される。これにより、Edgeブラウザで信用されているサイトを閲覧可能にしながら、信頼されていないサイトについては別のEdgeブラウザのプロセスを開始して処理を完全に分離し、サイトから離れると同時にクッキーやキャッシュなどの情報も含んだ形でプロセスを抹消するなど、安全性の高いWebブラウズを実現する。

 つまり、情報の抜き取りを目的としたサイトの機能を無効化できるようになるわけだ。どれほど効果があるのかは検証が必要だが、次期大型アップデートで楽しみな新機能の1つと言える。

[鈴木淳也(Junya Suzuki),ITmedia]

最終更新:7/5(水) 16:01
ITmedia PC USER