セキュリティから考える、Windows11へのアップデートの必然性

Windows 11にアップグレードすべきか

Windows 10は速やかに11にアップデート、リプレースすべきだろうか。この質問への、原則論の答えはイエスだ。セキュリティアップデートよりは優先度は下がるが、メジャーなバージョンアップは、それまでパッチでは対応しきれないようなカーネルやドライバの実装に関わる脆弱性への対応が含まれていることが多い。また、新技術や新機能によってセキュリティも強化されていることが多いからだ。

Windows XPからVista、7から8、8から10のようにアーキテクチャの変更が伴うようなメジャーアップデートは、同時に以前のバージョンのサポートが切られることも意味する。もちろん４～5年前後の猶予があるので急ぐ必要はないが、いずれサポートを受けられなくなりリプレースしなければならない。となれば、バージョンアップは単に時間の問題であり、積極的な理由や特別な事情がないかぎり先延ばしする理由もない。

しかし現実は、業務システムが古いWindowsやブラウザをベースにしている、新しいランタイムや実行環境では動かない特注プログラムが稼働している。オンラインゲームが起動しなくなったり反応が遅れる。そもそもPCが古いのでWindows 11に対応できない。といった事情でアップデートできない、しない企業も少なくない。

アップデートできない事情を十分に考慮した上で、必要な対策、被害緩和策を施すという運用は現実解ではある。その意思決定は尊重されるべきなので、Windows 11にアップグレードしないことを一概には責められない。したがって、ここではアップグレードやPCリプレースの参考になるような情報を提供する。

Windows 11ではゼロトラストネットワークとパスワードレス環境が強化された

セキュリティ機能について大きく変わった点は、ゼロトラストネットワークへの対応強化とパスワードレス指向がより強まったことだ。

ゼロトラストネットワークは、テレワークの浸透で脚光を浴びた概念だが、本質的にはクラウドコンピューティング時代のネットワークセキュリティの一形態と言える。サプライチェーンはグローバルに広がり、業務システムの機能はコンテナやマイクロサービスとしてAPIやファンクションの組み合わせで実現される。テレワークの普及やモバイルデバイスの高度化は、インターネットとイントラネットの境界をあいまいにする。すべてのユーザー、ソフトウェア、ハードウェアのアクセスは、信用できない相手からのものという前提で、状況ごとの認証・認可が必要という考え方がゼロトラストネットワークだ。

Windows 11では、ゼロトラストネットワークでの運用を前提にOSの機能を強化した。具体的にはMicrosoft Azure Attestation（MAA）をデフォルトで有効にし、プラットフォームの信頼性、ソフトウェアの整合性、ハードウェアの設置場所、ユーザーなどのシステム構成を検証し認証するようになった。MAAとは、たとえば、スマートフォンからのアクセスに対して、そのOS、アプリ、ユーザー、場所（位置）などを検証し、許可された状態かどうかを判定する。OKならば構成証明トークンを発行し、サーバーやシステムはこれをベースに処理を行う仕組みだ。

パスワードレスはFIDO2によって実現する。FIDO2は、パスワードに代わる新しい認証技術の標準規格を策定する団体FIDOアライアンスが定める規格の一つだ。これもデフォルトで設定しパスワードレス運用を強く推奨する設計となっている。FIDO2では、まず、端末側で生体認証（従来型パスワードでも原理的には可能）や多要素認証（MFA）などを使い、ユーザーの本人確認を行う。サーバーにはパスワードや生体情報ではなく、認証OKを示す鍵情報が送られる。サーバーは鍵情報をFIDOサーバーに照会して認証に問題がなければサービスセッションを開始するというもの。

FIDOサーバーには、事前にデバイスとユーザーの鍵情報が登録されているので、サーバーごとにパスワードを管理する必要がない。生体情報やパスフレーズはデバイスのみに保存されるのでサーバー保存より安全とされる。

仮想化によってWindowsの外側で保護する

この2つの機能は、VBS（Virtualization Based Security）を始めとする仮想化技術とそれに対応するセキュアコアPCといった技術、そしてTPM（Trusted Platform Module）機能によって実現される。

これらの機能はWindows 10にすでに実装されていたのだが、出荷時の設定がどれも無効となっていた。Windows 11ではこれがデフォルトで有効化されている。とくにTPMは専用のチップが必要な機能で、古いPCのマザーボードには実装されていないことが多い。この2、3年以内の購入でも廉価モデルはTPMチップが搭載されていないこともある。マイクロソフトはTPM搭載の有無（Windows 11対応機種かどうか）の判定を行うサイトを用意している。

TPMは独立したデバイスとしてOSの改ざんやマルウェアを検知できる。これらの検知をOS（Windows）が行っていたら、OSの改ざんや高度なステルス機能を持ったマルウェアは検知できない可能性がある。

そこで必要なのが仮想化技術だ。VBSはHyper-VというWindows向けのハイパーバイザーを利用している。ハイパーバイザーは、ハードウェアとOSの間で機能するもうひとつのOSと考えることができる。通常のOS（WindowsやLinux）は、ハードウェアとユーザーの間に入ってコンピュータを人間が操作できるようにする。通常OSがサービスを提供するのは人間ということになる。ハイパーバイザーは、ハードウェアを仮想化し複数のOS向けに仮想ハードウェアをサービスする。ハイパーバイザーはOSに対してサービスを提供するOSだ。

VBSはこの機能によって、Windowsそのものの改ざんやUEFI（Unified Extensible Firmware Interface。BIOSの後継）というWindowsを起動したり、ハードウェアとの基本的な通信（インターフェイス）を司る機構の改ざんまでも検知する。あるいは、FIDO2の生体認証をOSやアプリと切り離してVBS（ハイパーバイザー）レベルでの認証を行うことで、より安全な認証とすることができる。生体認証データのような機微なデータをアプリやWindowsより外に保管するような機能も可能だ。

高度化するマルウェアの防御策としてWindow 11

これらの機能でセキュリティが高まることはイメージできると思うが、実際にその効果はあるのだろうか。現状、Windows 11はリリースされたばかりなので、VBSやTPMが実際の攻撃を防いだという事例は確認されていない。

しかし、マルウェアの中には、OSの脆弱性を利用してログを改ざんしたり、アンチウイルスソフトやサンドボックスの起動を止めたりするものがある。OSとは別のレイヤで検知する機能があればこのリスクを低減できる。実際、Windows 10がHyper-Vに対応したのは、このような機能を実現できるようにという理由もあった。

組織のネットワークに潜在し続けるAPT（Advanced Persistent Threat）攻撃に利用される、さらに高度なマルウェアの中には、UEFIを改ざんして偽のセキュリティソフトやデバイスドライバ、OSアップデートを実行させるものが確認されている。UEFIは、これらのシステムソフトウェアのベンダー署名を確認して偽アプリのインストールを防ぐ機能があるのだが、最近のマルウェアはそれを回避する能力も持っている。

ランサムウェアの一部は、データの暗号化ではなくハードディスク（ストレージ）のMBR（システムを起動するために強制的に実行される領域。ファイルシステムの情報を管理する領域）を破壊してシステムを起動できなくするものもある。

ゼロトラストネットワークでは、アカウントでの認証以外に、接続デバイスや位置情報、操作パターン（ふるまい）などを総合的に判断して認可を行うが、シングルサインオンや認証サーバーにActive Directoryを利用することが多い。だが、Active DirectoryはNTLM（NT LAN Manager authentication）といったネットワークプロトコルの脆弱性がよく狙われている。TPM・VBSによる堅牢なデバイス側での生体認証とFIDO2によるシングルサインオンは、この対策にもなり得る。

見方を変えれば、現状でOSが持つ保護機能やセキュリティ機能だけでは防げない（検知できない）攻撃が増えてきたからこそ、マイクロソフトはTPMやVBSをデフォルトでONにしてきたと言える。本稿の改善されたポイントを、Windows 11へのアップグレード、リプレースの参考にしてほしい。