【前編】Windows10の標準セキュリティ機能だけで、会社の安全を守り切れるのか

【前編】Windows10の標準セキュリティ機能だけで、会社の安全を守り切れるのか

2020年1月にWindows7がサポート終了を迎え、Windows10への移行が進んできました。

ただ、
・社内に導入しているWindows10のセキュリティに不安がある
・しかし、何をどこまでどうしたらいいか分からない
というお悩みはありませんか?

日々進化しているウイルス(マルウェア)。経営陣がいくらセキュリティに気を付けていても、社員のデバイス(PCやスマホなど)が感染して他の社内PCに感染。その結果、重大な情報漏洩事件などのセキュリティ事故が起こる場合があります。

情報漏洩による損害賠償や信用の失墜、取引先の撤退など、セキュリティ事故の悪影響は想像以上に甚大です。

そこで、この記事では前編と後編に分けて、セキュリティを構築していく手法をご紹介していきます。

前編のテーマは、Windows10の標準セキュリティ機能の性能と問題について。
後編のテーマは、全デバイスを常に最新で、安全性の高い状態に保つ方法について。

それでは、まず前編としてWindows10の標準セキュリティ機能の問題についてご紹介します。

Windows10のセキュリティ機能である「Windows Defender」と、その性能

Windows10に標準搭載されている「Windows Defender」について、以下2つに分けて解説します。

・Windows Defenderとはそもそも何か
・Windows Defenderのウイルス検知能力

Windows DefenderとはWindows10搭載のセキュリティ機能

「Windows Defender」は、Windows10に標準搭載されているセキュリティ機能です。ウイルスなどの攻撃から、パソコンを保護します。

Windows Defenderが持つ機能は、大きく分けて以下の7つ。
ーーーーーーーーーー

 1.ウイルスと脅威の防止:ウイルスを検知、駆除
 2.アカウントの保護:パスワードでパソコンを保護
 3.ファイアウォールとネットワーク保護:不正な通信を阻止
 4.アプリとブラウザーの制御:不正なプログラムの実行を阻止
 5.デバイス セキュリティ:プログラム実行をシステムと切り離し、デバイスを保護
 6.デバイスのパフォーマンスと正常性:デバイスの状態を確認
 7.ファミリー オプション:子供の利用を制限

ーーーーーーーーーー

たとえば「ウイルスと脅威の防止」ではパソコンを監視し、脅威を検出する仕組みがあります。また「アプリとブラウザーの制御」では、悪意のあるサイトやファイルから守る設定も可能です。
つまり、基本的なセキュリティ機能に限れば、市販のセキュリティソフトに近い機能を備えてるといえます。

それではWindows Defenderがあれば、他のセキュリティソフトを使用しなくても安全なのでしょうか?
そこでWindows Defenderのウイルスを見つけ出す「検知能力」について、確認してみます。

Windows Defenderのウイルス検知能力について

Windows Defenderの検知能力を測るために、セキュリティソフトの性能評価テストを行っているAV-Comparatives(製品の性能評価テストと格付け認定を行っており、主要なセキュリティソフトのメーカーも結果に注目している)のレポートで、Windows Defenderの結果を確認してみます。

(レポートされているテストは、2019年8月30日までに収集し、重複を排除した10,556個のマルウェアサンプルを用いて行われたものです)

(1)Windows Defenderのオンアクセススキャンの保護率について

オンアクセススキャンの保護率について

出典:AV-Comparatives “Malware Protection Test September 2019”

まずオンアクセススキャンの保護率について、見ていきます。このオンアクセススキャンとは、ファイルの保存やデータ書き込みのタイミングで、リアルタイムにスキャンを行う機能です。

オンアクセススキャンの結果を確認すると、Windows Defenderの保護率は99.96%。
防ぐことのできなかったマルウェアは、10,556件中4件でした。

保護率は一番低いウイルスソフトでも、99.82%です。オンアクセススキャンに関しては、どのセキュリティソフトでも大きな差はありません。

(2)Windows Defenderのオンデマンドスキャンの検出率について

オンアクセススキャンの保護率について2

出典:AV-Comparatives “Malware Protection Test September 2019”

次にオンデマンドスキャンの結果を見ていきます。オンデマンドスキャンは、スケジュールや手動でパソコン内にあるファイルのスキャンを行う機能です。Windows Defenderの検出率は、インターネットに接続していないオフライン状態で29.7%、オンライン状態で76.3%という結果になりました。

(3)新種・亜種のウイルスへの対応について

次に新種や亜種のウイルスに対応できるのか、見ていきます。

Windows Defenderは、パターンファイル(ウイルスかどうか判定するために、過去のウイルスの特徴をまとめたデータ・ファイル)を使用してウイルス検知を行います。
ウイルス検知で使用するパターンファイルは、既に発見されたウイルスを分析して作られます。そのため作られたばかりの新種や亜種のウイルスは、パターンファイルに載っていません。

つまりWindows Defenderでは、パターンファイルが更新される前の新種や亜種のウイルスを検知するのは難しいということです。

次に、ウイルス以外のセキュリティ的な脅威である「脆弱性」への対策能力をご紹介します。

Windows Defenderによる脆弱性の通知について

まず「脆弱性」とはいわばOSやソフトウェアの弱点です。その脆弱性をついた攻撃により、重大なセキュリティ事故につながる可能性があるため、軽視することはできません。

そこでWindows Defenderには、Windows10 バージョン1709以降、脆弱性を悪用した攻撃を緩和するExploit Protectionが実装されました。

Windows Defenderによる脆弱性対策機能「Exploit Protection」

Exploit Protectionによって、脆弱性を悪用した攻撃でよく見られる動きを検知・ブロックします。
脆弱性の発見から更新プログラム提供までに攻撃する「ゼロデイ攻撃」でも、よくあるパターンであれば検知できるということです。ただ、あくまで攻撃パターンによる検知のため、新しい手法の攻撃を防ぎきるのは難しいことにはご注意ください。

脆弱性を悪用した攻撃をブロックした場合は、イベントログのみで確認できるが、判断は困難

イベントプロパティ

イベントログでブロックした例

またWindows Defenderは、「脆弱性を悪用した攻撃」をブロックした記録を、OSのイベントログに出力します。

ただ、攻撃でないものがブロックされ、ログに出力されることもあります。そのためログの内容を見て、脆弱性を悪用した攻撃をブロックしたログか判断するのは簡単ではありません。

Windows Defenderでブロックの記録は確認できますが、脆弱性を通知する機能はないのです。

Windows10ではウイルス対策強化が必要。しかしセキュリティソフトで防げない「脆弱性」対策はどうするのか?

前編・後編に分けて、セキュリティを構築していく手法をご紹介する本記事。
前編では、Windows10標準のセキュリティ機能「Windows Defender」の性能を確認しました。

Windows Defenderだけでは、セキュリティに対する不安が拭いきれない可能性もあります。
特に危険なのが、セキュリティソフトを入れて、ウイルス対策強化しただけでは防げない問題である「脆弱性」です。

そこで後編の「【後編】Windows10のセキュリティに重要なアップデートが漏れる理由と、現実的な一元管理方法とは?」では、

・脆弱性とは一体なにか?
・脆弱性対策として何をすれば良いのか?
・複数のパソコンを脆弱性対策する際の管理方法は?

など、「全デバイスを常に最新で、安全性の高い状態に保つ方法」について解説します。後編もぜひご覧ください。

【後編】Windows10のセキュリティに重要なアップデートが漏れる理由と、現実的な一元管理方法とは?