本記事は、Windows Security のブログ “Introducing Windows Defender Application Control” (2017 年 10 月 23 日 米国時間公開) を翻訳したものです。
今日の脅威ランドスケープを考えると、アプリケーション制御は企業を守る重要な防衛線であり、従来型のウイルス対策ソリューションに対して固有の優位性を持っています。具体的に言うと、アプリケーション制御を実施することで、すべてのアプリケーションが既定で信頼できると仮定するモデルが、アプリケーションを実行するためには信頼を獲得しなければならないモデルに反転するのです。Australian Signals Directorate など多数の組織はこの事実を理解し、アプリケーション制御を、実行可能ファイルベースのマルウェア (.exe、.dll など) に対処する最も効果的な方法の 1 つとしてしばしば引き合いに出しています。
ほとんどのお客様がアプリケーション制御の価値を本質的に理解している一方で、管理可能な方法でアプリケーション制御ソリューションを使用しているお客様は現実にはごくわずかです。結果として、アプリケーション制御ソリューションの採用率は低いままです。実際に何らかのアプリケーション制御テクノロジを使用しているお客様は 20% 程度しかいないと見積もっています。しかも包括的な許可/拒否リストの作成とメンテナンスが難しいため、一部のデバイスのみで使用している場合がほとんどです。Windows 10, version 1709、別名 Fall Creators Update ではそのあたりを変更し、ほとんどのお客様がほぼすべてのデバイスで採用し展開することが可能な選択肢としてソリューションを提供します。
Windows 10 におけるアプリケーション制御
Windows 10 では Windows Defender Device Guard が導入され、そのハードウェアおよび OS のテクノロジ群は、一緒に構成することで、企業は Windows システムをロック ダウンして多くのモバイル デバイスのプロパティと動作させることが可能になります。Device Guard では、構成可能なコードの整合性 (CI) と呼ばれる機能を使って承認されたアプリのみがデバイスで実行されるよう制限しながら、同時にコード整合性の仮想化ベース保護 (HVCI) の使用を通じてカーネル メモリ攻撃に対する OS のセキュリティを強化します。Device Guard の構成可能な CI は、他の多くのソリューションにはない独自の優位性を複数持つ、高度に分化したアプリケーション制御ソリューションをお客様に提供します。
まず、構成可能な CI ポリシーは Windows カーネルにより強制されます。従って、ブート シーケンスの早い段階の、その他のほぼすべての OS コードおよび従来型のウイルス対策ソリューションが実行される前にポリシーが有効になります。2 つ目に、お客様はユーザー モードで実行されているコードに対してのみではなく、カーネル モード ハードウェアおよびソフトウェア ドライバー、さらには Windows の一部として実行されるコードに対しても、構成可能な CI を使用してアプリケーション制御ポリシーを設定することができます。3 つ目として、構成可能な CI ポリシーにデジタル署名することで、ローカル管理者でさえもポリシーを改ざんすることができなくなります。つまり、ポリシーの変更には管理者権限だけでなく、組織のデジタル署名プロセスへのアクセスも必要であることを意味します。これによって、管理者権限を取得した攻撃者またはマルウェアによるアプリケーション制御ポリシーの改ざんが非常に難しくなりました。そして最後に、構成可能な CI の強制メカニズム全体が HVCI によって保護されることで、カーネル モードに脆弱性が存在した場合でも、攻撃者がその悪用に成功する確率は著しく低下しました。このことが、なぜ関係あるのでしょうか? それは、このような仕様でなければ、カーネルを侵害する攻撃者は、ほとんどのシステム防御策を無効にし、構成可能な CI やその他のアプリケーション制御ソリューションによって強制されたアプリケーション制御ポリシーを上書きできる権限を取得することができてしまうためです。
Windows Defender Application Control を改めて紹介します
当初の Device Guard は、特定のセキュリティを実現することを想定して設計されました。構成可能な CI と HVCI という 2 つの主要な OS 機能の間には直接的な依存関係はありませんが、私たちはこの 2 つの機能を一緒に展開した場合に実現する Device Guard のロックダウン状態にマーケティング ストーリーの焦点を当てました。しかしながら、このストーリーによって、2 つの機能が絶対的にリンクしており別々に展開することができないという印象を多くのお客様に残すことになりました。また、HVCI が Windows の仮想化ベース セキュリティに依存することから、追加のハードウェア、ファームウェア、およびカーネル ドライバーとの互換性要件があり、古いシステムでは対応できない場合があります。その結果、多くのお客様は構成可能な CI も同様に使用できないと考えてしまったのです。しかし、構成可能な CI には Windows 10 を実行すること以外に特定のハードウェアやソフトウェア要件はなく、多くのお客様はこの強力なアプリケーション制御機能を間違って認識していたことになります。
Windows 10 の最初のリリース以来、世の中は無数のハッキングやマルウェア攻撃に直面しましたが、アプリケーション制御だけで防ぐことができた攻撃は多くあります。そこで、Fall Creators Update では構成可能な CI をセキュリティ スタック内で格上げし、Windows Defender Application Control という名称を付けました。このブランディングの変更により、Windows におけるアプリケーション制御の選択肢についてのお客様とのコミュニケーションが促進され、それにより、さらに多くのお客様が自組織内でアプリケーション制御に取り組めるようになることを願っています。
では、Windows Defender Device Guard はなくなってしまうのでしょうか? まったくそうではありません。Device Guard は Windows Defender Application Control (WDAC)、HVCI、およびハードウェアとファームウェアのセキュリティ機能によって実現される、完全にロック ダウンされた状態を表す方法として引き続き存在します。また、お客様が、当初の Device Guard シナリオにおけるすべてのハードウェアおよびファームウェア要件に対応しているデバイスの購入を容易にするために、OEM パートナーと協業し “Device Guard に対応” しているデバイスの仕様を特定することも可能にします。
管理インストーラーで Application Control をより簡単に
2017 年の春にリリースされた Windows 10 Creators Update (1703) では、WDAC に管理インストーラーと呼ばれるオプションを導入しました。管理インストーラーは、System Center Configuration Manager のようなソリューションでソフトウェア ライブラリを一元管理している組織向けに、WDAC 管理をシンプルにします。このオプションを利用すると、企業は信頼するソフトウェア配布機関を宣言でき、そこから展開されたアプリケーションは、明示的な許可ルールを定義することなしに WDAC アプリケーション制御ポリシーで自動的に承認されるようになります。System Center Configuration Manager 1706 は WDAC と管理インストーラーをネイティブ サポートするので、WDAC の展開は数クリックで完了します。
Application Control による許可リストの管理が容易に
Windows Defender Application Control をセキュリティ スタック内で再位置づけすることで Device Guard の要件に関する混乱を防ぎ、また管理インストーラーによって、管理の行き届いたソフトウェア ライブラリを持つ組織の選択肢は劇的に単純化されます。それにもかかわらず、業務上の必要性であるとか、組織が一元管理に抵抗感があることで、アプリケーション制御の導入に苦戦するお客様がほとんどです。これらのお客様を考慮し、Fall Creators Update では WDAC の新しいオプションを発表します。このオプションを使うと、マイクロソフトのクラウド上で動くインテリジェント セキュリティ グラフ (ISG) を活用し、Windows 上で稼働する何十億ものアプリやバイナリのカタログを基にはじき出された、広く知られており評判の良いアプリを自動的に承認することができます。ISG オプションが有効化されると、よく知られており評判が良いとマイクロソフト ISG が判定したソフトウェアは自動的に承認されます。各アプリケーションやバイナリ用の詳細なルールを手動で作成する必要ありません。IT 管理者は、Microsoft Office や Adobe Reader などよく使用され普及しているソフトウェアを容易に許可しつつ、未知の、あるいは悪さをすることが知られているソフトウェアが実行されるのを防ぐことができます。このようなクラウドドリブンなアプリケーション制御によって、お客様は見慣れないスクリプトやバイナリを実行する WannaCry などの攻撃から自環境を保護することができます。同時に、エンド ユーザーやビジネス グループは個々のアプリケーション要求を引き続き管理することができます。
より厳格に管理された環境や一元管理された環境で Application Control を使用する
Creators Update および Fall Creators Update で導入されたすべての新しいポリシー オプションは、以前リリースされた Windows 10 の WDAC ポリシーを補完するためのものです。コード署名によってアプリケーションを堅牢な方法で識別し承認することが可能で、明示的な許可/拒否ルールと組み合わせれば、企業は最もセキュアなアプリケーション制御ポリシーを実現することができます。管理インストーラーや ISG ドリブンのアプリケーション制御など、最新の制御機能は企業にとってセキュリティ要件と管理のしやすさの要件のバランスを保つために役立ちます。企業がこれらのオプションを SignTool (英語情報)、Package Inspector (英語情報) やビジネス向け Microsoft ストアの Device Guard 署名サービスのような既存のツールと合わせて使用すれば、アプリケーション制御を活用したさらにセキュアな Windows 10 システムを構築するために必要なものはすべて揃います。現在開発中のアプリに関しては、SignTool などの Windows SDK ツールで、アプリケーションの構築プロセスにコード署名を組み込むことができます。開発中ではないアプリケーションやサード パーティ製のアプリケーションでは、Package Inspector を使ってアプリケーションのインストール プロセスをモニターし、カタログ ファイルを生成します。生成されたカタログ ファイルは、組織の署名を使って署名することが可能なため、組織は既存のアプリケーションを再構築したり再パッケージ化することなく承認することができます。カタログの署名は、組織内の PKI が発行した証明書を使用するか、Device Guard 署名サービスを使用してコード署名キーを管理したりカタログ ファイルに署名することができます。Device Guard 署名サービスは、組織特有のコード署名キーを自動的に生成してセキュアに保ち、アプリケーション カタログ ファイルのアップロードと署名のための使いやすいインターフェイスを提供します。
Windows Defender ATP の Windows Defender Application Control
Windows Defender Advanced Threat Protection (WD ATP) は、Fall Creators Update で大幅に改訂されます。その 1 つが Windows の予防的な保護スタックの統合された管理に関するもので、Windows Defender Application Control、ウイルス対策、ファイアウォールなどの機能で、遭遇したものの Windows の予防的な保護スタックにブロックされたマルウェアや他の種類の攻撃について十分に確認することができるようになります。これらの情報はすべて、セキュリティ運用チームに一元化された管理画面を提供する Windows Defender ATP のセキュリティ センター コンソールに表示されます。さらに、下の図に示すように、これらの予防的な保護機能は System Center Configuration Manager または Intune で一元的に有効化したり構成したりすることができます。
Fall Creators Update では、アプリケーション制御を、管理がしやすく、かつ Windows 10 Enterprise Edition を実行するどのデバイス上でも使用できるソリューションとして早い段階でマーケットに提供したことで、誰もが使用できる機能にしたと自負しています。Fall Creators Update をダウンロードし、Windows Defender Application Control が皆さまの組織に適合するかどうか、概念実証テストを開始してください。組織およびユーザーにとってよい良いソリューションとなるよう、皆様からのフィードバックをお待ちしています。
Nazmus Sakib
Program Manager, Windows & Devices Group, Security & Enterprise