Windowsの標準搭載機能でセキュリティ対策を実施する場合は、Microsoft Defenderをはじめとする標準搭載のセキュリティ対策機能やWindowsの設定を適切に調整する必要があります。
そこでここでは個人用途のWindows 10を例に、標準搭載機能でセキュリティ対策を行う場合に、設定すべき機能を紹介します。
目次
必須で利用すべき機能と設定
Windows Update
Windows Update画面を最低でも月に1回はチェックして、Windows 10が最新の状態であることを確認します。
Windows Update画面は、Windowsの「設定」から「更新とセキュリティ」>「Windows Update」から確認できます。
なお、Windows Update設定は、既定値のままでOKですが、より細かく設定を調整したいときは、以下の記事をご覧ください。
Microsoft Defender ウイルス対策
Windows 10にはウイルス対策機能として「Microsoft Defenderウイルス対策」が標準搭載されています。
以前は、他のウイルス対策ソフトに比べ検出率が低いことから、標準搭載のウイルス対策機能だけでは危ないと言われていましたが、Windows 10からは「クラウド提供の保護」などの機能も加わり、パフォーマンス、マルウェアの検出精度、使いやすさの点で、有償のセキュリティ対策ソフトと同等の高い評価を受けています。
「Microsoft Defenderウイルス対策」の設定は、タスクバー右側の通知領域から「Windowsセキュリティ」アイコンをクリックして、Windowsセキュリティ画面から「ウイルスと脅威の防止」をクリックします。
「ウイルスと脅威の防止」画面が開いたら「ウイルスと脅威の防止の設定」で設定で「リアルタイム保護」「クラウド提供の保護」「改ざん防止」がオンになっていることを確認します。
Microsoft Defender ファイアウォール
Windows 10にはファイアウォール機能として「Microsoft Defender ファイアウォール」が標準搭載されています。
「Microsoft Defender ファイアウォール」では、接続するネットワークに応じてマシンにアクセスできる通信を制御してくれ、不正アクセスなどを防いでくれています。
「Microsoft Defenderファイアウォール」の設定は、タスクバー右側の通知領域から「Windowsセキュリティ」アイコンをクリックして、Windowsセキュリティ画面から「ファイアウォールとネットワーク保護」をクリックします。
「アクティブ」と表示されているネットワークの種類は、自宅やオフィスなど信頼できるネットワークに接続している場合は「プライベート」、外出先など信頼できないネットワークに接続している場合は「パブリック」に設定されており、その下に「ファイアウォールは有効です」と表示されていることを確認します。
なお、Microsoft Defenderファイアウォールは、デフォルトで受信の通信のみが制限されており、送信の通信には制限がかかっていないため、よりセキュリティを強化したい場合は、送信の通信に対しても必要な通信のみを許可するなどの設定を行う必要があります。
ユーザーアカウント制御
「ユーザーアカウント制御」は、Windows Vistaから導入されたセキュリティ対策機能です。
この機能を利用することで、管理者ユーザーでログオンしても、通常時は標準ユーザーと同じ権限しかなく、アプリケーションのインストールなどでセキュリティもしくはOSの安定性に関わる操作を行おうとした際に、画面が暗転して昇格プロンプトが表示されるようにすることで、不正なプログラムなどによって勝手に権限が昇格され実行されるのを防いでくれています。
「ユーザーアカウント制御の設定」は「コントロールパネル」>「システムとセキュリティ」>「セキュリティとメンテナンス」>「ユーザーアカウント制御設定の変更」で設定します。
設定は、セキュリティと利便性のバランスを考えると、既定値の「アプリがコンピューターに変更を加えようとする場合のみ通知する」で問題ないでしょう。
エクスプローラー設定
エクスプローラーは、Windowsに標準搭載されているファイルマネージャーで、セキュリティを強化する場合、エクスプローラーの設定も調整するべきです。
まず、エクスプローラーなどでファイルを表示する場合、ファイルのサムネイル(縮小版)を表示することで、ファイルを開かずにある程度内容を把握することができますが、機密ファイルなどを保存しているマシンでは、サムネイル(縮小版)の表示はオフにしておきましょう。
サムネイル(縮小版)の表示をオフにするには「フォルダーオプション」の詳細設定で「常にアイコンを表示し、縮小版は表示しない」をオンに設定します。
また、エクスプローラーでは、デフォルトでファイルの拡張子は表示されていませんが、怪しいファイルを誤って実行することがないよう、ファイルの拡張子を表示するように設定しておきましょう。
ファイルの拡張子を表示するには「フォルダーオプション」の詳細設定で「登録されている拡張子は表示しない」をオフに設定します。
WindowsHello認証
Windows 10では、Windowsへのサインイン方法として、パスワード認証以外にPINや生体認証を利用することができ、それらを設定することでセキュリティを強化できます。
詳しくは、以下の記事をご覧ください。
Microsoftアカウントに2段階認証
WindowsのログオンにMicrosoftアカウントを利用している場合は、Microsoftアカウントに複雑なパスワードを設定するとともに、万一パスワードが漏えいしても、不正アクセスできないように2段階認証を有効にしておくことをおすすめします。
2段階認証を有効にすると、Microsoftアカウントにサインインする際に、パスワード認証に加えて、登録済み電話番号へのSMSによる認証や、認証アプリなどを利用した認証を追加することができます。これによりパスワードを盗まれただけではサインインできないため安全性を向上することができます。
設定方法は、WebブラウザーでMicrosoftアカウントにサインインし「セキュリティ」画面で「その他のセキュリティーオプション」をクリックし「2 段階認証のセットアップ」から設定します。
状況に応じて追加で利用したい機能
上記に加えて、下記に挙げる機能を合わせて利用することで、よりセキュリティを強化することができます。
コントロールされたフォルダーアクセス
「コントロールされたフォルダーアクセス」機能を有効にすると、あらかじめ設定したフォルダーに対して、許可したアプリしか書き込みできなくできます。
これにより、万が一ランサムウェアがパソコンに侵入しても、許可されたアプリに登録されていないため、データが勝手に暗号化されることがなく、セキュリティ対策機能として大きな効果を期待できます。
「コントロールされたフォルダーアクセス」の設定は、タスクバー右側の通知領域から「Windowsセキュリティ」アイコンをクリックして、Windowsセキュリティ画面から「ウイルスと脅威の防止」>「ランサムウェアの防止」で設定します。
ただし、この機能を有効にすると、登録されていないアプリからは書き込みが禁止されるので、普段利用しているアプリをきちんと登録しておかないと、あらゆるシーンでアクセスが禁止されたというメッセージが表示され、利便性が大幅に低下してしまいます。
そのため、機能を有効にしてしばらくの間は、禁止のメッセージが出るたびにアプリを手動で登録していく必要があり、結構面倒です。
なお、この機能はMicrosoft Defenderウイルス対策の「リアルタイム保護」と一緒に利用する必要があります。
動的ロック
「動的ロック」機能は、ユーザーが普段身に付けているスマートフォンとWindows 10マシンをBluetoothでペアリングして、スマートフォンがWindows 10マシンの通信範囲外になると、1分ほどで自動的にWindows 10マシンをロックしてくれる機能です。
「動的ロック」の設定は、スマートフォンとWindowsをペアリングした状態で、Windowsの「設定」から「アカウント」>「サインインオプション」>「動的ロック」で設定します。
BitLocker
Windows 10Prol以上に限定されますが、ノートパソコンや外付けHDDを持ち歩くなら、HDDやSSDを暗号化できる「BitLocker」の利用をおすすめします。
暗号化されていないHDDやSSDは、他のマシンに接続することでカンタンにデータを読み取ることができますが「BitLocker」で暗号化しておけば、万が一PCを紛失したり盗まれて、HDDやSSDを別のマシンに接続されても、データを読みとることができないため、情報の漏えいを防ぐことができます。
BitLockerを使ってHDDやSSDを暗号化する方法は、以下の記事をご覧ください。
あとがき
Windows 10の標準機能をうまく使いこなし適切な設定を行えば、十分安全にWindows 10を利用できます。是非参考にしてください。