Windows 10では、Microsoft Defenderをはじめとする標準搭載のセキュリティ対策機能とWindowsの設定調整によって、より安全にWindows 10を利用できるようになります。
そこでここでは、個人用途のWindows 10を例に、セキュリティを強化するために、どのような機能を利用してどのような設定を行うべきかを紹介します。
目次
動作環境
この記事は、以下の環境で実行した結果を基にしています。他のエディションやバージョンでは、動作結果が異なる場合があることをご了承ください。
ソフトウェア | バージョン |
---|---|
Windows 10 Pro 64bit | 21H2 |
必須で利用すべき機能と設定
Windows Update
Windows Update画面を最低でも月に1回はチェックして、Windows 10が最新の状態であることを確認します。
Windows Update画面は、Windowsの「設定」から「更新とセキュリティ」>「Windows Update」から確認できます。
なお、Windows Update設定は、既定値のままでOKですが、より細かく設定を調整したいときは、以下の記事をご覧ください。

Microsoft Defender ウイルス対策
Windows 10には標準でウイルス対策ソフトとして「Microsoft Defenderウイルス対策」が搭載されています。
以前は、他のウイルス対策ソフトに比べ検出率が低いことから、標準搭載のウイルス対策機能だけでは危ないと言われていましたが、Windows 10になり「クラウド提供の保護」などが加わり、他のウイルス対策ソフトと遜色のない検出率を誇っています。
「Microsoft Defenderウイルス対策」の設定は、タスクバー右側の通知領域から「Windowsセキュリティ」アイコンをクリックして、Windowsセキュリティ画面から「ウイルスと脅威の防止」をクリックします。
「ウイルスと脅威の防止」画面が開いたら「ウイルスと脅威の防止の設定」で設定で「リアルタイム保護」「クラウド提供の保護」「改ざん防止」がオンになっていることを確認します。

Microsoft Defender Application Guard
「Microsoft Defender Application Guard(WDAG)」は、Windowsの仮想化テクノロジーであるHyper-Vを利用して、Webブラウザー「Microsoft Edge」を、ホストマシンとは隔離されたサンドボックス環境上で動かすことで、信頼できないWebサイトを閲覧した際のセキュリティリスクを大幅に軽減できる機能です。
また、未知の脅威やゼロデイ攻撃に対してもホストマシンへの影響を最小限に抑えることができます。
Microsoft Defender ファイアウォール
Windows 10には「Microsoft Defender ファイアウォール」が搭載されています。
「Microsoft Defender ファイアウォール」では、接続するネットワークに応じてマシンにアクセスできる通信を制御してくれ、不正アクセスなどを防いでくれます。
「Microsoft Defenderファイアウォール」の設定は、タスクバー右側の通知領域から「Windowsセキュリティ」アイコンをクリックして、Windowsセキュリティ画面から「ファイアウォールとネットワーク保護」をクリックします。
「アクティブ」と表示されているネットワークの種類は、自宅やオフィスなど信頼できるネットワークに接続している場合は「プライベート」、外出先など信頼できないネットワークに接続している場合は「パブリック」に設定されており、その下に「ファイアウォールは有効です」と表示されていることを確認します。
ユーザーアカウント制御
「ユーザーアカウント制御」は、Windows Vistaから導入されたセキュリティ対策機能です。この機能は、管理者ユーザーでログオンしても、通常時は標準ユーザーと同じ権限しかなく、アプリケーションのインストールなどでセキュリティもしくはOSの安定性に関わる操作を行おうとした際に、画面が暗転して昇格プロンプトが表示されるあれです。
一見すると、操作のたびにプロンプトが表示されるため、この機能をOFFにしたがる人も結構いますが、この昇格プロンプトが表示されてワンクッション置くことで、不正なプログラムなどによって勝手に権限が昇格され実行されることを防いでいます。
「ユーザーアカウント制御の設定」は「コントロールパネル」>「システムとセキュリティ」>「セキュリティとメンテナンス」>「ユーザーアカウント制御設定の変更」で設定します。
設定は、特別な事情がない限り既定値の「アプリがコンピューターに変更を加えようとする場合のみ通知する」で問題ないと思います。
エクスプローラー設定
セキュリティを強化する場合、エクスプローラーの設定も調整するべきです。
まず、エクスプローラーなどでファイルを表示する場合、ファイルのサムネイル(縮小版)を表示することで、ファイルを開かずにある程度内容を把握することができますが、機密ファイルなどを保存しているマシンでは、サムネイル(縮小版)の表示はオフにしておきましょう。
サムネイル(縮小版)の表示をオフにするには「フォルダーオプション」の詳細設定で「常にアイコンを表示し、縮小版は表示しない」をオンに設定します。
また、エクスプローラーでは、デフォルトでファイルの拡張子は表示されていませんが、怪しいファイルを誤って実行することがないよう、ファイルの拡張子を表示するように設定しておきましょう。
ファイルの拡張子を表示するには「フォルダーオプション」の詳細設定で「登録されている拡張子は表示しない」をオフに設定します。
WindowsHello認証
Windows 10では、Windowsへのサインイン方法として、パスワード認証以外にPINや生体認証を利用することができ、それらを設定することでセキュリティを強化できます。
詳しくは、以下の記事をご覧ください。

Microsoftアカウントに2段階認証
WindowsのログオンにMicrosoftアカウントを利用している場合は、Microsoftアカウントに複雑なパスワードを設定するとともに、万一パスワードが漏えいしても、不正アクセスできないように2段階認証を有効にしておくことをおすすめします。
2段階認証を有効にすると、Microsoftアカウントにサインインする際に、パスワード認証に加えて、登録済み電話番号へのSMSによる認証や、認証アプリなどを利用した認証を追加することができます。これによりパスワードを盗まれただけではサインインできないため安全性を向上することができます。
設定方法は、WebブラウザーでMicrosoftアカウントにサインインし「セキュリティ」画面で「その他のセキュリティーオプション」をクリックし「2 段階認証のセットアップ」から設定します。
状況に応じて追加で利用したい機能
上記の各機能に加えて、下記に挙げる機能を合わせて利用することで更にセキュリティを向上することができます。
コントロールされたフォルダーアクセス
この機能を有効にすると、あらかじめ設定したフォルダーに対して、許可したアプリしか書き込みできなくすることができます。これにより、万が一ランサムウェアがパソコンに侵入しても、許可されたアプリに登録されていないため、データが勝手に暗号化されることがなく、セキュリティ対策機能として大きな効果を期待できます。
「コントロールされたフォルダーアクセス」の設定は、タスクバー右側の通知領域から「Windowsセキュリティ」アイコンをクリックして、Windowsセキュリティ画面から「ウイルスと脅威の防止」>「ランサムウェアの防止」で設定します。
ただし、この機能を有効にすると、登録されていないアプリからは書き込みが禁止されるので、普段利用しているアプリをきちんと登録しておかないと、あらゆるシーンでアクセスが禁止されたというメッセージが表示され、使い勝手が大幅に低下してしまいます。
そのため、機能を有効にしてしばらくの間は、禁止のメッセージが出るたびにアプリを手動で登録していく必要があり、結構面倒です。
なお、この機能はMicrosoft Defenderウイルス対策の「リアルタイム保護」と一緒に利用する必要があります。
動的ロック
この機能は、ユーザーが普段身に付けているスマホとWindows 10マシンをBluetoothでペアリングしておけば、スマホを持って離席し、スマホがWindows 10マシンの通信範囲外になると、1分ほどで自動的にWindows 10マシンをロックしてくれる機能です。
「動的ロック」の設定は、スマホとペアリングした状態で、Windowsの「設定」から「アカウント」>「サインインオプション」>「動的ロック」で設定します。
BitLocker
Windows 10Prol以上に限定されますが、ノートパソコンや外付けHDDを持ち歩くなら、HDDやSSDを暗号化できる「BitLocker」の利用をおすすめします。
暗号化されていないHDDやSSDは、他のマシンに接続することでカンタンにデータを読み取ることができますが「BitLocker」で暗号化しておけば、万が一PCを紛失したり盗まれて、HDDやSSDを別のマシンに接続されても、データを読みとることはできないため、情報の漏えいを防ぐことができます。
「BitLocker」の設定は、エクスプローラーで対象のドライブを右クリックし「BitLockerを有効にする」から設定します。
なお、システムドライブ(OSをインストールしているドライブ)を暗号化する場合は、マシンにセキュリティチップ(TPM)が搭載されている必要があります。
あとがき
Windows 10の標準機能をうまく使いこなし適切な設定を行えば、十分安全にWindows 10を利用できます。
是非参考にしてください。