Windows10:標準機能だけでしっかりセキュリティ対策する方法

Windows8.1の頃まで「Windows Defender」をはじめとするWindowsに標準搭載されているセキュリティ対策機能は、利用者の信頼がそれほど高くなかったと思います。そのため、サードパーティのセキュリティ対策ソフトウェアを別途導入するのが常識のような感じでした。

ですが、Windows10になって標準搭載されているセキュリティ対策機能が大きく強化されているのをご存知でしょうか。それらをうまく使いこなせば、セキュリティ対策ソフトウェアを別途導入するのと変わらないぐらいのセキュリティ対策ができます。

ここでは、個人ユースのWindows10をしっかり守るために利用できる標準搭載のセキュリティ対策機能を紹介したいと思います。

動作環境

この記事は、以下の環境で実行した結果を基にしています。他のエディションやバージョンでは、動作結果が異なる場合があることをご了承ください。

項目
製品 Windows10 Professional 64bit
バージョン 1803(April 2018 Update)

必須で利用すべき機能

Windows Update

言うまでもないことですが、OSをはじめとするソフトウェアは、常に最新にしておくことがセキュリティ対策の基本です。よっぽどの事情がない限り定期的にアップデートして常に最新の状態で利用しましょう。

また、WindowsUpdateでの更新機能が有効になっていても、Windows 10が最新の状態になっていなければ意味がありません。だいたい月に1回は更新プログラムが提供されているので、それに合わせて適用結果を確認しましょう。

「Windows Update」の設定は「スタート」>「設定」>「更新とセキュリティー」>「Windows Update」の「詳細オプション」で設定します。

設定は既定値のままでOKです。Microsoft OfficeなどWindows以外のMicrosoft製品を導入している場合は「Windowsの更新時に他のMicrosoft製品の更新プログラムも入手します。」をオンにします。

Windows Defender

ウイルス対策ソフトの導入もセキュリティ対策の基本です。Windows10には標準でウイルス対策ソフトとして「Windows Defender」が搭載されています。

以前は、他のウイルス対策ソフトに比べ検出率が低いことから「Windows Defender」だけでは危ないと言われていましたが、Windows10になり「クラウド提供の保護」などが加わり、きちんと運用していれば、大抵のウイルスはきちんと防いでくれます。

「Windows Defender」の設定は「スタート」>「設定」>「更新とセキュリティー」>「Windowsセキュリティー」>「Windows Defenderセキュリティーセンターを開きます」をクリックし「ウイルスと脅威の防止」>「ウイルスと脅威の防止の設定」で設定します。

設定は「リアルタイム保護」と「クラウド提供の保護」が「オン」になっていればOKです。

Windows Defender Application Guard

「Windows Defender」は定番ウイルスに対してはしっかりと保護してくれますが、未知の脅威については、心もとないところがあります。また、最近では有害なWebサイトの閲覧によるセキュリティリスク(システムへの侵害・データ漏えい・データ破損)が高まっています。

そこで、April 2018 UpdateでWindows10 Professionalに搭載された「Windows Defender Application Guard(WDAG)」を利用します。この機能は、Windowsの仮想化テクノロジーである「Hyper-V」を利用して、Webブラウザー「Microsoft Edge」を、ホストマシンとは隔離されたサンドボックス環境上で動かします。これにより、信頼できないWebサイトを閲覧した際のセキュリティリスクを大幅に軽減することができます。また、未知の脅威やゼロデイ攻撃に対してもホストマシンへの影響を最小限に抑えることができます。

機能の有効化と利用方法については、別の記事で紹介しておりますので確認してみてください。

windows10:April 2018 Updateのおすすめ新機能2
2018年4月30日にWindows10の大型アップデート「April 2018 Update(バージョン 1803)」の配信が開始され...

ユーザーアカウント制御

「ユーザーアカウント制御」は、Windows Vistaから導入されたセキュリティ対策機能です。この機能は、管理者ユーザーでログオンしても、通常時は標準ユーザーと同じ権限しかなく、アプリケーションのインストールなどでセキュリティもしくはOSの安定性に関わる操作を行おうとした際に、画面が暗転して昇格プロンプトが表示されるあれです。

一見すると、操作のたびにプロンプトが表示されるため、この機能をOFFにしたがる人も結構いますが、この昇格プロンプトが表示されてワンクッション置くことで、不正なプログラムなどによって勝手に権限が昇格され実行されることを防いでいます。

「ユーザーアカウント制御の設定」は「コントロールパネル」>「システムとセキュリティ」>「セキュリティとメンテナンス」>「ユーザーアカウント制御設定の変更」で設定します。

設定は、特別な事情がない限り既定値の「アプリがコンピューターに変更を加えようとする場合のみ通知する」で問題ないと思います。

Windows Defender ファイアウォール

ウイルス対策と並んでセキュリティ対策で重要なのがファイアウォールです。Windows10には「Windows Defender ファイアウォール」が搭載されいます。

「Windows Defender ファイアウォール」では、接続するネットワークに応じてマシンにアクセスできる通信を制御してくれ、不正アクセスなどを防いでくれます。

「Windows Defenderファイアウォール」の設定は「スタート」>「設定」>「更新とセキュリティー」>「Windowsセキュリティー」>「Windows Defenderセキュリティーセンターを開きます」をクリックし「ファイアウォールとネットワーク保護」で設定します。

「アクティブ」と表示されているネットワークの種類は、自宅やオフィスなど信頼できるネットワークに接続している場合は「プライベート」、外出先など信頼できないネットワークに接続している場合は「パブリック」に設定されており、その下に「ファイアウォールは有効です」と表示されていればOKです。

ネットワークの種類を、手動で切り替えるには「スタート」「設定」>「ネットワークとインターネット」で「ネットワークの状態」にある接続プロパティの変更をクリックし、ネットワークの種類を選択します。

また、ネットワークの種類ごとでアクセスできるアプリをカスタマイズするには、上の画像の下段付近にある「ファイアウォールによるアプリケーションの許可」をクリックし、開いた画面で設定することができます。

Microsoftアカウントに2段階認証

WindowsのログオンにMicrosoftアカウントを利用している場合は、Microsoftアカウントに複雑なパスワードを設定するとともに、万一パスワードが漏えいしても、不正アクセスできないように2段階認証を有効にしておくことをおすすめします。

2段階認証を有効にすると、Microsoftアカウントにサインインする際に、パスワード認証に加えて、登録済み電話番号へのSMSによる認証や、認証アプリなどを利用した認証を追加することができます。これによりパスワードを盗まれただけではサインインできないため安全性を向上することができます。

設定方法は、WebブラウザーでMicrosoftアカウントにサインインし「セキュリティ」画面で「その他のセキュリティーオプション」をクリックし「2 段階認証のセットアップ」から設定します。

状況に応じて追加で利用したい機能

上記の各機能に加えて、下記に挙げる機能を合わせて利用することで更にセキュリティを向上することができます。

コントロールされたフォルダーアクセス

この機能を有効にすると、あらかじめ設定したフォルダーに対して、許可したアプリしか書き込みできなくすることができます。これにより、万が一ランサムウェアがパソコンに侵入しても、許可されたアプリに登録されていないため、データが勝手に暗号化されることがなく、セキュリティ対策機能として大きな効果を期待できます。

「コントロールされたフォルダーアクセス」の設定は「スタート」>「設定」>「更新とセキュリティー」>「Windowsセキュリティー」>「Windows Defenderセキュリティーセンターを開きます」をクリックし「ウイルスと脅威の防止」>「ランサムウェアの防止」で設定します。

ただし、この機能を有効にすると、登録されていないアプリからは書き込みが禁止されるので、普段利用しているアプリをきちんと登録しておかないと、あらゆるシーンでアクセスが禁止されたというメッセージが表示され、使い勝手が大幅に低下してしまいます。

そのため、機能を有効にしてしばらくの間は、禁止のメッセージが出るたびにアプリを手動で登録していく必要があり、結構面倒です。

なお、この機能はWindows Defenderの「リアルタイム保護」と一緒に利用する必要があります。

ダイナミックロック

この機能は、ユーザーが普段身に付けているスマホとWindows10マシンをBluetoothでペアリングしておけば、スマホを持って離席し、スマホがWindows10マシンの通信範囲外になると、30秒ほどで自動的にWindows10マシンをロックしてくれる機能です。

「ダイナミックロック」の設定は、スマホとペアリングした状態で「スタート」>「設定」>「アカウント」>「サインインオプション」>「ダイナミックロック」で設定します。

BitLocker

Windows10Professional以上に限定されますが、ノートパソコンや外付けHDDを持ち歩くなら、HDDやSSDを暗号化できる「BitLocker」の利用をおすすめします。

暗号化されていないHDDやSSDは、他のマシンに接続することでカンタンにデータを読み取ることができますが「BitLocker」で暗号化しておけば、万が一PCを紛失したり盗まれて、HDDやSSDを別のマシンに接続されても、データを読みとることはできないため、情報の漏えいを防ぐことができます。

「BitLocker」の設定は、エクスプローラーで対象のドライブを右クリックし「BitLockerを有効にする」から設定します。

なお、システムドライブ(OSをインストールしているドライブ)を暗号化する場合は、マシンにセキュリティチップ(TPM)が搭載されている必要があります。

まとめ

Windows10の標準機能をうまく使いこなせば、お金をかけなくてもかなりのセキュリティ対策ができます。

気になる点があるとすれば、標準機能を使ってセキュリティ対策をする場合、サードパーティーのセキュリティ対策ソフトウェアを導入するのに比べて、WindowsOSの操作や設定についてある程度の知識が必要なのと、機能ごとに設定する必要があるため、管理しづらいという点はあります。