【追加コストゼロ】Windows 11標準機能「ウイルスと脅威の防止」で今すぐできるセキュリティ対策3選

• データの「身代金」要求を断固拒否する：
  ランサムウェア保護 （コントロールされたフォルダー アクセス）

  データの「身代金」要求を断固拒否する：ランサムウェア保護 （コントロールされたフォルダー アクセス）

  ランサムウェア被害の恐ろしさは、PC への侵入そのものよりも、侵入後に重要ファイルが暗号化され、使用不能になることにあります。業務データ、顧客リストなどがロックされれば、ビジネスは停止してしまいます。このファイルのロックを防ぐ一つの砦が、標準で備わっている「コントロールされたフォルダーアクセス」です。

  【機能の仕組み】

  この機能を有効にすると、ドキュメント、ピクチャ、デスクトップなどの重要なフォルダーが「保護された領域」として指定されます。この領域に対して、ファイルの変更や書き込みを行えるのは、Microsoftが安全と判断したアプリ、または管理者が明示的に許可したアプリのみです。つまり、万が一未知のランサムウェアが侵入したとしても、許可リストにないアプリであれば、保護されたフォルダー内のファイルに対する書き換え（暗号化）がブロックされる仕組みです。

  • 「設定」→「プライバシーとセキュリティ」→「Windowsセキュリティ」を開きます。

  • 「ウイルスと脅威の防止」をクリックします

  • 画面下部にある「ランサムウェア防止の管理」をクリックします。

    ※Intuneからポリシーを配布している場合、「この設定は管理者によって管理されています。」と表示され、
    ユーザーが変更できないように制御しています。

    

• 防御の「無効化」攻撃を無力化する：改ざん防止

  サイバー攻撃者は、システムに侵入した後、最初に行うことの一つとして「セキュリティソフトの停止」を試みます。どんなに優秀なアンチウイルス ソフトが入っていても、攻撃者によって無効化されてしまえば、PCは無防備な状態になります。この「防御の無効化」を防ぐのが「改ざん防止」です。

  【機能の仕組み】

  改ざん防止は、Windowsのセキュリティ設定そのものを保護する機能です。有効にすると、管理者権限を持つユーザーや、システム内で動作する悪意あるプログラムが、リアルタイム保護やクラウド提供の保護を勝手にオフにしようとしても変更が拒否され、必要に応じて設定が元に戻されます。

  【設定手順】

  • 「設定」→「プライバシーとセキュリティ」→「Windowsセキュリティ」を開きます。

  • 「ウイルスと脅威の防止」をクリックします。

  • 「ウイルスと脅威の防止の設定」セクションにある「設定の管理」をクリックします。

  • 「改ざん防止」がオンになっていることを確認し、オフの場合はオンにします。

    ※Intuneからポリシーを配布しているため、「この設定は管理者によって管理されています。」と表示され
    ユーザーが変更できないように制御しています。

    

• 悪意あるサイトとアプリを水際で止める：評価ベースの保護

  Webサイトの閲覧やファイルのダウンロードは、マルウェア感染の主要な侵入口です。
  「うっかり怪しいリンクをクリックしてしまった」「便利なツールだと思ってダウンロードしたらウイルスだった」というヒューマンエラーをシステム的にサポートするのが「評価ベースの保護」です。

  【機能の仕組み】

  この機能は、Microsoftが世界中のエンドポイントから収集した脅威インテリジェンスをもとに判定します。

  「このアプリは世界的に安全に利用されているか」「このURLはフィッシングとして報告されていないか」などをリアルタイムに照合し、危険性がある場合はアクセスをブロックしたり、警告を表示したりします。

  【設定手順】

  • 「設定」→「プライバシーとセキュリティ」→「Windowsセキュリティ」を開きます。

  • 「アプリとブラウザのコントロール」をクリックします。

  • 「評価ベースの保護設定」を開きます。

  • 以下の項目をすべて有効化します。

    ●アプリとファイルの確認:
    Webから取得した未確認のアプリ実行時に、Microsoft Defender SmartScreenで警告を表示（オンを確認）

    ●Microsoft Edge の SmartScreen:
    Edge利用時に悪意あるサイトやダウンロードから保護（オンを確認）

    ●フィッシングに対する保護:
    パスワード入力時などに接続先の危険性を監視（「悪意のあるアプリとサイトを警告する」にチェックが入っていることを確認）

    ●望ましくない可能性のあるアプリのブロック（PUA）:
    ウイルス感染ではないものの動作を遅くする、不要な広告を表示する等の評判の悪いアプリをブロック
    （「アプリのブロック」「ダウンロードのブロック」の両方にチェックを確認）

    ●Microsoft Store アプリの SmartScreen:
    StoreアプリがWebコンテンツへアクセスする際の安全性を確認（オンを確認）

    ※Intuneからポリシーを配布しているため、「この設定は管理者によって管理されています。」と表示され
    ユーザーが変更できないように制御しています。

    

今回ご紹介した機能は、Windows 11を利用している環境であれば、追加コストなしで今すぐ利用できます。セキュリティ対策の費用や監視サービスの導入について、すぐに予算化が難しい場合でも、まずはこれらを有効化して基本対策を講じることで、組織全体のセキュリティレベルを底上げできます。ぜひ設定画面を開き、各項目が「オン」になっているかをご確認ください。
なお、これらの設定はGPOとしてADから配布することも可能です。

解説は以上です。
パシフィックネットは、確かな技術力をもとに、お客様に合った最適な環境をご提案・構築いたします。
ご質問やご相談がございましたら、お気軽に当社までご相談ください。

執筆者：水口 博文