相手先ブランド供給のセキュリティに関する考慮事項

  • [アーティクル]

相手先ブランド供給 (OEM) には、お客様が利用できるセキュリティ対策の有効性に影響を与える、他にはない機会があります。 お客様は、自分のデバイスをセキュリティで保護する機能を望み、必要としています。 Windows 10 のセキュリティ機能は、セキュリティ対策が施されたハードウェアとファームウェアを基にして構築されています。 そこで役に立つのが OEM です。 OEM は、デバイスを差別化したり、エンタープライズ分野に販売したりするため、最新のハードウェア拡張機能を提供し、それを利用して安全性が向上するように Windows 10 を構成できます。

IT 担当者: エンタープライズへの展開方法など、これらの機能について詳しくは、デバイスのセキュリティに関する記事と、「Windows 10 ベースのデバイスの正常性を制御する」をご覧ください。

Windows 10 S

Windows 10 S は、Windows 10 Pro の特定の構成であり、セキュリティとパフォーマンスのために合理化された、使い慣れた Windows エクスペリエンスを提供します。 Windows 10 S は、最高のクラウドとフル機能のアプリを提供し、最新のデバイス向けに設計されています。 Microsoft Defender は常にオンになっていて、常に最新です。

Windows 10 S では、ストアからの検証済みアプリと、Windows Update からの検証済みドライバーのみが実行されます。 Windows 10 S では Azure Active Directory がサポートされており、MSA または Intune for Education と組み合わせると、Windows 10 S では既定でファイルが OneDrive に格納されます。

OEM: Windows 10 S について詳しくは、「OEM 向けの Windows 10 S のセキュリティ機能と要件」をご覧ください。

BitLocker によるデバイスの暗号化

BitLocker デバイス暗号化は、販売するデバイスで適切なハードウェアのセットを提供することによって、OEM が有効にする一連の機能です。 ハードウェアを適切に構成しないと、デバイスの暗号化は有効になりません。 ハードウェアを適切に構成すると、Windows 10 によってデバイスが自動的に暗号化されます。

OEM: bitlocker について詳しくは、「OEM 向け Windows 10 での BitLocker ドライブ暗号化」をご覧ください。

セキュア ブート

セキュア ブートは、PC 業界のメンバーによって開発されたセキュリティ標準で、PC の製造元によって信頼されているソフトウェアのみを使用して PC が起動されるようにするのに役立ちます。 PC が起動すると、ファームウェアによって、ファームウェア ドライバー (オプション ROM)、EFI アプリケーション、およびオペレーティング システムを含む、各ブート ソフトウェアの署名がチェックされます。 署名が有効な場合、PC が起動し、ファームウェアによってオペレーティング システムに制御が渡されます。

OEM: OEM 向けのセキュア ブートの要件について詳しくは、「セキュア ブート」をご覧ください。

トラステッド プラットフォーム モジュール (TPM) 2.0

トラステッド プラットフォーム モジュール (TPM) テクノロジは、ハードウェア ベースのセキュリティ関連機能を提供するために設計されています。 TPM チップは、暗号化キーの生成、保存、使用制限などを行う際に役立つセキュアな暗号プロセッサです。 このチップには、改ざんに強い複数の物理セキュリティ メカニズムが搭載されており、悪意のあるソフトウェアが TPM のセキュリティ機能を破ることはできません。

Note

2016 年 7 月 28 日以降、すべての新しいデバイスのモデル、ライン、またはシリーズ (既存モデルのハードウェア構成を更新する場合は、CPU、グラフィック カードなどの主要な更新を伴う既存のラインまたはシリーズ) は、既定で TPM 2.0 を実装して有効にする必要があります (詳しくは、最小ハードウェア要件のページのセクション 3.7 をご覧ください)。 TPM 2.0 を有効にするための要件は、新しいデバイスの製造にのみ適用されます。

OEM: 詳しくは、トラステッド プラットフォーム モジュール (TPM) 2.0 のハードウェア要件に関する記事をご覧ください。

IT 担当者: 企業での TPM の動作については、「トラステッド プラットフォーム モジュール」をご覧ください

Unified Extensible Firmware Interface (UEFI) の要件

UEFI は、古い BIOS ファームウェア インターフェイスに代わるものです。 デバイスが起動すると、ファームウェア インターフェイスによって PC の起動プロセスが制御され、Windows または別のオペレーティングシステムに制御が渡されます。 UEFI を使用すると、オペレーティング システムが読み込まれる前に信頼されていないコードが実行されるのを防ぐのに役立つ、セキュア ブートや工場出荷時に暗号化されたドライブなどのセキュリティ機能が有効になります。 Windows 10 バージョン 1703 では、UEFI 仕様バージョン 2.3.1c が必要です。 UEFI に関する OEM の要件について詳しくは、UEFI ファームウェアの要件に関する記事をご覧ください。

OEM: UEFI ドライバーをサポートするために行う必要があることについて詳しくは、「Windows の UEFI」をご覧ください。

仮想化ベースのセキュリティ (VBS)

ハードウェア ベースのセキュリティ機能 (仮想化ベースのセキュリティまたは VBS とも呼ばれます) を使用すると、通常のオペレーティング システムからセキュリティで保護されたカーネルを分離できます。 この分離により、オペレーティング システムの脆弱性やゼロ デイ攻撃を悪用することができなくなります。

OEM: VBS のハードウェア要件について詳しくは、仮想化ベースのセキュリティ (VBS) のハードウェア要件に関する記事をご覧ください。

Microsoft Defender Application Guard

Application Guard を使うと、企業が定義した非信頼サイトを分離し、従業員がインターネットを閲覧しているときに企業を保護することができます。

企業のお客様にデバイスを販売している場合は、企業が必要とするセキュリティ機能をサポートするハードウェアを提供することができます。

OEM: Microsoft Defender Application Guard のハードウェア要件について詳しくは、「Microsoft Defender Application Guard のハードウェア要件」をご覧ください。

Microsoft Defender Credential Guard

Credential Guard では、仮想化ベースのセキュリティを使用して、NTLM パスワード ハッシュや Kerberos チケット保証チケットなどのシークレットを分離および保護し、Pass-the-Hash または Pass-the-Ticket 攻撃をブロックします。

OEM: Microsoft Defender Credential Guard のハードウェア要件について詳しくは、「Microsoft Defender Credential Guard のハードウェア要件」をご覧ください。

IT 専門化: 企業で Microsoft Defender Credential Guard を構成して展開する方法については、Microsoft Defender Credential Guard によるドメインの派生資格情報の保護に関する記事をご覧ください。

Hypervisor-Protected Code Integrity は、企業に関連するハードウェアとソフトウェアのセキュリティ機能の組み合わせです。これらをまとめて構成した場合、デバイスがロックダウンされ、コード整合性ポリシーで定義した信頼されているアプリケーション以外は実行できなくなります。

Windows 10 1703 以降、Microsoft Defender Device Guard の機能は、Microsoft Defender Exploit GuardMicrosoft Defender Application Control の 2 つの新機能にグループ化されました。 これらを両方とも有効にすると、Hypervisor-Protected Code Integrity が有効になります。

OEM: Hypervisor-Protected Code Integrity のハードウェア要件について詳しくは、「仮想化ベースのセキュリティ (VBS)」をご覧ください。

IT プロフェッショナル: Hypervisor-Protected Code Integrity を企業に展開する方法については、Hypervisor-Protected Code Integrity の要件と展開の計画のガイドラインに関する記事をご覧ください。

カーネル DMA 保護

ハードウェア ベースのセキュリティ機能 (メモリ アクセス保護とも呼ばれます) によって、ブート プロセスや OS の実行の間に、悪意のある DMA 攻撃からの分離と保護が提供されます。

OEM: カーネル DMA 保護プラットフォームの要件について詳しくは、OEM 向けのカーネル DMA 保護に関する記事をご覧ください。

ドライバー開発者: カーネル DMA 保護と DMA 再マッピング互換ドライバーについて詳しくは、「デバイス ドライバーの DMA 再マッピングの有効化」をご覧ください。

IT プロフェッショナル: カーネル DMA 保護のポリシーとユーザー エクスペリエンスについて詳しくは、「カーネル DMA 保護」をご覧ください。

Windows Hello

Microsoft Windows Hello は、ユーザーの存在に基づきデバイスが認証される、パーソナルで安全な体験を提供します。 ユーザーは目で見たりタッチしたりすることでログインでき、パスワードは必要ありません。 生体認証では、Microsoft Passport と連動して指紋または顔認識が使用されます。これは、より安全で、より個人的で、より便利です。

コンパニオン デバイス フレームワークでの Windows Hello の機能については、「Windows Hello およびコンパニオン デバイス フレームワーク」をご覧ください。

Windows Hello をサポートするための生体認証の要件については、「Windows Hello 生体認証要件」をご覧ください。

顔認証の機能については、「Windows Hello の顔認証」をご覧ください。