【連載】セキュリティを強化したWindows 11、求められるハード要件は？｜第2回

「サポートが切れると心配だからWindows 10からWindows 11にアップグレードする」という考え方はやや後ろ向きと言えます。セキュリティ対策だけに注目しても、Windows 11は多様な新機能を追加しています。単純に同等レベルのセキュリティを維持できるだけではなく、それ以上の安全対策を利用できる点がWindows 11の魅力の1つなのです。
 
　近年のサイバー攻撃では、重要なデータや認証情報の窃盗、識別や削除が困難なデバイスのファームウェアを狙ったマルウェア（悪意あるプログラム）の埋め込みなど、その手法は複雑化しています。こうした新たな脅威に対処して、パソコン内のデータやデバイスを保護するには、ハードウェアとソフトウェアの技術を強固に連携させたセキュリティが必要です。そのため、Windows 11ではハードウェアのセキュリティ水準を引き上げるとともに、求めるシステム要件を高めています。
 
　具体的には、Windows 10では初期状態で有効となっていなかった「VBS（コア分離）」「セキュリティプロセッサ」「セキュアブート」などの強力な機能を、Windows 11は標準で有効にしました。これらのセキュリティ機能の仕組みと、どのように保護するのかについて、順に詳しく説明します。

ウイルス対策ソフトへの攻撃を防ぐVBS（Virtualization Based Security）​​​​​​​

　VBSは、ウイルス対策ソフトウェアの脆弱性を狙って外部から停止させる攻撃を防ぐための機能です。セキュリティを高めるために、通常のWindows OSが使うメモリ領域から切り離した仮想化領域で重要なOS機能を稼働させます。Windows 11では「コア分離」という機能名で、「メモリ整合性」という機能が初期状態で有効化されています。
 
　メモリ整合性はHVCI（Hypervisor-protected Code Integrity）とも呼ばれ、OSの中でも特に重要な部分を起動する際に、ドライバーやコードの署名をチェックして正当なコードのみを実行させる機能です。コア分離による仮想化領域で署名をチェックすることで、マルウェアが不正なコードにすり替えても実行しないように止められます。
 
　メモリ整合性機能はWindows 10にもありましたが、まだ対応していないCPUもあったことから初期状態では無効になっていました。このため、Windows 11をクリーンインストールするのではなくWindows 10からアップグレードした場合は、この機能がオフとなっているケースがあるので注意が必要です。メモリ整合性のオン/オフは、コントロールパネルの「Windowsセキュリティ」で設定できます。

データ抜き取りに対抗するTPM2.0（Trusted Platform Module）

　セキュリティプロセッサとは、データ抜き取りの犯罪に対抗する「TPM（Trusted Platform Module）2.0」という半導体チップのことです。TPMの中には、IDを強固に守る「Windows Hello」によるログインでアクセスできる重要なパスワードや証明書、パソコンに保存したデータの暗号化処理で利用する鍵を厳重に格納します。これらのTPMの格納情報がないと、Windows 11のサインインや暗号化した記憶メディアからのデータ読み出しはできません。この仕組みにより、たとえパソコンが盗まれたとしてもサインインしたり記憶ディスクを取り出してデータを読み出したりすることは困難になり、データを抜き取れない設計になっています。
 
　TPMはチップモジュールをマザーボードに装着する形で、Windows 11搭載パソコンには必ず内蔵しています。TPMの機能が有効な状態であるかは、コントロールパネルの「セキュリティプロセッサ」で確認します。

なりすましによる不正ログインを防ぐ「パスキー」でもTMPを活用

　TPM2.0に関連し、Windows 11ではWebサイトやアプリのログインに従来のパスワードを使わず、生体認証機能「Windows Hello」と紐づく「パスキー」を使ってログインできる機能も追加されました。パスワードは第三者の手に渡ってしまうと、なりすましによる不正ログインの被害に遭う可能性があります。これに対してパスキーを使うと、Windows Helloの生体認証やPIN（個人識別番号）でユーザーは利用でき、ログインの処理は表面的には見えずパスワードを覚える必要がありません。さらに、パスワードをネット環境で送信しないため、パスワードが流出する危険もなくなります。
 
　パスキーを使うときは、Webサイトやアプリで登録する際に、公開鍵と秘密鍵のペアをTPMが生成します。そのうち公開鍵をWebサイトやアプリに登録し、秘密鍵はTPMに保存します。Webサイトやアプリからのログイン要求があると、TPMが秘密鍵を使って署名をして返信し、その署名が正しければ認証が完了します。
 
　このようにWindows 11のパスキーによるサインインでは、TPM2.0を利用したPINによる認証、または顔認証が必要となります。また、Webサイトやアプリにパスキーでログインする際には、サイトとアプリもパスキーへの対応が必要になります。既にMicrosoft Edge、Google Chrome、Firefoxなどの主要ブラウザーや、Microsoftアカウント、Googleアカウント、Apple IDなどの主要IDサービスはパスキーに対応しています。

パソコン起動中の乗っ取りを防ぐセキュアブート

　セキュアブートは、パソコン起動中のサイバー攻撃による乗っ取りを防ぐ機能です。ユーザーがパソコンの電源を入れると、UEFI（Unified Extensible Firmware Interface）規格に対応するファームウェア（BIOS）の起動に続いて、記憶ディスク上にあるWindows 11のOSが起動するというプロセスを踏みます。近年は、このパソコンの起動動作の途中で乗っ取り、悪意あるアプリを差し込む手法の攻撃が発生しています。
 
　セキュアブートは、OS起動の前に実行するすべてのプログラムについてコードをチェックし、それらのプログラムのデジタル署名が改ざんされていないことを確認します。署名が改ざんされていて無効と判断された場合は、パソコンは起動せずにエラーメッセージを表示します。Windows 10ではマザーボードのファームウェアをUEFI対応に更新することが必要なケースもありましたが、Windows 11パソコンではすべてのハードウェアが対応済みです。このセキュア ブートが有効かどうかは、コントロールパネルの「システム情報」で確認します。

2017年以降のWindows10対応パソコンはアップグレード対象に

　ここまでWindows 11で強化したハードウェア関連のセキュリティ主要機能を紹介しました。必要とされるハードウェア要件をまとめると、まずVBS機能に対応するCPUが必要です。MicrosoftはIntelなら第7世代Core以降、AMDなら初代Ryzen以降のCPUを要件としており、主に2017年以降に発売されたCPUが対象と言えます。
 
　次に、セキュリティプロセッサの機能を担い、パスキーの暗号化処理を行うTPM2.0をマザーボードに搭載している必要があります。Microsoftは2016年8月以降のWindows 10搭載パソコンには、TPM2.0の実装を必須としていました。また、セキュアブートを使うには、マザーボードのファームウェアがUEFIに対応している必要があります。UEFI対応のマザーボードの普及が本格化したのは、Intelの第2世代CoreプロセッサであるSandy Bridgeが登場した2011年以降とされています。
 
　まとめると、2017年以降のWindows 10対応パソコンであればWindows 11にアップグレードできる可能性が高いと言えるでしょう。現在お使いのWindows 10対応パソコンがアップグレード可能なハードウェア要件を満たすかどうかは、MicrosoftがWindows Updateを介して提供している「PC正常性チェックアプリ」で簡単に確認できます。
 
　次回のブログでは、生成AIを活用するMicrosoft Copilotの搭載など、セキュリティ以外のWindows 11に追加した新機能を紹介していきます。

記載の企業名、製品名は各社の商標または登録商標です。ブログ記事は掲載時点（2024年12月)における情報をもとに執筆しており、著者の意見や経験に基づく内容を含んでいます。掲載している情報の正確性について万全を期しておりますが、その内容について保証するものではありません。