Windows 11に導入される新セキュリティモデル
マイクロソフトは、Windows 11にスマートフォン式のアプリ権限プロンプトを導入し、ファイル、カメラ、マイクなどの機密性の高いリソースへのアクセスをアプリが要求する際に、ユーザーの同意を求める計画を発表しました。この変更は「Windows Baseline Security Mode」と「User Transparency and Consent」と名付けられており、現在10億台以上のデバイスに搭載されているオペレーティングシステムにとって、大きな転換点となります。
WindowsプラットフォームエンジニアのLogan Iyer氏は、この新しいセキュリティモデルが、アプリがユーザーの同意なしに設定を上書きしたり、望まないソフトウェアをインストールしたり、あるいはWindowsのコア体験を変更したりする事例が増加したことを受けて導入されたと説明しています。
ユーザー透明性と同意の強化
「User Transparency and Consent」の変更が展開されると、アプリが望まないソフトウェアをインストールしようとしたり、機密リソースにアクセスしようとしたりする際、Windowsはスマートフォンと同様に許可を求めるプロンプトを表示するようになります。これにより、ユーザーはアクセス要求を承認または拒否した後も、いつでも選択を変更できるようになります。
Iyer氏は次のように述べています。「今日の携帯電話と同様に、ユーザーはどのアプリがファイルシステム、カメラやマイクなどのデバイス、その他の機密リソースにアクセスしているかを明確に確認できるようになります。認識できないアプリを見つけた場合、アクセス権を取り消すことができます。」「ユーザーは、アプリが個人データやデバイス機能にアクセスする方法について、透明性と同意の管理権を持つことになります。保護されたデータやハードウェアへのアクセス許可をアプリに付与または拒否するための明確なプロンプトを受け取ることになります。」
ベースラインセキュリティモードの導入
新機能の一つである「Windows Baseline Security Mode」は、デフォルトでランタイム整合性保護を有効化します。これにより、適切に署名されたアプリ、サービス、ドライバーのみが実行されるようになります。ただし、ユーザーやIT管理者は、必要に応じて特定のアプリに対してこれらの保護をオーバーライドする柔軟性も保持されます。
Secure Future Initiative (SFI) の一環
これらのセキュリティ強化は、開発者、企業、エコシステムパートナーとの「緊密な協力関係」のもと、「段階的なアプローチ」の一環として展開されます。マイクロソフトは、フィードバックに基づいてロールアウトと制御を調整する計画です。
この取り組みは、2023年11月に開始されたマイクロソフトのSecure Future Initiative (SFI)の一部です。SFIは、米国土安全保障省のCyber Safety Review Boardが同社のセキュリティ文化を「不十分」と評価した報告書を受けて発足しました。この報告書は、2023年5月にStorm-0558と呼ばれる中国のハッカーがマイクロソフトのコンシューマ署名キーを盗み出し、マイクロソフトのクラウドサービスへの広範なアクセスを獲得したExchange Online侵害事件後に発表されたものです。
SFIの一環として、マイクロソフトは他にも、スクリプトインジェクション攻撃からEntra IDサインインを保護する計画、Microsoft 365およびOffice 2024 WindowsアプリでのActiveXコントロールの全面無効化、およびレガシー認証プロトコルを介したSharePoint、OneDrive、OfficeファイルへのアクセスをブロックするためのMicrosoft 365セキュリティデフォルトの更新なども発表しています。
アプリとAIエージェントの透明性向上
Iyer氏は、「アプリとAIエージェントもまた、より高い透明性基準を満たすことが期待され、ユーザーとIT管理者の両方にその振る舞いに対するより良い可視性を提供します」と付け加えています。「これらのアップデートは、Windowsのセキュリティとプライバシーの基準を引き上げるとともに、システムのデータへのアクセス方法に関して、より多くの制御と信頼をユーザーに提供します。」