Defenderがあるから市販のウイルス対策ソフトは要らないのか?2019年版

Internet Watchの記事である。こういう記事を読んで思うのは、Impress系列の記事は、玄人も結構読むので、もう少し向き不向きを詳しく書かないと、不味くないという点だ。カジュアル寄りに向かっているのが気になる。まあ、7利用者向けだからこれなのかな~?ただ、市販のセキュリティソフトと比べると、Defenderは機能限定が今もあるので、気を付けないといけない。

特に、未だにWindows7じゃないとと思っている人だと……Defenderに乗り換えたことで、リスクを受ける可能性もある。まあ、金が掛からないことは、大抵の人にとって魅力でしかないので、無料だから良い良いと言う人は多いが、そういう人は出来ない機能があることを知らない人も多い。

https://internet.watch.impress.co.jp/docs/column/win7faq/1185503.html

1年に1度ぐらいのペースでこれを書いているが、Windows Defenderも機能が年々進化しているので、やはりそれに合わせて考え方の更新は必要である。だから、今年版を書くことにした。


<Defenderだけで使うなら設定した方が良い機能>


Windows Defederはある設定をしているとセキュリティレベルが大幅に増す。少なくとも、カーネルが,攻撃によって乗っ取られることはよほど深刻な脆弱性が無い限りはなくなるだろうという設定がある。

その設定項目は以下である。これは、Device GuardをOSのカーネル、GDI(DirectX)、ユーザーサービスの基盤に対して行いVirtualization Technology(以下、Vtという。x86 Protection Ring -1のこと)で分離する技術を利用している。
画像


ちなみに、環境によってオンにするとオフにすることが出来なくなることがある。
オフにするにはレジストリーキーの
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\DeviceGuard\Scenarios\HypervisorEnforcedCodeIntegrityを0に変更する必要がある。

まあ、1度設定すればオフにする人は少ないと思う。以下の条件を知らずに設定した人を除けば。


これには1つ重大な欠点がある。

それをやると、一部のソフトウェアが使えなくなったり、動作パフォーマンス(セキュリティを含むリソース分離パフォーマンス)を低下させることになる。


具体的にはサードパティー(マイクロソフト社以外の)ハイパーバイザーアプリケーションが正常に動かなくなる。
細かく何に影響を与えるかというと、市販のウィルス対策ソフトの仮想化を設定出来なくなったり、Virtual Box、VMWareなどのサードパーティの仮想化ソフトウェアが使えなくなったり、一部の仮想化を利用する特殊なドライバーウェアが動かなくなる。

ちなみに、市販のソフト同士でVtを利用してもそれぞれにVt領域を個別でメモリー割付し作成する。そのため、複数のVTアプリケーションを同時に実行しても、排他にはならず同時に実行できるのが、Vtの特徴である。

では、OSでVirtualization Technologyを使う機能では何故OS機能しか使えなくなるのか?知っているだろうか?

実はこれ凄く単純な理由だ。
Windows上の機能でVt分離をすると、その機能の全てをVt上に押し込んで、他が入ってこないように保護してしまう。Vtを使いたい他のアプリケーションソフトがVtを使おうとすると拒否されるようになるのだ。それが、セキュリティとして強固という理由でもある。だって、そこにOS機能以外入れないんだもん。ってことだ。

即ち、コア分離をすると、それを狙った脆弱性攻撃で無い限り、どんな攻撃をしてもコアカーネル(シェル)と呼ばれる部分は外から侵食を受ける恐れがなくなる訳だ。同じレベルで切り分けられた他のソフトウェアも存在しないなら、横から何らかの方法で侵食攻撃を仕掛けることも出来ない。
だから、よほど脆弱制攻撃で下の権限から上に透過できる攻撃コードがやってこない限り、乗っ取りや破壊工作は通じなくなる。即ち、コア分離をすれば、最低最悪でもOS本体がウィルスによって死ぬことはなくなる。


その代わり、Vt領域(Protection ring -1)の切り出しに他のアプリケーションは一切タッチできなくなるという代償を背負うわけだ。とても合理的だが、それを使うアプリから見ればとても厄介な機能である。ただ、そういう仕組みなのを知っていれば、セキュリティソフトを使った方が効率的な場合の分岐点も見えてくる。


VMwareなどを使っていてコア分離は使えない環境には、市販のセキュリティソフトを使った方が安全性は高い訳だ。市販のソフトによって大事な部分だけをVtによってリソース保護できる機能もあるからだ。

即ち、コア分離した状態で使っても、特に問題がない支障が出ない人は、Defenderでも相当程度のウィルスなどに対する防御力を得られるわけで、そういう人にはDefenderは良いものとなる。但し、保護されるのはコアサービスのみなので、アプリケーション層でやりとりされる事柄に対しての防御力はない。

ウィルス対策としては最強である。


<Defenderはログ監視が弱く、細かな状態監視を目で確認しにくい>

Windows Defenderはセキュリティ設定面ではかなり上級の設定が出来る。出来ることは、多岐にわたり、設定を細かくコントロールすることも出来る。ファイアウォールなどポートやプログラムグループ毎に透過アドレスなども指定できるのだから、まあ使い熟せれる実力者ならDefenderのファイアウォールってスゲえと思うだろう。ただ、使い熟す人は殆どいない。多くの人はデフォルト設定で使うのだ。

何故?って、下にFirewallで出来ることの紹介映像などがある。これを見て読んで、おっ!いろいろ弄ってみようと思うかもしれないが、やってみてから、数ヶ月経って何かおかしいなと思ったときに、どの設定が問題なのか把握するのに苦しむかも知れない。
https://community.windows.com/en-us/videos/firewall-network-protections-keep-unwanted-online-traffic-out/pfyyc9XdT5M


これが、Defenderの欠点である。Defender ATPだと管理者なら多少の設定をコンソールで制御出来るが、クライアント版のDefenderはそれがない割に、機能はどんどん搭載されていく。その割に表示はシンプルで安全か、危険か、機能しているか、していないかぐらいしかUI画面では分からない。

これが市販ソフトだと、以下のようにUI上で今のプロセス毎の通信状態を監視でき、それを右クリックするとルールの変更などを追加することも出来る仕組みを備えているものもある。(備えているソフトと備えていないソフトがあるので、製品によります。旧共産圏や社会圏のセキュリティソフトの方がこの手の機能は豊富。逆に日米はこの手の機能は貧弱で殆どオートメーションです。)
画像



一般に市販ソフトと同等と言う人の多くは、元々画面の項目として、オンオフぐらいしかないセキュリティソフトを使ってきていると、Defenderでも差は見られないため、Defenderで十分と思うようになることもあるので、一概には言えないが、この差は結構大きい。


これは当初からずっとある差だ。今後もこの差は覆らないだろう。Defenderは誰でも簡単に且つ機能は搭載されいているが実質では何もしなくてもセキュリティを相当程度供給するものと考えた方が良いからだ。

細かな機能を多用する場合は、ExcelやWordなど文書やスナップショットで設定した項目の詳細を残しておかないと、それがドツボになることもあるほど、扱いは慎重さが必要だ。その割に、残るログの内容も分かり易い(感染などの情報は分かりやすいが、細かなルールに関するログは分かり易くはない)ものではないので、機能があることと機能が使いやすいことは別物である。

逆に言えば、何もしなくてもセキュリティは人並みに供給されるが、人並み以上のセキュリティや人並みから外れるような、管理をしたい場合にはDefenderは必ずしも使い勝手が良く、安心を十分に供給できるとは限らないと言うわけだ。

これも一つの選択の分かれ目となる。


<Smart Screen Filterの限界>

Windows Defenderの差で最も大きいのは、Smart Screen Filterでブロックされる範囲が、市販のソフトよりまだ狭いという点がある。ウィルス対策ソフトに付属するブラウザプラグインやファイルプロテクションでは、合法的なスクリプトを利用した不正な動作と判定されるものも積極的にブロックされる。

具体的には、偽ウィルス対策ソフトのバナーや、ウィルスが見つかりました的な広告もブロック出来るものが多いが、Defenderではそういう広告をブロックする仕組みがワンテンポ遅いか、対象外になっていることもある。また、マイニング関連のスクリプトを抑止する機能はない。(ウィルス対策ソフトはそれも抑止できるものがあり、容認しなければ見られないサイトでは、個別に許可する仕組みである)

Defenderはとりあえず、危険判定ですぐに危険がないものは実行するという前提で動く。
これは、GoogleのAndroidにも言えるが、Windowsが高いシェアを持っており、理論上安全なプログラムを使い方によって不正に利用していると判定できるものを全てブロックすると、利用者に許諾を得て実行しているそういうプログラムも排除してしまい、安全なサービスに支障を与える恐れがあるからだ。


逆に、専用のセキュリティソフトはそれを積極的に止めるというのは、安全を守ることの方がセキュリティソフトの基本であり、安全を阻害していないと判断するのは、ユーザーであるという前提にあるからだ。だから、とりあえずはブロックし、必要ならユーザーが解除する。

しかし、Windowsは公共インフラの役割があり、極度に踏み込むことは出来ない。また、標準のセキュリティを使う人は、大抵の場合、設定を触るのは苦手な素人が多く含まれている。だから、実際には安全なサイトだと分かっているのに、ブロックされるような時に、どうやってブロックを解除すれば良いかなど分からない。

それを防ぐには、怪しいだけでは止めないという選択肢が標準となる。

尚、ブラウザSmart Screenは以前なら、IEやMicrosoft Edgeにしか供給されていなかったが、現在はGoogle ChromeブラウザやMozilla Firefoxにも拡張機能(別途追加が必要です)として供給されているので、Windows Defenderのみの利用者で、これらのブラウザアプリケーションを使っている人は、Windows Defender Application Guardを拡張機能からインストールすることをお勧めする。
https://blogs.windows.com/windowsexperience/2019/03/15/announcing-windows-10-insider-preview-build-18358/



<複数のコンピュータを一元管理>

Windows Defenderに最も足りないのは、実は同時に複数のパソコンを管理する機能だ。アップデートや、バージョンアップ、ウィルススキャンなどの監視を行うことが出来る。(これはメーカーや製品、グレードによって出来る項目が変わるので注意。もちろん、こういう機能を提供していない製品やメーカーもあるだろう。)

画像



ちなみに、Windows DefenderというよりWindowsアカウント利用で端末を紐付けているなら、実は似たような機能が以下のMSサイトで利用できるが、ローカルログオンを使っている場合や、他のOSでは利用できない。また、状態監視のみでアップデートなどの指示は今のところ行えない。(将来出来るようになるかもしれない。)
https://account.microsoft.com/devices/

画像




詳しい更新管理や状態管理をWindows Defenderで行うには、VL E3以上のライセンスが必要となり、Windows 10 Enterpriseを購入しなければならない。

すると、Windows Defender ATPが利用できるようになり、市販の個人向けセキュリティよりさらに上の管理まで出来るようになる。これには、Device GuardやCredential Guardなどの付与機能も含まれており、管理者がガチガチにシステムを保護することも出来る。
https://www.microsoft.com/ja-jp/windowsforbusiness/windows-atp



<市販のセキュリティソフトが必要な人と必要ない人>

では、これを元に市販のセキュリティソフトが必要ない人と必要な人の差はどこにあるかを考えよう。


まず、VMwareなどVirtualization Technologyを使うサードアプリケーションを使っている人は、市販のセキュリティソフトを入れた方が安心である。また、コア分離を使う予定がない人も、市販のウィルス対策を入れた方がアンチウィルスという点では無難だ。

次に、ネットワークや通信関連の設定を細かくアプリケーション毎に制御している人も、Defenderよりも、市販のソフトで使い慣れたものを使った方が、良いかもしれない。Defenderでやるなら、設定リストや設定ファイルを残しておかないと、結構面倒くさいトラブルが起きることもある。

また、広告の多いサイトにアクセスする人や、決済などのシステムに頻繁にアクセスする人は、HomeとProに使われるDefenderだけの利用は避けた方が良いかも知れない。これは、Defenderには迷惑メールフィルターなどがないからだ。この手の決済系などのサービスや業務で使うコンピュータはメールで管理されているものも結構多い。

決済などを使っていたり、ビジネスで使っている人は、メールのやりとりが必ずあるのだ。その際に、Outlookなどの迷惑メールフィルターアップデートでは十分に迷惑メールを分離してくれないことがある。
セキュリティソフトにそれが付いている物を選び、それも利用した方が安全だ。
それに加えて、一部のスクリプトの組み合わせはDefenfer Application Guardでも止められないことがある。情報漏洩などのリスクを最大限考える場合は、これは大事だ。

後は、沢山のパソコンを持っている場合で、且つ一家の誰かが1人で全体のセキュリティを管理したいなら、クラウドセキュリティ監視の機能を持つ、市販のソフトを買った方が便利だ。複数台インストールライセンスがあるセキュリティソフトなどでは、こういうクラウド機能がユーザーアカウントを作成すれば利用できるケースもある。

他に使い慣れたソフトの方が安心だと思う人も、市販のソフトを使っても悪くない。Defenderには定期的なスキャンという機能があるので、市販のウィルス対策ソフト使っていても、Denfenderのローカルスキャンを組み合わせて使うことも出来るため、セキュリティレベルは増すだろう。
画像


それ以外の用途では、Denfenderでも事足りることが多くなってきている。


本来はここまで書いてこそ、必要か必要ではないかを説明したということになる。

今セキュリティソフトを買っていて、既に必要性が殆どないのに、お金を出している人なら、これを読んでじゃあ、必要ないなと思えるだろうし、逆に今買っていなくて、個人情報を大量に扱う仕事などで使っているパソコンがDefenferだけなら、平気でリスクを冒している可能性もある。

コア分離を設定していないのに、十分だと思っているなら、まずそれをやって問題がないか確認してから、Defenderで十分ですと胸を張った方が良いだろう。(ちなみに、Virtualization Technologyがないハードウェアではコア分離は出来ない)

セキュリティ機能があるから安全なのではない。セキュリティ機能の使い方使える範囲をちゃんと理解して、やっと安全か危険かの判断が出来るようになるのだ。そして、実際に危険に直面するかどうかは、運や、やっている作業、ハードウェアの使い途によってリスク度合いが変わる。○○が入っているから誰でも通常は安全なんていうのは、そもそも安全確認を放棄しているのだ。

まあ、どんなに安全装備があっても、右折で前から来る車を認識せず曲がれば、ぶつかるだろう。冗談でもなんでもなく、セキュリティ、安全確認というのはそういうものである。自分が安全だと思いこんだ時から危険に一歩近づく訳だ。だから、事故なんかは無くならない。

セキュリティは目的に合わせて選ぶ物であり、「通常は十分に安全にPCを利用できます。」というものではない。
だから、本当にセキュリティを考える人は、通常って何なの?と思わなければいけない。


そして、入れていて特に問題が起きていないから大丈夫という人は、たいてい大丈夫なのか大丈夫じゃないのか、理解していない。ただ、何も表だって起きていないから、大丈夫なのだ。そして、大半の人はその状態で本当に何も起きていないから、大丈夫で正しいのだ。しかし、攻撃者からすればそれはただ、美味しいだけかもしれない。


VMwareをハードウェア仮想化して使うVM使いからすれば、パソコンはVMWareを使う物だというのが、通常の使い方だが、コア分離出来ない。それが、本当にマ社が言う通常の安全を担保しているのか?考えることが大事だ。まあ、これが実装される前ぐらいの安全性は確かにあるので、コア分離前のセキュリティ実装水準で安全だったと思うなら、それで良いのかもしれない。

ただ、攻撃手法は年々巧妙化し、いわゆる共通型のマルウェアと呼ばれる明らかに攻撃するためのプログラムは攻撃の過半数を占めてはいるが、データ漏出や侵入における大規模(金額的被害)な攻撃では徐々に使われなくなってきている。どちらかというと、XSS手法や合法ウェアのアップデート機能などに使うテキストベースの設定ファイルを何らかの手法で置き換えて進入路を開くケースも多い。しかも、個別(コンピュータ毎、ネットワーク毎にそれぞれ合わせて攻撃プログラムやコードを組むこと。これだとウィルス扱いとして処理されない)に攻撃されることも増加している。だから、今必要なのはウィルス対策よりも、如何に通信の動きを読むかの方が重要となっている。

それが出来ないと、攻撃されているかどうか分からないことが多々あるのだ。

Windows Defenderは、HomeとPro、EnterpriseでDefenferを使うユーザーからこの手の情報を集めることで、大きな攻撃の兆候を抑止することに今のところ成功している。ただ、それでも個別案件では抜けられることがあるのも分かっており、さらにユーザーに自主的支払いを求める広告やメールなどでは騙されてしまう人も多い。
だから、ビジネス用のクライアントPCなら、絶対にDefenderで大丈夫と思うのは避けた方がよいだろう。

特にビジネスや金融では10年20年で仕事での信用を一つ失って、そこから給料などの対価を減らすより、年に数千円~1万円ぐらいの支払いをしてセキュリティを高めた方が、結果的に安い(信用される)ケースもある。

ちなみに、既に少し古いが、ITmediaの記事(@IT)には結構細かく出来ることと出来ないことが説明されているので、この辺りを読むと、もう少し詳しく分かるだろう。
https://www.atmarkit.co.jp/ait/articles/1712/20/news036.html











ブログ気持玉

クリックして気持ちを伝えよう!

ログインしてクリックすれば、自分のブログへのリンクが付きます。

→ログインへ

なるほど(納得、参考になった、ヘー)
驚いた
面白い
ナイス
ガッツ(がんばれ!)
かわいい

気持玉数 : 0

この記事へのコメント

この記事へのトラックバック