デバイスに公開鍵と秘密鍵を発行する際、企業は既存のPKIインフラストラクチャを利用できる。コンシューマ向けデバイスの場合は、Windows 10自体が鍵を生成してセキュアに格納する。Microsoftによると、この新しい認証機能にはあらゆるデバイスを何台でも登録できる。あるいはデバイスを1つだけ登録し、それを仮想的なスマートカードとして利用することもできる。たとえば、スマートフォンのBluetoothやWi-Fi経由で2要素認証を行い、ローカルのデバイスにサインインしたり、リモートのリソースにアクセスしたりできる。ユーザーのアクセストークンは、Hyper-V上で実行される仮想化されたセキュアなコンテナに格納され、Pass-the-Hashなどの攻撃を無効化する。
上記に加えて、Microsoftは企業ユーザーのセキュリティを強化する2つの新機能も明らかにした。その一つは、企業アプリケーション、データ、メール、イントラネットコンテンツなどの機密情報を自動的に暗号化するポリシーを管理者が定義し、従業員のデバイス上で企業データを保護するための機能だ。この機能は、Windows上で用いられる「ファイルを開く」「保存」ダイアログボックスなど共通のコントロールAPIに組み込まれるため、それらを使用するすべてのアプリケーションに適用できる。また、管理者は暗号化データへのアクセスを許可するアプリケーションのリストを作成するとともに、例えばDropboxなど特定のクラウドサービスへのアクセスを禁止することで、さらにセキュリティを強化できる。
もう一つは、Microsoftの証明書で署名されていないアプリケーションやコードが実行された場合にデバイスを完全にロックする機能で、これはWindows 10のエンタープライズ版と特別に構成されたOEMハードウェアの組み合わせで実現される。社内で企業アプリケーションを運用している場合は、自社用の鍵生成ツールを導入し、アプリケーションの企業ネットワーク外での実行を禁止することもできる。この機能は、銀行、防衛産業、政府機関など、厳格なコンプライアンスや高度な防諜措置が要求される組織に対しておおいに訴求する可能性がある。
今回紹介したものを含むセキュリティ機能の詳細については、Microsoftのブログ記事で詳しく解説されている。
この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。
CNET Japanの記事を毎朝メールでまとめ読み(無料)
ものづくりの革新と社会課題の解決
ニコンが描く「人と機械が共創する社会」
パナソニックのV2H蓄電システムで創る
エコなのに快適な未来の住宅環境
ZDNET×マイクロソフトが贈る特別企画
今、必要な戦略的セキュリティとガバナンス