連載
» 2017年12月20日 05時00分 公開

Windows 10 The Latest:Windows Defenderによるウイルス対策、どこまでできて何ができないか? (1/3)

Windows OSに無償で付属するWindows Defender。アンチウイルス/マルウェア対策ソフトウェアとして、どのような機能を持つのか、サードパーティー製ソフトウェアと比較してどう違うのかを確認する。

[打越浩幸,デジタルアドバンテージ]

Windows Defenderによるウイルス対策、どこまでできて何ができないか?

 Windows Defenderは、Windows標準のウイルス対策ソフトウェアで、将来にわたり無料で利用できる。一方で、ウイルスバスター(トレンドマイクロ)やマカフィーリブセーフ(マカフィー)、ノートンセキュリティ(シマンテック)など、有料版のソフトウェアも多数市販されている。パターンファイルやウイルスチェックエンジンなどの定期的な更新が必要なため、有料版ソフトウェアはほとんどの場合購読型製品になっており、使い続ける限り使用料を払い続ける必要がある。

 なぜ無料で使えるWindows Defenderがあるのに、有料版ソフトウェアを買う必要があるのか? 有料版ソフトウェアにはDefenderと比較して強力かつ豊富な対策機能が備わっており、Windows Defenderよりも安全性が高いに違いないのだろう……、くらいは誰でも想像がつく。ここで問題になるのは、Windows Defenderでもある程度十分な実用レベルの防御力があるのか、それとも最低限のオマケ程度のレベルで、実質的に有料版ソフトウェアが必須なのか、ということだろう。

 ことは、あの手この手の攻撃がありうるウイルス対策なので、一概にどうということはいえない。しかし今回調査したところでは、Windows DefenderもWindowsバージョンが進むとともに着々と機能強化されており、最低限のウイルス対策は可能なレベルと判断できる内容だった。

 無料で使えるWindows Defenderでどこまでできるのか、何はできないのか? 今回はWindows 10のWindows Defenderを対象に、機能概要と有料版ソフトウェアとの違いについて、家庭やSOHOレベルで利用することを前提に比較してみる。

無償で使えるWindows Defender

 Windows Defenderは、現在のWindows 10には最初からインストールされているため、ユーザーは別途アンチウイルスソフトウェアなどを購入したり、(フリーソフトウェアのアンチウイルスソフトウェアを)追加インストールしたりすることなく、システムの保護が可能となっている。

 もともとWindows OSにはウイルス対策ソフトウェアは付属していなかったが(Windows 7や、それ以前のWindows OSの場合)、あまりにもウイルス被害などが多発したため、Microsoftが無償でWindows Security Essentialsというアンチウイルスソフトウェアの提供を始めた(「無償ウイルス対策ソフトウェアSecurity Essentialsを利用する」参照)。サードパーティー製の製品と比較すると、機能は少なかったが必要最小限の機能は備えており、「ウイルス被害の拡大を防ぐ」という当初の目的は達成したように思える。

 Windows 8以降ではWindows Defenderという、より高機能なツールになってOSに統合され、標準提供されるようになった。Windows 10ではOSのバージョンアップに合わせてさらに何度か機能強化が図られ、現在のWindows 10バージョン1709(Fall Creators Update)では以下のような機能を備えている。

  • ウイルスやスパイウェア、マルウェアなど、悪意のあるソフトウェアからのリアルタイム保護
  • システムのオフラインスキャンや不正なソフトウェアのクリーンアップ
  • 不正な通信を阻止するWindows Defenderファイアウォール機能
  • ルートキットやブートキットなど、システム起動時に活動するウイルスなどからの保護
  • ランサムウェアやウイルスなどからのデータ保護(コントロールされたフォルダアクセス)
  • クラウドベースの保護(不審なファイルなどをクラウド経由で問い合わせて判定する機能)
  • 「Windows Defenderセキュリティセンター」ツールによる一括管理
  • 不正なアプリやファイル、コンテンツなどのからの保護(SmartScreen)
  • 不正なプログラムの実行の阻止(Exploit Protection)
  • 企業向けには、より高機能で一括管理できる「Windows Defender Advanced Treat Protection(ATP)」の提供
Windows Defender起動画面 Windows Defender起動画面
[設定]アプリの[更新とセキュリティ]から[Windows Defender]画面を開いたところ。以前はさまざまな場所に分散していた機能は、現在では「Windows Defenderセキュリティセンター」にまとめられている。

 Windows 10にはさまざまなセキュリティ対策やアンチウイルス技術が搭載されているが、そのうちの1つがWindows Defenderということになる。Windows 10のセキュリティ技術の全体像については以下の記事を参照されたい。

Windows Defenderセキュリティセンター

 「Windows Defenderセキュリティセンター」アプリとは、Windows 10のバージョン1703(Creators Update、RS2)以降で導入された、セキュリティ/アンチウイルス関連の機能を1カ所でまとめて制御できるようにしたアプリである。

「Windows Defenderセキュリティセンター」アプリ 「Windows Defenderセキュリティセンター」アプリ
ウイルス対策や状態レポート、ファイアウォール、ネットワーク保護などの機能が用意されている。

 以下、それぞれの機能について、簡単に見ていこう。

不正なコンテンツへのアクセスを即時にチェックする「リアルタイム保護」

 これは、Webブラウザがネットワークなどへアクセスしてダウンロードした直後に、そのコンテンツに不正なコードやデータなどが含まれていないかどうかをチェックする機能である。不正であると判断されれば、ユーザーに通知するとともに、Webブラウザも独自にこのような機能を持っていることがあるが(後述のSmartScreen機能)、これはWebブラウザに限らず、ファイルのコピーなどでも検出される。

リアルタイム保護 リアルタイム保護
ファイルが新規作成や更新、コピーされたことを検出して、ただちにその内容をチェックする。

システム全体を調査する「高度なスキャン」とクリーンアップ

 リアルタイムスキャンでは、新しく作成やコピー、アクセスされたファイル(コンテンツ)をチェックすることはできるが、すでにシステム中に存在するファイルは監視の対象外である。そのようなファイルも含め、システム中に存在する全てのコンテンツを可能な限りチェックすることもセキュリティのためには重要である。

 Windows Defenderでは次のような種類のスキャン機能が利用できる。

スキャン方法 内容
クイックスキャン ・よく使われる場所やシステムの重要な部分、スタートアッププロセスなどが登録される場所のみを素早くスキャンする
・クイックスキャンは定期的に実行される。他のスキャンは必要に応じてユーザーが手動で実行すること
フルスキャン ・システム全体をスキャンする
カスタムスキャン ・場所を指定してスキャンする
Windowsオフラインスキャン ・システムを再起動し、Defenderだけが稼働している状態にしてシステム全体をスキャンする
・Windows OSのブートコードやブートシーケンスに侵入して乗っ取るようなウイルス(ルートキットやブートキットなど)もスキャンできる
・ネットワーク接続を遮断した状態でもスキャンできる(すでにウイルスに感染していた場合に有用)
Windows Defenderのスキャンの種類

 オフラインスキャン(もしくは自動的にバックグラウンドで実行されるスキャンタスク)で不正なコードが検出されると、次のように表示される。

スキャンで問題が見つかった場合の例 スキャンで問題が見つかった場合の例
これは定期的な自動スキャンで見つかったトロイの木馬タイプのウイルスの例。ウイルスなどが見つかると、ユーザーに通知され、削除したり、(必要なら)隔離されたウイルスファイルを復元したりできる。

不正な通信を阻止する「Windows Defenderファイアウォール」

 Windows Defenderファイアウォールでは、TCPやUDP、IPなどのネットワークプロトコルレベルで不正な通信を検出し、ブロックする。

 例えばファイル共有サービス(TCPの445番ポートを使うサービス)に脆弱(ぜいじゃく)性があったとすると、インターネットからそこに侵入される可能性がある。そのような事態を防ぐためには、インターネットからのファイル共有へのアクセスを禁止する必要がある。そのために利用するのがWindows Defenderファイアウォールである。デフォルトでは、ローカルのLANからのアクセスは許可するが、それ以外からのアクセス(IPアドレスで判断できる)は拒否するように設定されている。

Windows Defenderファイアウォール Windows Defenderファイアウォール
IPアドレスやTCP/UDPのポート番号などに基づいて、通信を許可したり、ブロックしたりする。デフォルトでは、アウトバウンド方向(インターネットへアクセスする側の通信)は許可されているが、逆のインバウンド方向の通信(インターネットからローカルへ向かう通信)は厳しく制限されている。

 Windows OSには、機能がシンプルな「Windows Defenderファイアウォール」と(これはWindows XPで導入された機能)、より高度なブロック機能を持つ「セキュリティが強化されたWindows Defenderファイアウォール」(Windows Vista以降。解説記事参照)の2つがあり、いずれもデフォルトで有効になっている。指定した通信ポートやアプリケーション、サービスごとに、通信を許可するか禁止するかを指定できる。

 ただし、これらのファイアウォールでは、インバウンド方向(インターネットからPCへ向けての通信)に関しては厳しく制限しているが、アウトバウンド方向(PCからインターネット方向)の通信はほぼ制限なく利用できる。もし感染したウイルスがインターネットに向けて行おうとした通信もブロックしたければ、ユーザーが手動で設定を行う必要がある。

Windows Defenderファイアウォール Windows Defenderファイアウォール
接続されているネットワーク環境に応じて3種類のファイアウォール設定が自動的に切り替わるようになっている。パブリック環境向けの制限が一番厳しく、その分安全になっている。

       1|2|3 次のページへ

Copyright© 1999-2018 Digital Advantage Corp. All Rights Reserved.

@IT Special

- PR -

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。