新しい軽量な隔離環境、「Windowsサンドボックス」とは?:企業ユーザーに贈るWindows 10への乗り換え案内(52)
ITプロフェッショナルにとって、Windows 10 May 2019 Update(バージョン1903)の最も注目の機能は、新たに利用可能になった隔離環境「Windowsサンドボックス」でしょう。もちろん正式版ですが、登場したばかりの機能には不具合がつきものです。安定するまでは、プレビュー的に評価する段階と考えた方がよいかもしれません。
高いスペックが必要なWDAGに対し、Windowsサンドボックスは軽量
「Windowsサンドボックス(Windows Sandbox)」は、Windows 10 May 2019 Update(バージョン1903、ビルド18362)から正式に利用可能になった新しい隔離環境です。
前回説明した「Microsoft Edge」の隔離環境である「Windows Defender Application Guard(WDAG)」は、64bit版Windows 10の仮想化ベースのセキュリティ(Virtualization-Based Security:VBS)というHyper-Vハイパーバイザーの技術を利用しています。この隔離環境でWindows 10インスタンスを実行し、Microsoft Edgeを「Application Guardウィンドウ」としてエンドユーザーに提供することで、信頼できないサイトのアクセスに潜むセキュリティリスクからホスト環境やユーザーを保護します。Windowsサンドボックスも同じようにVBSで実現する隔離環境であり、“隔離されたWindows 10のデスクトップ環境全体”をユーザーに提供します(画面1)。
Windowsサンドボックスの公式ドキュメントはまだ出そろっていないため、技術的な解説についてはInsider Preview段階で公開された以下の公式ブログの情報を参考にしてください。
- Windows Sandbox−Microsoft Tech Community[英語](Windows Kernel Internals)
WDAGとWindowsサンドボックスは、どちらも同じVBSを利用した隔離環境ですが、WindowsサンドボックスはWDAGよりも軽量化、高速化が図られています。例えば、WDAGがWDAG用にWindows 10のディスクイメージをまるまる保持しているのに対し、WindowsサンドボックスはホストOSのディスクイメージの参照(リンク)を利用してクリーンなOS環境を用意するため、ディスク使用量が削減されています。
隔離環境のWindows 10(仮想マシン)の起動には、WDAGもWindowsサンドボックスも時間を要します。ただし、Windowsサンドボックスでは、初回起動後の仮想マシンのクリーンな状態をスナップショット(ディスクイメージと仮想マシンのメモリ状態)として作成し、2回目以降はそのスナップショットのクローンからクリーンなWindowsサンドボックスを起動することで、起動時間の短縮を図っています。WDAGの場合は、ホストOSの再起動によって状態が破棄されるため、ホストOSの起動のために初回起動に時間がかかります。
以下の表1に、WDAGとWindowsサンドボックスのシステム要件を示しました。前回の最後に説明しましたが、WDAGが要求するマシンスペックは企業の標準的なクライアントPCには高過ぎます。Windowsサンドボックスであれば、最近の一般的、標準的なクライアントPCのスペックで利用できるでしょう(画面2)。
Windows Defender Application Guard(WDAG) | Windowsサンドボックス | |
---|---|---|
プロセッサ | 4コア | 2コア(4コア推奨) |
仮想化 | プロセッサの仮想化拡張機能、第2レベルアドレス変換拡張機能(SLAT) | プロセッサの仮想化拡張機能、第2レベルアドレス変換拡張機能(SLAT) |
物理メモリ | 8GB | 4GB(8GB推奨) |
空きディスク容量 | 5GB(SSD推奨) | 1GB(SSD推奨) |
エディション | Enterprise(1709以降)/Pro(1803以降、スタンドアロンモードのみ)/Education(1903以降) | Pro/Enterprise/Education(全て1903以降) |
表1 WDAGとWindowsサンドボックスのシステム要件(Proは、Pro for WorkstationsとPro Educationを含む) |
Windowsサンドボックスを利用するには、システム要件を満たす64bit版Windows 10 バージョン1903の「Windowsのプログラムの機能の有効化または無効化」で「Windowsサンドボックス」をチェックして有効化します(再起動が要求される場合があります)。WDAGは最小システム要件を満たしていない場合には機能を有効化できませんが、Windowsサンドボックスはプロセッサ数やメモリ容量で有効化をブロックする機能はないようです(画面3)。
Windowsサンドボックスでできること
関連記事
- さようならSAC-T! これまでの、これからのWindows 10の更新チャネルをざっくりと解説
2019年春にリリースされるWindows 10の新バージョンから、ブランチ準備レベル「半期チャネル(対象指定)」が廃止されることが発表されました。これにより、どのような影響があるでしょうか。Windows Update for Business(WUfB)を利用していない限り、何の影響もないでしょう。WUfBを利用しているなら、更新後に設定を確認しておきましょう。 - 次期Windows 10最新動向:リリース秒読みの「19H1」はこう変わる
間もなくリリースされるWindows 10の新しい機能アップデート「19H1」。それに実装される新機能をまとめてみた。また、同時に変更となるライフサイクルなどについても解説する。 - 複雑怪奇? Windows 10の大型更新とサポート期間を整理する
Windows 10では従来のWindows OSと異なり、年2回、大型アップデートの提供が行われるようになった。それに伴い、サポート期間もバージョンごとに設定されるなどの変更が行われており、かなり複雑なものとなっている。本稿では、アップデートの提供タイミングならびにそのサポート期間などを整理する。 - Windows Update for Businessってどうなったの?
Windows 10の登場ですっかり変わってしまったWindows Update。IT管理者の多くが戸惑っているに違いありません。「Windows 10 バージョン1511 ビルド10586」に合わせ、「Windows Update for Business」が利用可能になりました。しかし、筆者を含む多くの人が想像していたのとは違い、SaaSタイプのサービスではありませんでした。 - Windows 10の更新プログラム適用で地雷を踏まないためのWindows Update運用法
Windows Updateによるアップデートの適用は、場合によっては不具合を起こす可能性もある。アップデートによって不具合が発生しないことを確認してから適用するとよい。そのためのWindows Updateによる適用を延期する方法を紹介しよう。
Copyright © ITmedia, Inc. All Rights Reserved.