「Fall Creators Update」で注目、ネットワーク＆セキュリティ機能4選+1

容量を節約できるOneDriveの新機能「ファイルのオンデマンド」

　2017年10月17日、Windows 10の4回目の大型アップグレード「Fall Creators Update」の提供が開始された。注目は「MR（複合現実）」への対応だが、ネットワークやセキュリティ関連の機能強化にもいくつかの注目点がある。INTERNET Watch的な視点で新機能をチェックしてみよう。

ザックリ数十GBの空き容量が作れるOneDriveの「ファイルのオンデマンド」

　Fall Creators Updateの新機能の中でも、まず注目しておきたいのは「OneDrive」のオンデマンド対応だろう。

　結局のところ、もともとのコンセプトに戻ったという印象だが、従来のクラウドとローカルでデータを完全同期する仕様に加え、ローカル側にはファイルの実体を置かない「ファイルのオンデマンド」という仕様が追加され、クラウド上にファイルの本体を置きつつ、ローカルで通常のファイルと同じように扱えるようになった。

　身近なものに例えれば、ファイルのショートカットのようなものだと考えればいい。

　クラウド上にファイルの実体を保存しておき、ローカルにはファイル名やファイルサイズ、種類などの最低限の情報のみを保管することで、ローカルのストレージ消費量を節約することができる。

雲のアイコンがクラウドのみにあるファイル、緑の白抜きチェックがローカルで作成したファイルや同期済みのファイル、緑のチェックが「このデバイス上で常に保存する」を選択したファイル

　Microsoftが同じような仕組みをWindows 8.1のOneDriveで試したときは、「プレースホルダー」というワードや、その仕組み自体が分かりにくさを生んでいたが、今回は「オンデマンド」というより身近な表現が使われている上、「容量の節約」という、非常に分かりやすい効用が機能に結び付けられており、より使いやすくなった印象だ。

　そのメリットを体験するには、以下のような操作をすればいい。

1.クラウドの容量を確認

　ローカルのデータを保存できるだけの容量をOneDriveで用意しておく。Office 365の1TBなどが理想だが、なければ契約しておく。

クラウド側に十分な空き容量を確保しておく

2.PCのデータを同期対象に

　データをOneDriveと同期しておく。もちろん、同期対象は「OneDrive」フォルダー配下なので、ほかのフォルダーにデータがある場合はOneDrive以下にデータを移動して、同期対象にしておく。

データをOneDrive配下に移動するなどして同期しておく

3.ファイルのオンデマンドを有効にする

　通知領域のOneDriveのユーティリティーから「ファイルのオンデマンド」を有効にする。この状態では、まだデータがクラウドとローカルの両方に存在するため、ローカルの空き容量は増えない。

「ファイルのオンデマンド」を有効にしておく

4.「空き容量を増やす」を選ぶ

　エクスプローラーで、OneDrive上の任意のフォルダーを右クリックして「空き容量を増やす」を選択する。

同期したフォルダーを選択して「空き領域を増やす」を選ぶ

　これで、選択したフォルダーのファイルの本体がローカルから削除され、削除された分だけローカルのストレージに空き容量が確保されることになる。

　もちろん、ファイルが完全に削除されるわけではない。前述した通り、ローカルにはファイルを開くための最低限の情報が保持され、その本体はクラウドに保存される。

　このため、ファイルをダブルクリックすれば、クラウドからファイルの本体がダウンロードされ、元通り、ファイルを開けることになる。

　当然のことながら、インターネットに接続されていないとファイルを開けなくなるが、一旦開いたファイルはクラウドとローカルの両方にファイルの本体が保存される上、ファイルやフォルダーを指定して「このデバイス上で常に保持する」を選択すれば、ローカルにデータ本体が保存される。要するに、これらのファイルのみ従来の完全同期方式となるわけだ。

　フォルダーごとに指定するのが面倒なら、エクスプローラーのナビゲーションウィンドウ（左側の一覧）などから「OneDrive」を選択して、「空き容量を増やす」を選んでしまえば、まるごとオンデマンド化することも可能だ。

WannaCryで悪用された「SMB v1」が既定で無効に

　WannaCryで悪用された経緯もあり、Fall Creators Updateでは、ファイル共有プロトコルの「SMB v1」が既定では無効となった。

　とは言っても、既定で無効にされるのは脆弱性攻撃の対象となった「SMB 1.0/CIFSサーバー」のみで、悪用される危険性の少ない「SMB 1.0/CIFSクライアント」は依然として利用可能だ。このため、SMB v1でのアクセスが必要な古いNASなどの利用は可能となっている。

　もちろん、リスクを承知で機能を有効にすることも可能だ。意図せず稼働している状況を防止することで、万が一、脆弱性を突かれた場合でも、無闇に被害が広がることを防止しようという対策と言えるだろう。

「SMB 1.0/CIFSサーバー」が既定で無効になった

ファイルが勝手に暗号化されるのを防ぐ「コントロールされたフォルダーアクセス」

　最近では、ランサムウェアの被害があまり大きく報道されることはなくなってきたが、それでも直接的かつ金銭的な被害がある攻撃として、ランサムウェアの脅威は大きなものと言える。

　そこで、Fall Creators Updateでは、新たに「コントロールされたフォルダーアクセス」という機能を搭載している。

　詳細については、以前に詳細を解説した本コラムを参照して頂きたいが、指定したフォルダーに対して、安全なアプリ（ストアからダウンロードしたアプリとユーザーが、指定したアプリ）しかアクセスできないように制限する機能だ。

　ランサムウェアは、PCに感染後、接続されているドライブからドキュメントや画像などのデータを参照して次々に暗号化していくが、コントロールされたフォルダーアクセスが有効になっていれば、対象となるフォルダーにはアクセスできないため、ランサムウェアによる暗号化は失敗することになる。

　現状、ランサムウェア対策はバックアップが有効な手段とされているが、バックアップとあわせて設定しておくことで、安全性をさらに高めることができる機能と言える。

Windows Defenderセキュリティセンターの「ウイルスと脅威の防止の設定」で機能をオン／オフできる

　とは言え、この機能は利便性がかなり低下する諸刃の剣でもある。

　WordやExcelなどのMicrosoft製アプリや、エクスプローラーと言えども、許可されていなければ「ドキュメント」や「ピクチャ」などのフォルダーにアクセスすることができなくなる。このため不用意にオンにすると、さまざまなアプリがファイルを保存できなくなったり、設定ファイルや一時ファイルが作成できなくなって、動作が不安定になる。

　例えば、OneDriveフォルダーを保護対象に設定すると、前述したOneDriveで「このデバイス上に常に保持する」を実行しても、ファイルを書き込めないため同期に失敗する。これを避けるには、「"C:\Users\（ユーザー名）\AppData\Local\Microsoft\OneDrive\OneDrive.exe"」を許可するアプリに追加しておく必要がある。

　安定して使える環境にするまでは、アプリを使う度に許可リストに登録する、という操作が必要になる。アプリ本体だけならまだしも、アプリが利用する別のプログラムなどのアクセスが禁止されることもあり、表示された禁止メッセージを頼りに、使いたいプログラムを探し出して登録するという操作を繰り返すことになる。

　まあ正直に言えば「イライラ」する。

　それでも安全性を考えれば、設定しておくべきだ。ランサムウェアに限らず、不正なアプリの動作も、これで防ぐこともできるだろう。

Windowsストアで配布されるアプリや、手動で許可したアプリ以外からは、設定したフォルダーへの書き込みが禁止される。普段、利用するアプリはきちんと登録しておく必要がある

書き込みが禁止されると、このようなメッセージが表示される。アプリによっては設定ファイルなどを書き込もうとして失敗するケースもある

「EMET」の機能を統合、メモリ破損の脆弱性を悪用する攻撃を検出

　これまで、無償のツールとして提供されてきた「脆弱性緩和ツール（EMET：Enhanced Mitigation Experience Toolkit）」がWindows 10の標準機能（Windows Defender Exploit Guard）として統合された。

　EMETは、エンタープライズ向けのツールで、メモリ破損の脆弱性を悪用する攻撃を検出できるようにする役割を持っている。悪意を保った攻撃者が一般的に利用する攻撃手法を検出し、その操作を終了したり、無効にすることができるようになっている。

　脆弱性を保護するには、セキュリティ更新プログラムの適用が必要だが、更新プログラムの提供が間に合わない、いわゆる“ゼロデイ攻撃”などに対しても、よく使われる手法を防御することで、攻撃をしにくくすることが可能となっている。

　EMETは「Windows Defenderセキュリティセンター」からGUIによる設定が可能となっており、「アプリとブラウザーコントロール」にある「Exploit Protection」から、システムおよびプログラムごとの設定が可能だ。

　システム設定では、間接的な呼び出しの整合性をチェックする「制御フローガード（CFG）」、データ専用メモリからコードが実行されることを防止する「データ実行防止（DEP）」、イメージをランダム化する「必須ASLR」、仮想メモリの割り当て場所をランダム化する「ボトムアップASLR」、ディスパッチ中の例外チェーンの整合性を保証する「SEHPOP」、ヒープの破損を検出してプロセスを終了する「ヒープの整合性検証」をそれぞれ設定できる。

　なお、いずれも標準でオンになっているので、特に変更する必要はないだろう。

EMETの機能がOSに統合された。システム保護系の機能は標準ですべてオンになっている

　一方、プログラム設定では、プログラムごとの動作を設定可能となっている。例えば「Adobe Acrobat Reader DC」の実行ファイルである“AcroRd32.exe”を指定した上で、「任意のコードガード（ACG）」、「低整合性イメージをブロックする」、「リモートイメージをブロックする」、「信頼されていないフォントをブロックする」などの詳細な設定が可能だ。

　こうした設定を行っておくことで、脆弱性を突くような攻撃をしにくくすることができることになる。逆に言うと、Windows 10をターゲットとする場合、攻撃者はこうした防御機構を回避する工夫をしなければならないため、攻撃コストが上がったり、攻撃が失敗するリスクを考慮しなければならなくなるわけだ。

　Windows 10が、従来のOSよりも、標準でマルウェアに強いOSと言われる所以は、このような機能が標準で搭載されている点も大きいだろう。

プログラムごとに設定することも可能

余談だが、同時更新のWi-FiドライバーでMACアドレスのランダム化が有効に

　なお、これはFall Creators Updateの新機能ではないのだが、アップグレードを適用したタイミングで、一緒にWi-Fiのドライバーも更新されたためか、筆者がメインで使っているデスクトップPCでもWi-Fiの「ランダムなハードウェアアクセス」（MACアドレスのランダム化）の機能が有効になった。

　機能自体は、かなり前から搭載されていたものだが、ドライバーによって機能がサポートされる場合とそうでない場合があり、これまで筆者のPCでは機能が使えなかった。これがようやく有効化されたことになる。

　MACアドレスのランダム化は、接続可能なWi-Fiのスキャン時や実際の接続時にランダムに生成したMACアドレスを利用することで、プライバシーを保護する機能となる。このため、ほぼ自宅でしか使わないPCには無用な機能ではあるのだが、使えるようになったことは素直に喜ばしいことだ。

　本稿を執筆している数日前に、Wi-FiのWPA2の脆弱性が大きな話題になったが、この影響などもあり、クライアント側のWi-Fi環境がいろいろアップデートされているのかもしれない。

　ただ、外出先で主に利用している「Surface 3」には、未だに「ランダムなハードウェアアクセス」の項目が表示されない。Windowsの開発元が提供する、いわば本家のデバイスなのだから、こういったところはもう少ししっかり対応して欲しいところだ。

メインとして使っているデスクトップPCでは、「ランダムなハードウェアアクセス」（MACアドレスのランダム化）が利用可能になった。しかしながら、外出先でよく使うSurface 3ではまだ利用できない

中身は濃いアップデート

　以上、Windows 10 Fall Creators Updateの新機能のうち、一部を取り上げて紹介したが、今までのアップデートに比べると、若干、地味な印象はある。しかし、OneDriveが使いやすくなった上、何よりセキュリティ面での進化が大きく、個人的には「大型アップデート」と呼ぶに相応しい出来だと思える。

　HMDと組み合わせた「MR」が今回の目玉であることは確かだが、より安心して使えるようになった点も、高く評価したいポイントだ。