Table of Contents

#はじめに

Windowsオペレーティングシステムは、世界中の個人や組織で広く使用されている。これらのシステムのセキュリティと完全性を確保するためには、Windowsのハードニングのベストプラクティスを実施することが不可欠である。ハードニングには、攻撃対象領域を減らし、潜在的な脆弱性を緩和することによって、オペレーティング・システムを安全にすることが含まれる。この記事では、Windows 10と新しいWindows 11オペレーティング・システムの両方のハードニングのベスト・プラクティスを探求し、Windows環境のセキュリティを強化するための貴重な洞察を提供します。


Windows のハードニングを理解する

Windowsのハードニングとは、Windowsオペレーティングシステムのセキュリティを強化するプロセスである。さまざまな設定を行い、不正アクセスやマルウェアなどの脅威から保護するためのセキュリティ対策を実施します。Windowsシステムをハードニングすることで、サイバー攻撃に関連するリスクを最小限に抑え、データの機密性、完全性、可用性を確保することができます。

Hardening Windows 10

Windows 10は、世界的に最も広く使用されているオペレーティング・システムの1つです。Windows 10環境を強化するために、以下のベストプラクティスを検討してください:

1. Enable Windows Defender

Windows Defenderは、Windows 10に含まれる堅牢なウイルス対策ソリューションです。ウイルス、スパイウェア、ランサムウェアなど、さまざまな種類のマルウェア**からシステムを保護するためのさまざまなセキュリティ機能を提供します。Windows Defenderを有効にすることで、Windows 10環境のセキュリティを大幅に強化することができます。

Windows Defenderを有効にするには、以下の手順に従ってください:

  • タスクバーのWindowsセキュリティアイコンをクリックするか、スタートメニューで「Windowsセキュリティ」を検索して、Windowsセキュリティアプリを開きます。
  • Windowsセキュリティ」アプリで、左側のナビゲーションペインの「ウイルスと脅威の保護」をクリックします。
  • ウイルスと脅威の保護設定 “セクションの下にある “設定の管理“をクリックします。
  • リアルタイム保護**」のトグルスイッチが「オン」になっていることを確認する。これにより、Windows Defenderがリアルタイムでアクティブにスキャンし、システムを保護します。
  • さらに、”スキャンオプション“と “除外の追加と削除“をそれぞれクリックして、スキャンオプションと除外をカスタマイズすることができます。

Windows Defenderは、最新のマルウェア定義セキュリティ強化を確実にするために、定期的にアップデート**することが非常に重要です。Microsoftは、新しい脅威や脆弱性に対処するために、定期的に更新プログラムをリリースしています。Windows Defenderをアップデートするには、以下の手順に従ってください:

  • Windowsセキュリティアプリを開きます。
  • 左側のナビゲーションペインの「ウイルスと脅威の保護」に移動します。
  • ウイルスと脅威から保護するための更新プログラム “の下にある “更新プログラムをチェックする“をクリックします。
  • Windowsが利用可能な更新プログラムをチェックし、必要に応じてダウンロード/インストールします。

Windows Defenderを有効にし、最新の状態に保つことで、Windows 10システムをマルウェアやその他のセキュリティ脅威から積極的に保護することができます。また、潜在的な脅威の検出と除去を確実にするために、Windows Defenderを使用して定期的なシステムスキャンを実行することをお勧めします。

Windows Defenderは強固な保護レベルを提供しますが、安全なWindows 10環境を維持するためには、安全なブラウジング習慣定期的なソフトウェア更新、およびその他のセキュリティ対策で補完することが不可欠であることを忘れないでください。

2. Keep Windows 10 Updated

Windowsの更新プログラムを定期的にインストールすることは、Windows 10を強化する上で非常に重要です。これらの更新プログラムには、セキュリティパッチ、バグ修正、パフォーマンスの向上が含まれており、セキュリティの脆弱性を修正し、システムの安定性を向上させます。

Microsoftは、新たに発見されたセキュリティ問題に対処し、全体的なユーザーエクスペリエンスを向上させるために、Windows 10の定期的な更新プログラムをリリースしています。システムを常に最新の状態に保つことで、お使いのオペレーティングシステムに最新のセキュリティ拡張機能が適用され、新たな脅威から保護されます。

Windows 10 を常に最新の状態に保つには、次の手順に従います:

1.自動更新を有効にする:デフォルトでは、Windows 10は更新プログラムを自動的にダウンロードしてインストールするように設定されています。これにより、手動で操作することなく、必要な更新プログラムを確実に受け取ることができます。自動更新が有効になっているかどうかを確認するには、次の手順に従います:

  • スタートメニューをクリックし、歯車のアイコンを選択して設定に移動します。
  • アップデートとセキュリティ**をクリックします。
  • 左側のナビゲーションペインで、Windows Updateをクリックします。
  • Windows Updateの設定」の**「自動」オプションが選択されていることを確認します。選択されていない場合は、“アクティブな時間の変更 “**リンクをクリックして、Windowsが更新プログラムのインストールを回避するアクティブな時間をカスタマイズします。

2.手動で更新プログラムをインストールする更新プログラムを手動でインストールする: 更新プロセスをよりコントロールしたい場合は、Windows 10システムに更新プログラムを手動でインストールすることができます。方法は以下の通りです:

  • 設定** > 更新とセキュリティ > Windows Updateに進みます。
  • 更新プログラムの確認 “**をクリックし、お使いのシステムで利用可能な更新プログラムがあるかどうかを確認します。
  • 更新プログラムが見つかったら、**“ダウンロード ““インストール “**をクリックしてインストールプロセスを開始します。

アップデートをインストールした後は、定期的にシステムを再起動することが重要です。アップデートの中には、変更を完全に適用し、その効果を確実にするために、システムの再起動を必要とするものがあります。

Windows 10システムをアップデートしておくことで、セキュリティが強化されるだけでなく、最新の機能、パフォーマンスの向上、互換性の修正などの恩恵を受けることができます。これは、お使いのシステムが潜在的なセキュリティ脅威に対して回復力を維持できるようにするための積極的な対策です。

3. Configure User Account Control (UAC)

ユーザーアカウント制御(UAC)は、Windows 10のセキュリティ機能であり、必要に応じて管理者の承認を求めることで、システムに対する不正な変更を防止するのに役立ちます。悪意のあるソフトウェアや、システムのセキュリティや安定性に影響を与える可能性のある変更を行おうとする未承認のユーザーに対するセーフガードとして機能します。

Windows 10**を強化するには、UAC設定を適切なレベルに設定することが重要です。UACが不要な中断を引き起こすことなくシステムを効果的に保護するためには、セキュリティと使いやすさのバランスを見つけることが必要です。

Windows 10でUAC設定を構成するには、以下の手順に従います:

1.検索バーに「コントロールパネル」と入力し、検索結果から選択して、コントロールパネルを開きます。

2.コントロールパネルで、**“User Accounts “**をクリックします。

3.ユーザーアカウント制御設定の変更」をクリックする。

4.UAC設定のさまざまなレベルのスライダーが表示されます。以下は利用可能なオプションです:

  • 常に通知 “**:これはUACセキュリティの最高レベルであり、簡単なタスクであってもシステムの変更に同意を求めるプロンプトが表示されます。
  • アプリケーションがコンピュータに変更を加えようとしたときのみ通知する(デフォルト)」***:これは、セキュリティと使いやすさのバランスが取れた推奨設定です。アプリが変更を加える際には同意のプロンプトが表示されますが、Windows設定の変更には表示されません。
  • アプリがコンピュータに変更を加えようとしたときのみ通知する(デスクトップを暗くしない)」***:前のオプションと似ていますが、UACプロンプトが表示されてもデスクトップは暗くなりません。
  • 通知しない “**:これはUACセキュリティの最低レベルで、システムの変更を要求されません。

5.スライダーを希望の位置に動かして、ニーズに合ったUACセキュリティのレベルを選択します。

6.OK “**をクリックして変更を保存します。

UACは有効にしておき、セキュリティと使いやすさのバランスが適切なレベルに設定することをお勧めします。UACを完全に無効にすると、システムが不正な変更にさらされやすくなり、セキュリティが損なわれる可能性があります。

UAC設定を構成することで、重要なシステム変更には管理者権限が必要であることを保証し、不正アクセスやマルウェア感染のリスクを低減することで、Windows 10システムのセキュリティを強化できます。

4. Use Strong Passwords

強力なパスワードを使用することは、Windows 10システムのセキュリティを維持し、不正アクセスから保護するために不可欠です。弱いパスワードや推測されやすいパスワードは、ブルートフォース攻撃やパスワードクラッキングなどの攻撃に対してシステムを脆弱にします。

Windows 10 システムのすべてのユーザーアカウントに強力なパスワードを設定するには、以下のパスワードのベストプラクティスに従ってください:

1.複雑さ:複雑さ**:複雑で推測されにくいパスワードを作成するようユーザーに奨励する。強力なパスワードには、大文字と小文字、数字、特殊文字を組み合わせる必要があります。一般的な単語や予測可能なパターンの使用は避ける。

2.長さ:一般に、パスワードは長いほど安全です。少なくとも8文字以上、できればそれ以上の長さのパスワードを作成するようユーザーに奨励する。パスワードの文字数が多ければ多いほど、クラックは難しくなります。

3.一意性:各ユーザーアカウントは、一意のパスワードを持つべきである。複数のアカウントに同じパスワードを使用すると、セキュリティ侵害のリスクが高まります。ユーザーには、アカウントごとに異なるパスワードを使用するよう促しましょう。

4.**個人情報の使用を避ける:氏名、生年月日、住所などの個人情報をパスワードに使用しないよう、ユーザーに助言する。このような情報は、攻撃者に容易に入手されたり、推測されたりする可能性がある。

5.パスワード管理ツール:パスワードを安全に保管・管理するために、パスワードマネージャーツールの使用を検討する。パスワード管理ツールは、アカウントごとに強力で一意なパスワードを生成し、暗号化されたデータベースに保存することができます。

6.定期的なパスワードの変更:セキュリティを維持するため、パスワードを定期的に変更するようユーザーに奨励する。パスワードの有効期限に関するポリシーを設定し、パスワードを定期的に更新することの重要性についてユーザーを教育する。

強固なパスワードの使い方を実践することで、Windows 10 システムのセキュリティを大幅に強化し、不正アクセスやデータ漏洩のリスクを低減できます。パスワードのセキュリティについて定期的にユーザーを教育し、パスワード強度計やパスワード作成ガイドラインなどのリソースを提供して、強力なパスワードの作成を支援する。

強力なパスワードの作成とベストプラクティスの詳細については、以下を参照してください。 article パスワードのセキュリティに関する包括的なガイダンスを提供し、強力で覚えやすいパスワードを作成するためのヒントを提供します。

強力なパスワードを使用することは、システム セキュリティの基本的な側面であり、機密データを保護し、Windows 10 環境の整合性を確保するために優先されるべきであることを忘れないでください。

5. Enable BitLocker Encryption

Windows 10システム上の機密データを保護する最も効果的な方法の1つは、BitLocker暗号化を有効にすることです。BitLocker はフルディスク暗号化を提供し、デバイスが紛失または盗難に遭った場合でも、データを安全に保ち、権限のない個人にはアクセスできないようにします。

BitLocker 暗号化を有効にして機密情報を保護するには、次の手順に従います:

1.システム要件を確認します:お使いの Windows 10 のエディションが BitLocker 暗号化をサポートしていることを確認します。BitLocker は Windows 10 Pro、Enterprise、および Education エディションで使用できます。

2.BitLockerを有効にする:コントロールパネルを開き、「システムとセキュリティ」カテゴリに移動します。BitLocker Drive Encryption」をクリックし、暗号化したいドライブを選択します。画面の指示に従って暗号化プロセスを開始します。

3.暗号化オプションを選択します:BitLockerのセットアップ中に、パスワード、スマートカード、またはその両方を使用するなど、さまざまな暗号化方法から選択するオプションがあります。セキュリティ要件と好みに基づいて、適切な方法を選択します。

4.回復キーのバックアップ:BitLocker 回復キーをバックアップしておくことは非常に重要です。このキーは、パスワードを忘れたり、暗号化されたドライブにアクセスする際に問題が発生した場合のフェイルセーフとして機能します。回復キーはデバイスとは別の安全な場所に保管してください。

5.BitLocker 設定の管理:BitLocker を有効にした後、特定のドライブの自動ロック解除や、セキュリティ強化のための TPM (Trusted Platform Module) の使用設定など、追加の設定をカスタマイズできます。これらの設定は、BitLocker 管理インターフェイスからアクセスできます。

BitLocker 暗号化を有効にすることで、Windows 10 システムに追加の保護レイヤーが追加され、デバイスが悪人の手に渡った場合でも、データは安全なままアクセスできなくなります。セキュリティのベストプラクティスを常に最新の状態に保つために、BitLocker 設定を定期的に更新し、維持することが重要です。

BitLocker 暗号化の有効化と管理の詳細については、公式の Microsoft documentation 高度な機能や設定オプションなど、BitLocker 暗号化に関する包括的なガイダンスを提供します。

BitLocker 暗号化を有効にすることで、機密データを保護し、紛失や盗難の場合でも情報が安全であるという安心感を得ることができます。

6.不要なサービスと機能を無効にする

Windows 10システムのセキュリティを強化するには、不要なサービスや機能を見直し、無効にすることが不可欠です。そうすることで、攻撃対象が減り、悪意ある行為者に悪用される可能性を最小限に抑えることができます。

ここでは、Windows 10システムの不要なサービスと機能を無効にする手順を説明します:

1.1. 不要なサービスの特定:不要なサービスの特定**: まず、システム上で動作しているサービスを特定します。Windowsキー+R**を押し、services.mscと入力し、Enterを押して、「サービス」管理コンソールを開きます。サービスのリストを確認し、その目的を調べて、どれがシステムの機能にとって不可欠かを判断します。

2.不要なサービスを無効にする:不要なサービスを特定したら、各サービスを右クリックし、プロパティを選択します。プロパティウィンドウで、スタートアップタイプ無効に変更します。これにより、システムの起動時にサービスが自動的に開始されなくなります。システムの通常動作に必要のないサービスだけを無効にするよう注意してください。

3.不要な機能を無効にする:サービスだけでなく、Windows 10にはシステムに不要なさまざまな機能が含まれています。コントロールパネルを開き、プログラムまたはプログラムと機能**に移動し、Windowsの機能をオンまたはオフにするをクリックします。不要な機能のチェックを外してください。この手順により、攻撃対象がさらに減少し、不要な機能によって消費されるリソースが最小限に抑えられます。

4.定期的な見直しと更新:Windows 10システムで有効になっているサービスと機能のリストを定期的に確認することが重要です。システムの要件が時間の経過とともに変化するため、必要なサービスや機能を再評価する必要があるかもしれません。常に警戒し、必要に応じて設定を更新してください。

不要なサービスや機能を無効にすることで、攻撃者の潜在的な侵入口を制限し、Windows 10 システムの全体的な攻撃対象領域を減らすことができます。これにより、システムのセキュリティ体制が向上し、悪用されるリスクが軽減されます。

Windows 10のサービスと機能の管理の詳細については、以下を参照してください。 article を参照されたい。

重要なコンポーネントを無効にすると、システムの機能に悪影響を及ぼす可能性があります。変更を加える前に、必ずサービスや機能の目的を調べ、理解してください。

7.**ファイアウォール ルールの実装

Windows 10に内蔵されているファイアウォールは、不正なネットワークトラフィックに対する重要な防御線として機能します。ファイアウォール ルールを設定することで、許可されるインバウンド接続とアウトバウンド接続を制御でき、シス テムのセキュリティを強化できます。

以下の手順に従って、Windows 10 システムにファイアウォール規則を実装してください:

1.**ファイアウォール設定にアクセスします:ファイアウォール設定にアクセスするには、コントロールパネルを開き、Windows Defenderファイアウォールを検索し、該当する結果をクリックします。または、スタートボタンを右クリックし、設定を選択し、ネットワークとインターネット>Windowsファイアウォールに移動することもできます。

2.受信ルールを設定します:受信ルールは、システムへの着信ネットワーク接続を制御します。Windows Defenderファイアウォールのウィンドウで詳細設定をクリックします。新しいウィンドウで、受信ルールを選択し、新しいルールをクリックします。画面の指示に従って、必要な受信接続のみを許可するルールを作成します。ネットワークアクセスを必要とするサービスやアプリケーションを考慮し、それに応じてルールを作成します。

3.**アウトバウンドルールを設定します:送信ルールは、システムからの送信ネットワーク接続を制御します。上記と同じ手順に従いますが、代わりに Outbound Rules を選択します。重要なサービスやアプリケーションの送信接続を許可し、疑わしい接続や不要な接続をブロックするルールを作成します。

4.定期的な見直しと更新:ファイアウォールルールを定期的に見直し、更新して、システムの要件に適合するようにす ることが重要です。ネットワーク環境や使用パターンが変化すると、ルールの変更や新規作成が必要になる場合があります。効果的なファイアウォール設定を維持するために、常に警戒を怠らず、ルールを最新の状態に保ってください。

ファイアウォール ルールを実装して維持することで、不正なネットワーク アクセスのリスクを大幅に低減し、Windows 10 システムのセキュリティを強化できます。さらに、ファイアウォール設定でステルスモードオプションを有効にして、潜在的な攻撃者からシステムを見えにくくすることも検討してください。

Windows 10のファイアウォールルールの設定に関する詳細情報については、公式の Microsoft documentation をご覧ください。

よく設定されたファイアウォールは、包括的なセキュリティ戦略の不可欠な要素ですが、システムを強固に保護するためには、他のセキュリティ対策と組み合わせて使用する必要があることを覚えておいてください。

8. Use AppLocker

AppLockerは、システム上で実行できるアプリケーションを制御できるWindows 10の強力な機能です。AppLockerポリシーを実装することで、許可されていないアプリケーションや潜在的に悪意のあるアプリケーションの実行を制限し、Windows 10環境のセキュリティを強化できます。

Windows 10システムでAppLockerを使用するには、以下の手順に従ってください:

1.AppLocker 設定にアクセスします:AppLockerの設定にアクセスするには、Windowsキー + Rを押し、gpedit.mscと入力し、OKをクリックして、ローカルグループポリシーエディタを開きます。または、スタートメニューからグループポリシーエディター**を検索することもできます。

2.AppLocker ポリシーを設定します:ローカルグループポリシーエディターで、コンピューターの構成 > Windowsの設定 > セキュリティの設定 > アプリケーションコントロールポリシー > AppLockerに移動します。ここでは、実行可能なルールWindowsインストーラのルールスクリプトのルール、*パッケージアプリのルール*など、さまざまなポリシーを構成できます。

3.AppLockerルールの作成:AppLockerルールを作成するには、目的のポリシーフォルダ(例:Executable Rules)を右クリックし、Create New Ruleを選択します。画面の指示に従って、ルールの条件と例外を指定します。ファイルパス、発行元、ファイルハッシュ、またはその他の属性に基づいてルールを作成し、アプリケーションの実行を許可または拒否できます。

4.ポリシーのテストと改良:AppLocker ルールを作成したら、テストして意図したとおりに機能することを確認することが重要です。ポリシーをテストグループまたはシステムに展開し、許可されたアプリケーションのみ の実行が許可されることを確認します。テスト結果に基づいて、ルールに必要な修正を加えます。

5.定期的な見直しと更新:アプリケーション環境が進化するにつれて、AppLocker ポリシーを定期的に見直し、更新することが非常に重要です。新しいアプリケーションの実行には許可が必要ですが、他のアプリケーションは古くなったり、セキュリティ上のリスクが生じたりする可能性があります。効果的なアプリケーション制御メカニズムを維持するために、積極的にポリシーを最新の状態に保ちましょう。

AppLocker は、アプリケーションの実行をきめ細かく制御し、Windows 10 システム上で許可されていないソフトウェアや悪意のあるソフトウェアが実行されるのを防ぎます。AppLocker を使用することで、マルウェア感染、不正なソフトウェアのインストール、その他のセキュリティ インシデントのリスクを低減できます。

AppLockerポリシーの実装に関するより詳細な情報については、以下の公式サイトを参照してください。 Microsoft documentation or visit our AppLocker GitHub repository をご覧ください。

アプリケーション要件の変化や新たなセキュリティ脅威に対応するため、AppLocker ポリシーを定期的に見直し、更新することを忘れないでください。AppLockerは、Windows 10システム上の未承認の潜在的に有害なアプリケーションに対する防御のための貴重なツールです。

9. Regularly Backup Your Data

データを定期的にバックアップすることは、セキュリティ事故、ハードウェアの故障、その他の予期せぬ出来事によるデータ損失から保護するために不可欠な習慣です。定期的にバックアップを作成し、その完全性を確認することで、重要なデータの安全性を確保し、災害時にも復元できるようになります。

以下の手順に従って、Windows 10システムのデータを定期的にバックアップしてください:

1.1. 重要なデータの特定:重要なデータの特定**: 重要でバックアップが必要なデータを特定することから始めます。重要なデータの特定**: 重要でバックアップが必要なデータを特定することから始めます。これには、重要な文書、個人的なファイル、システム設定、アプリケーション設定、その他貴重と思われるデータが含まれます。

2.バックアップ・ソリューションを選択します:要件を満たす信頼性の高いバックアップソリューションを選択します。Windows 10には、ファイル履歴Windowsバックアップと復元**のようなバックアップツールが組み込まれています。また、追加機能と柔軟性を提供するサードパーティのバックアップソフトウェアを選択することもできます。

3.バックアップの頻度を決める:データの重要度と変更頻度に基づいて、バックアップを実行する頻度を決定します。毎日バックアップが必要なデータもあれば、週単位や月単位でバックアップできるデータもあります。

4.**バックアップストレージを選択します:バックアップを保存するのに適したストレージ媒体を選択します。これには、外付けハードドライブ、ネットワーク接続ストレージ(NAS)デバイス、クラウドストレージサービス、または複数のストレージオプションの組み合わせが含まれます。ストレージ媒体が安全で信頼できることを確認してください。

5.バックアップ設定の構成:好みに応じてバックアップソリューションを設定します。バックアップするデータ、バックアップ先、暗号化や圧縮などの追加設定を指定します。

6.テストリストアの実行:バックアップからテストリストアを実行して、リストアプロセスを定期的にテストします。これにより、バックアップが正しく機能していること、および必要なときにデータを正常に復元できることを確認できます。

7.監視と更新:バックアッププロセスを定期的に監視し、期待通りに実行されていることを確認します。バックアップソリューションを更新し、データや要件の変更に応じてバックアップ設定を調整します。

これらのステップに従い、定期的にバックアップを行うことで、データ損失の影響を最小限に抑え、重要な情報の可用性を維持することができます。バックアップは元のデータから離して安全に保管し、3-2-1バックアップルールを実施することを忘れないでください。

バックアップのベストプラクティスと3-2-1バックアップルールの詳細については、以下の記事を参照してください。 What is the 3-2-1 Backup Rule and Why You Should Use It 効果的なバックアップ戦略を実施するための貴重な見識と推奨事項を提供している。

定期的なバックアップは、データを保護し、不測の事態に備えて可用性を確保する上で非常に重要であることを忘れないでください。大切な情報を守るために、データのバックアップをWindows 10のハードニングの重要な一部にしてください。


Hardening Windows 11

Windows 11はWindowsオペレーティングシステムの最新バージョンであり、強化された機能と改善されたセキュリティを提供します。Windows 11環境を強化するために、以下のベストプラクティスを検討してください:

1.セキュアブートと TPM

セキュアブートと TPM(Trusted Platform Module)は、Windows 11 で利用できる重要なセキュリティ機能で、不正アクセスから保護し、オペレーティングシステムの完全性を確保するのに役立ちます。セキュアブートと TPM を有効にすることで、Windows 11 システムのセキュリティを強化できます。

以下の手順に従って、Windows 11 デバイスでセキュアブートと TPM を有効にしてください:

1.互換性の確認:互換性の確認**: セキュアブートと TPM を有効にする前に、お使いのデバイスがこれらの機能をサ ポートしていることを確認してください。互換性の確認**: セキュアブートと TPM を有効にする前に、お使いのデバイスがこれらの機能をサポートしていることを確認してください。

2.**UEFI/BIOS 設定にアクセスします:Windows 11 デバイスを再起動し、UEFI (Unified Extensible Firmware Interface) または BIOS (Basic Input/Output System) 設定にアクセスします。これらの設定にアクセスするための特定のキーまたはキーの組み合わせは、お使いのデバイスによって異なる場合があります。一般的なキーには、Del、F2、F10、Escなどがあります。詳細な手順については、お使いのデバイスのマニュアルまたは製造元のウェブサイトを参照してください。

3.セキュアブートを有効にします:UEFI/BIOS 設定で、Secure Boot 設定に移動します。セキュアブートを有効にすると、信頼できるオペレーティングシステムとコンポーネ ントのみがブートプロセス中に実行できるようになります。これにより、システムのセキュ リティを侵害する可能性のある未承認のソフトウェアや悪意のあるソフトウェアのロードが防がれます。

4.TPMを有効にします:UEFI/BIOSのTPM設定を探し、TPMを有効にします。TPMはデバイスのマザーボード上の専用マイクロチップで、ハードウェアベースのセキュリティ機能を提供します。TPMを有効にすることで、Windows 11はその機能を活用してシステムのセキュリティを強化することができます。

5.TPMセキュリティの設定:TPMを有効にした後、セキュリティ設定を構成するための追加オプションがあります。お使いのデバイスとファームウェアによっては、TPM パスワードの設定、TPM ファームウェアの更新の有効化、またはその他の関連設定を調整できる場合があります。利用可能なオプションを確認し、セキュリティ要件に基づいて設定してください。

6.**保存して終了します:セキュアブートと TPM を有効にし、必要な設定を行ったら、UEFI/BIOS 設定の変更を保存して終了します。システムが再起動し、新しい設定が有効になります。

Windows 11 でセキュアブートと TPM を有効にすると、不正な改造、ルートキット、その他のセキュリティ脅威からデバイスを保護することができます。これらの機能は、オペレーティング・システムの信頼基盤を確立し、より安全なコンピューティング環境に貢献します。

セキュアブートと TPM を有効にするための可用性と具体的な手順は、デバイスの製造元とファームウェアのバージョンによって異なる場合があります。お使いのシステムに合わせた正確な手順については、デバイスのマニュアルや製造元のウェブサイトを参照することをお勧めします。

Windows 11 デバイスでセキュアブートと TPM を有効にすると、全体的なセキュリティ態勢が強化され、オペレーティングシステムと機密データの保護が強化されます。

2. Enable Microsoft Defender Antivirus

Windows 11には、Microsoft Defender Antivirusと呼ばれるウイルス対策が組み込まれています。これは、ウイルス、ランサムウェア、スパイウェアを含む様々な種類のマルウェアに対する包括的なセキュリティを提供します。Microsoft Defender Antivirusを有効にし、定期的に更新することで、Windows 11システム上でリアルタイムの脅威の検出と防止を確実に行うことができます。

以下の手順に従って、Windows 11 デバイスで Microsoft Defender アンチウイルスを有効にし、更新してください:

1.アンチウイルスのステータスを確認する:まず、Microsoft Defender アンチウイルスのステータスを確認します。スタート]メニューをクリックし、[Windowsセキュリティ]を検索し、検索結果からアプリを選択して、Windowsセキュリティアプリを開きます。アプリが開いたら、「ウイルスと脅威の保護」セクションに移動し、Microsoft Defender Antivirusの状態を確認します。Windows 11の新規インストールでは、デフォルトで有効**になっているはずです。

2.リアルタイム保護を有効にする:Windowsセキュリティアプリで、Microsoft Defender Antivirusのリアルタイム保護が有効になっていることを確認します。リアルタイム保護は、マルウェアやその他の悪意のあるアクティビティについてシステムを継続的に監視し、即時対応を提供し、脅威をリアルタイムでブロックします。リアルタイム保護が有効になっていない場合は、トグルスイッチをクリックして有効にします。

3.定義の更新:定期的にウイルス定義を更新することは、Microsoft Defender Antivirusが最新の脅威を検出し保護できるようにするために非常に重要です。Windowsセキュリティアプリで、「ウイルスと脅威の保護」セクションに移動し、「更新を確認」ボタンをクリックして、ウイルス対策定義を更新します。このプロセスにより、システムに最新のシグネチャ検出機能が搭載されます。

4.スキャンをスケジュールするMicrosoft Defender Antivirusでは、潜在的な脅威を積極的に検出して除去するために、定期的なシステムスキャンをスケジュールすることができます。Windowsセキュリティアプリの“ウイルスと脅威の保護 “セクションに移動し、“クイックスキャン “または“フルスキャン “オプションをクリックしてスキャンを開始します。また、“スキャンオプション “**リンクをクリックしてスキャン設定をカスタマイズし、好みに応じて定期的なスキャンをスケジュールすることもできます。

5.追加設定の構成Microsoft Defender アンチウイルスは、セキュリティ要件に基づいて構成できる追加の設定と機能を提供します。Windowsセキュリティアプリで、「アプリとブラウザのコントロール」、「デバイスセキュリティ」、**「ファイアウォールとネットワーク保護」**などの様々なセクションを探索し、ウイルス対策設定をカスタマイズし、高度な保護機能を活用することができます。

Windows 11 で Microsoft Defender アンチウイルスを有効にし、定期的に更新することは、マルウェアやその他のセキュリティ脅威に対する強力な防御を維持するために不可欠です。以下の手順に従い、Microsoft Defender アンチウイルスを最新の状態に保つことで、Windows 11 システムを確実に保護することができます。

Microsoft Defender アンチウイルスは強力な保護を提供しますが、安全なブラウジング習慣を実践し、ファイルのダウンロード電子メールの添付ファイルを開く際に注意を払い、オペレーティングシステムとアプリケーションを常に最新の状態に保ち、全体的なセキュリティ体制をさらに強化することをお勧めします。

3.デフォルトのハードウェアベースの分離を適用する

Windows 11 は、仮想化ベースのセキュリティ (VBS)ハイパーバイザーで保護されたコードインテグリティ (HVCI) などのハードウェアベースの分離機能を活用して、強化されたセキュリティを提供し、重要なシステムコンポーネントを保護します。

これらのデフォルトのハードウェア・ベースの分離機能を有効にして適用することで、堅牢なセキュリティ境界を確立し、さまざまな攻撃ベクトルを軽減することができます。以下は、適切なコンフィギュレーションを確保するための主な手順です:

1.仮想化技術の有効化まず、お使いのシステムが仮想化技術をサポートしているかどうかを確認し、システムの BIOSまたはUEFIファームウェア** 設定でそれが有効になっていることを確認する必要があります。仮想化技術にアクセスして有効にする手順は、マザーボードやファームウェアのメーカーによって異なる場合があります。具体的な手順については、システムのマニュアルまたはメーカーのウェブサイトを参照してください。

2.**仮想化ベースのセキュリティ(VBS)**を有効にします:Windows 11には、ハードウェア仮想化機能を使用して、**Virtual Secure Mode(VSM)**と呼ばれる隔離されたコンテナを作成するVBSが組み込まれています。VSMは、重要なシステム・コンポーネントに安全な実行環境を提供し、潜在的な攻撃から保護します。VBSを有効にするには、以下の手順に従ってください:

  • Windowsキー + R**を押して、[ファイル名を指定して実行]ダイアログ・ボックスを開きます。
  • gpedit.msc」と入力し、Enterキーを押してローカル・グループ・ポリシー・エディタを開きます。
  • コンピュータの構成]->[管理テンプレート]->[システム]->[デバイスガード]に移動します。
  • 仮想化ベースのセキュリティを有効にする」**ポリシーをダブルクリックします。
  • Enabled “**を選択し、OKをクリックして変更を適用します。

VBSを有効にするには、互換性のあるハードウェアと特定のシステム要件が必要な場合があります。詳細については、公式のMicrosoftドキュメントを参照してください。

3.**ハイパーバイザー保護コード整合性(HVCI)**を有効にします:HVCI は、ハイパーバイザーを使用してコード整合性ポリシーを実施し、不正なコード実行を防いで全体的なセキュリ ティ体制を強化する機能です。HVCIを有効にするには、以下の手順に従います:

  • Windows キー + R** を押して、[ファイル名を指定して実行]ダイアログボックスを開きます。
  • msconfig**」と入力し、Enterキーを押してシステム構成ユーティリティを開きます。
  • Boot “**タブに移動します。
  • Advanced options “**をクリックします。
  • Enable Hypervisor-protected Code Integrity “**オプションをチェックします。
  • OK**をクリックして変更を保存し、システムを再起動します。

HVCIを有効にするには、互換性のあるハードウェアと特定のシステム要件が必要です。詳細については、公式のMicrosoftドキュメントを参照してください。

VBS や HVCI などのデフォルトのハードウェアベースの分離機能を適用することで、Windows 11 システムのセキュリティ体制を大幅に強化することができます。これらの機能は、システムのコードや設定を変更したり悪用しようとする攻撃を含む、さまざまな攻撃から重要なシステム・コンポーネントを保護するのに役立ちます。

これらのハードウェア・ベースの分離機能によって提供される最新のセキュリティ強化および緩和策の恩恵を受けるために、最新のセキュリティ・パッチおよびファームウェア・アップデートでシステムを定期的に更新するようにしてください。

ハードウェアベースの分離機能の利用可能性や要件は、お使いのシステム構成やWindows 11のエディションによって異なる可能性があることにご注意ください。これらのセキュリティ機能を適切に実装するために、Microsoftの公式ドキュメントを参照し、互換性チェックを行うことをお勧めします。

4. Use Windows Sandbox

Windows Sandboxは、信頼されていないアプリケーションやテストソフトウェアを隔離された環境で実行することを可能にする貴重なツールであり、システムにセキュリティの追加レイヤーを提供します。Windows サンドボックスを使用することで、信頼できないプログラムの実行に関連する潜在的なリスクを軽減することができます。

Windows サンドボックスは、メインのオペレーティング システムから完全に分離された、軽量で一時的なデスクトップ環境を作成します。サンドボックス内で行われた変更は、それを閉じると破棄され、プライマリ システムは影響を受けないままであることを保証します。

Windows Sandboxを使用するには、以下の手順に従います:

1.システム要件の確認:システム要件の確認**: 先に進む前に、お使いのシステムがWindows Sandboxを実行するための要件を満たしていることを確認してください。一般的に、Windows 10 ProまたはEnterpriseエディションと、BIOS/UEFIファームウェアで仮想化機能が有効になっているプロセッサが必要です。公式の Microsoft documentation 具体的なシステム要件については

2.Windows Sandboxを有効にする:Windows Sandboxは、Windows 10 ProおよびEnterpriseエディションに組み込まれた機能です。Windowsサンドボックスを有効にするには、以下の手順に従ってください:

  • Windowsキー + R**を押して、[ファイル名を指定して実行]ダイアログボックスを開きます。
  • appwiz.cpl」と入力し、Enterキーを押して「プログラムと機能」ウィンドウを開きます。
  • 左側の**“Windowsの機能をオンまたはオフにする “**をクリックします。
  • 下にスクロールし、機能リストの中から**“Windows Sandbox “**を探します。
  • Windows Sandbox “**にチェックを入れ、OKをクリックして有効にします。
  • Windowsが必要なコンポーネントをインストールするので、変更を有効にするにはシステムを再起動する必要があるかもしれません。

3.**Windows Sandboxを起動します:Windows Sandboxが有効になったら、以下の手順で起動できます:

  • スタートメニューを開き、“Windows Sandbox “**を検索します。
  • Windows Sandbox “**アプリケーションをクリックして開きます。
  • サンドボックスは別ウィンドウで起動し、信頼できないアプリケーションやテストソフトウェアを実行するための安全な環境を提供します。

Windowsサンドボックスでアプリケーションを実行している間、サンドボックス環境は隔離されており、その内部で行われた変更を破棄するように設計されていることに留意してください。したがって、ファイルやデータを保持する必要がある場合は、サンドボックスの外に保存することが重要です。

Windowsのサンドボックスは、未知のソフトウェアをテストしたり、疑わしいファイルを開いたり、潜在的に危険なウェブサイトを探索するための効果的なツールです。悪意のある活動や不要な変更がサンドボックス内に閉じ込められ、メインのオペレーティングシステムに影響を与えないようにすることで、保護レイヤーを追加します。

Windows Sandbox をセキュリティ対策に組み込むことで、信頼できないアプリケーションの実行に関連するリスクを大幅に低減し、潜在的な脅威からシステムを保護することができます。

Windows Sandboxとその使用方法の詳細については、公式の Microsoft documentation

5. Implement Microsoft Defender Application Guard

Microsoft Defender Application Guardは、Microsoft Edgeブラウザセッションを基盤となるオペレーティングシステムから分離する強力なセキュリティ機能です。セキュアで分離された環境でEdgeを実行することで、Application Guardは、ブラウザベースの攻撃や悪意のあるWebサイトからシステムを保護します。

Microsoft Defender Application Guardを実装してブラウザのセキュリティを強化するには、以下の手順に従ってください:

1.互換性の確認:互換性の確認**:先に進む前に、お使いのシステムが Microsoft Defender Application Guard を実行するための要件を満たしていることを確認してください。通常、Windows 10 ProまたはEnterpriseエディション、仮想化機能を備えた互換性のあるプロセッサ、および少なくとも8 GBのRAMが必要です。公式の Microsoft documentation 具体的なシステム要件については

2.**アプリケーションガードを有効にする:Application Guardは、Windows 10のオプション機能として使用できます。Microsoft Defender Application Guardを有効にするには、以下の手順に従ってください:

  • Windowsキー + R**を押して、[ファイル名を指定して実行]ダイアログボックスを開きます。
  • appwiz.cpl」と入力し、Enterキーを押して「プログラムと機能」ウィンドウを開きます。
  • 左側の**“Windowsの機能をオンまたはオフにする “**をクリックします。
  • 下にスクロールし、機能リストの中に**“Microsoft Defender Application Guard “**を見つけます。
  • Microsoft Defender Application Guard “**にチェックを入れ、OKをクリックして有効にします。
  • Windowsが必要なコンポーネントをインストールするので、変更を有効にするにはシステムを再起動する必要があるかもしれません。

3.**Application Guard を設定します:Application Guard を有効にすると、セキュリティのニーズに合わせて設定を構成できま す。Application Guard では、隔離レベルを定義し、信頼できない Web サイトやファイルの処理方法を制御できます。これらの設定は、Windows セキュリティ アプリまたはグループ ポリシー設定で調整できます。

4.テストと検証:Microsoft Defender Application Guard を有効にして設定した後は、その機能をテストして検証することが重要です。Microsoft Edgeを開き、既知の悪意のあるWebサイトや潜在的なリスクのあるサイトにアクセスして、Application Guardがブラウザセッションを正常に分離し、潜在的な攻撃を防ぐかどうかを確認します。

Microsoft Defender Application Guardを実装することで、ブラウザセッションを分離し、安全な環境内に潜在的な脅威を封じ込めることで、システムに追加の保護レイヤーを追加できます。これにより、ドライブバイダウンロード、悪意のあるスクリプト、ゼロデイプロイトなどのブラウザベースの攻撃からシステムとデータを保護することができます。

Microsoft Defender Application Guard の設定と活用に関する詳細な情報については、以下の公式サイトを参照してください。 Microsoft documentation

6. Controlled Folder Access

制御されたフォルダアクセスは、Windows 11で利用可能な強力なセキュリティ機能で、ランサムウェアやその他の悪意のあるソフトウェアによる不正な変更から重要なフォルダを保護するのに役立ちます。制御されたフォルダアクセスを有効にし、必要なフォルダを保護リストに追加することで、システムのセキュリティを強化し、潜在的なデータ損失を防ぐことができます。

管理されたフォルダアクセスを実装し、重要なフォルダを保護するには、以下の手順に従ってください:

1.Windows Securityを開きます:キーボードのWindowsキーを押し、”Windowsセキュリティ“と入力し、検索結果からWindowsセキュリティアプリを選択します。

2.ウイルスと脅威の保護設定に移動します:Windowsセキュリティ」アプリで、左側のメニューにある**「ウイルスと脅威の保護」**タブをクリックします。

3.**制御されたフォルダアクセスを設定する:ランサムウェアの保護 “**セクションで、“ランサムウェアの保護を管理 “**をクリックし、管理されたフォルダアクセスの設定にアクセスします。

4.制御されたフォルダアクセスを有効にする:制御されたフォルダアクセスの設定で、スイッチを**“オン “**に切り替え、機能を有効にします。Windowsは、保護されたフォルダへのアクセスを信頼できるアプリケーションのみに許可する旨の警告を表示します。

5.保護フォルダの追加:保護するフォルダを指定するには、**“保護フォルダ “をクリックし、“保護フォルダの追加 “を選択します。保護したいフォルダを選択し、“OK “**をクリックします。

  • ドキュメント、ピクチャ、ビデオ、および貴重なデータを含むその他のディレクトリのような重要なフォルダを追加することをお勧めします。

6.アプリケーションを許可またはブロックする:デフォルトでは、制御されたフォルダアクセスは、保護されたフォルダにアクセスするために信頼できるアプリケーションを許可します。しかし、**“Allow an app through Controlled folder access “**をクリックすることで、この動作をカスタマイズすることができます。そこから、特定のアプリケーションによる保護フォルダへのアクセスを許可またはブロックできます。

7.モニターとレビュー:管理されたフォルダーアクセスを有効にした後、Windowsは保護されたフォルダーにアクセスしようとする不正なアプリケーションを継続的に監視し、ログに記録します。制御されたフォルダーアクセス設定の**“最近ブロックされたアプリケーション “セクションの下にある“レビュー “**をクリックすることにより、これらのログを確認することができます。

フォルダー アクセスの制御を実装することで、重要なフォルダーに追加の保護レイヤーを追加し、不正変更のリスクとランサムウェア攻撃による潜在的なデータ損失を軽減します。定期的にフォルダーアクセス制御の設定を見直して、保護されているフォルダーがお客様のセキュリティ要件に合っていることを確認してください。

管理されたフォルダアクセスの設定と活用の詳細については、公式の Microsoft documentation

7.**Windows の自動メンテナンスを有効にする

Windows 11 には、自動メンテナンスと呼ばれる便利な機能が搭載されており、定期的なメンテナンス タスクを実行することで、システムの最適化と保護を維持できます。自動メンテナンスを有効にすることで、システムのスムーズな動作と安全性を確保できます。

Windowsの自動メンテナンスを有効にするには、次の手順に従います:

1.Windowsの設定を開きます:キーボードのWindowsキーを押し、”設定“と入力し、検索結果から設定アプリを選択します。

2.メンテナンス設定にアクセスします:設定アプリで、**“システム “カテゴリーをクリックし、左側のメニューから“バージョン情報 “を選択します。ページの一番下までスクロールし、“システム情報 “**リンクをクリックします。

3.メンテナンス設定を開きます:システム情報ウィンドウで、ページの一番下にある“メンテナンス “**リンクをクリックします。

4.自動メンテナンスを有効にする:メンテナンスの設定で、**“自動メンテナンス “の横のスイッチを“オン “**の位置に切り替えます。

5.メンテナンス設定を構成する:デフォルトでは、Windowsは毎日午前2時にメンテナンスタスクを実行するよう自動的にスケジュールします。別のスケジュールを希望する場合は、“メンテナンス設定の変更 “**をクリックし、メンテナンスの開始時間やメンテナンスタスクの頻度など、希望するオプションをカスタマイズします。

6.追加設定を確認します:自動メンテナンスのトグルスイッチの下には、“スケジュールされたメンテナンスがスケジュールされた時刻にコンピュータを起動することを許可する ““バッテリ駆動時でもスケジュールされたメンテナンスが実行されることを許可する “**など、メンテナンスに関する追加設定があります。お好みや要件に応じて、これらの設定を調整してください。

7.メンテナンス活動の監視自動メンテナンスが有効になると、Windowsはスケジュールされた時間にバックグラウンドで自動的にメンテナンスタスクを実行します。これらの活動は、“Windows Security “アプリの“Maintenance “セクションをチェックするか、イベントビューアで“Maintenance “**ログを確認することで監視できます。

Windowsの自動メンテナンスを有効にすると、ソフトウェアの更新、ディスクの最適化、セキュリティスキャンなどの重要なメンテナンスタスクを定期的に実行することで、システムの最適化と保護を確実に維持できます。システムを健全な状態に保つことで、よりスムーズで安全なコンピューティング体験を楽しむことができます。

Windows自動メンテナンスとその設定オプションの詳細については、公式の Microsoft documentation


結論

これらのWindows堅牢化のベストプラクティスを実施することは、Windowsシステムのセキュリティを確保するために不可欠である。オペレーティングシステムを定期的にアップデートすることで、セキュリティの脆弱性を修正し、システムの安定性を向上させることができます。アンチウイルス暗号化などのセキュリティ機能を有効にすることで、データの保護層が増えます。適切なアクセス制御**を設定することで、不正な変更を防止し、機密リソースへのアクセスを制限することができます。

これらのベストプラクティスに従うことで、Windows環境のセキュリティを強化し、データを保護し、デジタルインフラの完全性を維持することができます。潜在的な脅威の一歩先を行くためには、プロアクティブであり続け、セキュリティ対策を定期的に見直し、更新することが重要です。

Windowsのハードニング**は継続的なプロセスであり、最新のセキュリティ更新と実践について常に情報を得ることが不可欠であることを忘れないでください。積極的に行動し、これらのベストプラクティスを実施することで、セキュリティリスクを効果的に軽減し、Windowsシステムの安全を確保することができます。

Windowsのハードニングとベストプラクティスに関する詳細情報については、Microsoftのドキュメントセキュリティフォーラム、信頼できるサイバーセキュリティウェブサイトなどの信頼できる情報源を参照してください。


参考文献