ひと手間でPPAP攻撃も阻止可! Application Guardで鉄壁防御

 Windows Defender Application Guard(WDAG)をご存じですか。Microsoft Defenderのエンタープライズ向けセキュリティ機能の一つで、Microsoft Defender Application Guard(MDAG)に改名されたWeb分離を実現する機能です。仮想のコンテナ上でブラウザを動かすことでユーザによる危険なインターネットのアクセスを仮想のコンテナ内に限定することで、外部からの攻撃に対する強靭なセキュリティ耐性を実現します。

 Windows 10のバージョン1803からは、信頼できるか否かで仮想か否かをポリシー設定に従い自動で切換える企業管理モードに対応しないApplication Guardのスタンドアロンモードのみが、Windows 10 Pro版で利用可能になっています。それでも、これまでのところは一般ユーザによるApplication Guardの利用はほとんど進んでいないようです。この主因は、お気に入り、履歴が再起動で消滅、拡張機能利用不可、ダウンロードファイルのローカル利用不可など、しばらくの間、実用性がほとんどなかったことでしょう。しかし、現在では、お気に入り、拡張機能等の同期が取れない、起動時間が少々長いことを除けば、機能上の問題はほぼ解消され、実用性は当初より大幅に改善されています。従って、Application Guardのインストールに必須の環境であるPro版以上へWindows 10をアップグレートするのに1万4千円程かかるとしても、市販のウイルス対策ソフトでは得られない安心感が得られるので、是非、利用されることをお勧めします。

1.Application Guardスタンドアロンモードはセキュアな仮想ブラウザ

 スタンドアロンモードは、単にブラウザを仮想コンテナ上で起動するだけのもので、すべてのタブがサイトの信頼度に関わらず仮想ブラウザで開かれることになります。このため、あるタブで悪意のあるサイトを開いてしまった場合、同じ仮想ブラウザの別のタブで開いている大事なサイトの情報が抜き取られないか心配になりますが、その心配は無用です。Chromium版Edgeでは、Chromeで導入されたサイト分離の仕組みにより、各タブが独立したプロセスが割り当てられて互いに隔離されているからです。そして、この各タブの互いの隔離のおかげで、すべてのタブが仮想ブラウザ側で開かれてしまうことは、ゼロトラストの観点からすると、そうならない企業管理モードより望ましい動作となります。これは信頼していたサイトがハッキングされたとしても、そこからの攻撃をそのサイトを開く仮想ブラウザのタブ内に閉じ込められるからです。また、この攻撃で例えばブラウザハイジャッカーが埋め込まれたとしても、パソコンを再起動すれば、その際のApplication Guardのリセット機能により破棄されて、実環境のブラウザのようにブラウザハイジャッカーが居座ることがないからです。

2.Application Guardのインストール

 こちらのサイトを参照ください。インストールの仕方が簡潔にまとめられています。ただし、稼働可能なシステムの要件として、Windows 10がPro版以上であることに加え、CPUが4コア以上、メモリが8GB以上も入っていることに注意ください。ここで、4コア以上でのコアは論理プロセッサのことであり、4スレッド以上を意味します。最近のCPUであれば、2コア2スレッドのCeleron N4000、N4020、N4500、J4005、J4025、AMD 3020e、Athlon Silver 3050U等を除けば、大半がこの条件を満たせます。

 ここで、併せてインストールするコンパニオンアプリのMicrosoft Defender Application Guard Companionは、実環境のEdgeブラウザを介さない直接起動用のツールで、WebブラウジングにApplication Guardを主に用いる場合、必須となります。また、自動起動のためにスタートアップに登録するショートカットを生成するのに必要になります。自動起動は、長い起動時間が多少でも気にならなくするのに役立ちます。


3.PPAP問題も解消するApplication Guard仮想ブラウザの使い方

 Web分離により安全を担保するために、ユーザのインターネットへのアクセスをApplication Guardに限定するとともに、インターネットから取り込むファイルは無害であることが確認できない限り、実環境には持ち込まないようにします。具体的には、Webページの閲覧には必ずApplication Guardを用い、メールもそのApplication Guardを用いるWebメールでやり取りするようにします。インターネット側からダウンロードにより、ダウンロードの信頼されていないファイルのフォルダ(ローカルフォルダ)に取り込まれるファイルの安全性は、Application Guardで開いて内容を確認するか、Application GuardでVirusTotalにアップロードして確認します。ただし、非公開の文書やデータはVirusTotalで検査できないことに注意する必要があります。

 インターネット側から取り込む文書ファイルのうち、OfficeファイルはPDFファイルとは違いApplication Guardで直接開けない問題があります。このOfficeファイルの問題は、WebメールにOutlookを利用することで解決できます。メール添付のOfficeファイルがApplication Guardで直接開けるだけでなく、ネット上のOfficeファイルも、いったんダウンロードした後、Outlookの所定のOfficeアプリのページにアップロードすればApplication Guard上で開けるようになります。

 しかし、このOutlookを使っても、圧縮されたファイルは開けません。もちろん、解凍サイトの利用により解決可能ですが、そのサイトにアップロードしてしまうと機密保持が担保できなくなります。そこで、Chromeウェブストアから拡張機能のZIP  Reader、あるいはOnline Archive Extractorを追加して、Application Guard内で解凍処理が完結するようにします。前者のZIP  Readerはオープンソースであることの安心感はありますが、暗号化されていないZIPファイルしか解凍できません。これに対し、後者のOnline Archive Extractorはオープンソースではありませんが、暗号化された各種の圧縮ファイルを解凍することができます。この後者の拡張機能とOutlookのWebメールと併用すれば、メール添付の暗号化圧縮ファイルも、Application Guard内での解凍・確認が可能になり、PPAP攻撃によるマルウェアの実環境への送り込みが阻止できるようになります。

0コメント

  • 1000 / 1000

軽量ノートパソコンの選定から、整備補強、セキュリティ強化、通信費削減まで

①Office込10万以下の代表的機種の選定フロー図 ②コスパ良好機種の性能と携帯性の比較グラフ ③学習に必要最小限のスペックとその整備補強法 ④コストをかけないウイルス対策 ⑤スマホ・ネット回線費削減 などをToshi(パソコン歴30年以上、 パソコン教室の構築/運営経験7年)が示しています。