Device Guardの利用について

Windows10から導入されたセキュリティ対策機能はいくつかありますが、主にハイスペックPCに向けたものとなっているのが「Device Guard」です。
「Device Guard」とは簡単に言うと、OSの設定をすることで決められたアプリケーション以外が使用できなくするというもので、主に業務用のパソコンでの使用を想定しています。

Windows10でこのDevice Guardが使用できるのは2015年11月のアップデート(November 2015 Update)からとなっています。
こちらをインストールすることにより、管理者が指定したアプリケーション以外が作動できない設定にすることが可能です。

こうした業務外のアプリケーション使用というのはWinnyのようなファイル共有ソフトをユーザーが勝手にインストールすることを防げるのはもちろんのこと、ときにユーザーが意図しない不正なアプリケーションの導入を阻止することにもつながります。

メールに添付されているファイルやURL、検索をした時に表示されるサイトへのアクセスなど、ネットワークにアクセスをしただけでインストールされてしまう不正なソフトは数多くあります。

そこでDevice Guardを導入することにより、OSを使用したアプリケーションで規制されているものは動作をさせなくできるので、サーバー攻撃のリスクを大幅に減らすことが可能となるのです。

手持ちのパソコンが対応していなかったら?

ただし、このDevice Guardは全てのWindows10でできるわけではありません。

先にも述べましたが、まず2015年のアップデートを導入しているということが大前提になりますし、他にも64ビットであることやIntel VT-xやADM-V、ALATなどの仮装拡張機能を使っていることなど、複数の条件が必要になっています。

そのためDevice Guardを導入するにはシステムそのものを買い直さなければならないという場合、それ以外の方法で対応することも可能です。

同様のアプリケーションを制限するという機能は市販のウイルス対策ソフトでできるようになっていることが多く、そちらを利用することで他のセキュリティ対策と一元的に管理をしていくことができます。
既に企業単位でウイルス対策ソフトのライセンス契約をしているという場合であれば、そちらを導入したほうが早くわかりやすいというメリットもあるでしょう。

いずれにしてもIT管理者がきちんと端末の監視ができるということが必要ですので、それぞれの企業の規模や業種により使い分けをしていく、ということがおすすめの対策です。