Windows Server での一般データ保護規則 (GDPR) に対する取り組みの開始
適用対象: Windows Server 2022、Windows Server 2019、Windows Server 2016
この記事では、GDPR について説明します (GDPR とは何か、コンプライアンスに役立つ Microsoft 提供の製品など)。
はじめに
2018 年 5 月 25 日、プライバシー権利、セキュリティ、およびコンプライアンスに対する新しいグローバル制限を設定するヨーロッパのプライバシー法が発効します。
一般データ保護規則 (GDPR) は、基本的に個人のプライバシーの権利を保護し確立することを目的としています。 GDPR では、データの送信、処理、保存が行われる場所に関係なく、個別の選択を尊重しながら、個人データの管理方法や保護方法を統制するための厳格で世界的なプライバシー要件を確立します。
Microsoft および弊社のお客様は、GDPR のプライバシーに関する目標を達成するために GDPR を習得する必要があります。 Microsoft では、プライバシーを基本的な権利と理解しており、GDPR は個人のプライバシーの権利を明確にして確立するための重要な一歩であると考えます。 ただし、GDPR によって、世界中の組織に対して大きな変更が求められることも認識しています。
マイクロソフトの GDPR への取り組みとお客様のサポート方法については、最高プライバシー責任者の Brendon Lynch によるブログ投稿「Microsoft Cloud による GDPR への準拠」と、マイクロソフト コーポレート バイスプレジデント兼副法務顧問の Rich Sauer によるブログ投稿「一般データ保護規則への契約上のコミットメントによってお客様の信頼を獲得」で概説しています。
GDPR コンプライアンスへの取り組みは困難だと思われるかもしれませんが、弊社がお手伝いいたします。 GDPR、弊社の関与、およびお客様が GDPR への取り組みを始める方法の具体的な情報については、Microsoft セキュリティ センターの GDPR セクションにアクセスしてください。
GDPR とその影響
GDPR は複雑な規則であり、個人データの収集、使用、および管理の方法に大幅な変更が必要になる可能性があります。 Microsoft では長年にわたり、お客様が複雑な規則に準拠する場合のサポートを行ってきました。GDPR の準備を行う際も、弊社がお手伝いいたします。
GDPR では、欧州連合 (EU) 圏内のユーザーに商品やサービスを提供する組織、または EU の居住者に関連するデータを収集および分析する組織に対して、その所在地にかかわらず、GDPR の規則が課されます。 GDPR の主要な要素は以下のとおりです。
個人のプライバシーの権利を強化する。 EU の居住者に関するデータ保護が強化されます。これを実現するために、EU の居住者がその個人データに関して、データへのアクセス、個人データの不正確さの修正、データの削除、データの処理に対する異議申し立て、およびデータの移動を行う権利を確保します。
個人データを保護する義務を厳格化する。 個人データを処理する組織の説明責任が強化され、これによってコンプライアンスの確保に関する責任がより明確になります。
個人データの侵害に関する報告を義務化する。 個人データを管理する組織は、個人の権利および自由に危険をもたらす個人データの侵害を監督当局に対して報告する必要があります。この報告は、不当に遅滞することなく、可能であれば、侵害を認識してから 72 時間以内に行う必要があります。
予想されているとおり、GDPR はビジネスに多大な影響を与えるおそれがあり、プライバシー ポリシーの更新、データ保護制御と侵害通知手順の実装と強化、透明性の高いポリシーの展開、および IT とトレーニングにおけるさらなる投資が必要になる可能性があります。 Microsoft Windows 10 では、これらの要件を効果的かつ効率的に対処することができます。
個人データと機密データ
GDPR への準拠に向けた取り組みの一環として、この規則で個人データと機密データがどのように定義されているか、またそれらの定義がお客様の組織で保有しているデータにどのように関係するかを理解する必要があります。 そのことを理解することで、データの作成、処理、管理、保存の場所を見つけることができます。
GDPR では、個人データは、自然人として識別されたまたは識別可能な個人に関連するすべての情報と見なされます。 こうしたデータには、直接的な識別情報 (実名など) や間接的な識別情報 (データが参照している個人が明確になる特定の情報など) の両方が含まれます。 また GDPR では、オンライン識別子 (IP アドレス、モバイル デバイスの ID など) や場所データも個人データの概念に含まれることが明確になりました。
GDPR では、遺伝的データ (個人の遺伝子配列など) および生体認証データに関する具体的な定義が導入されています。 GDPR では、遺伝的データや生体認証データは、個人データの他のサブカテゴリ (人種や種族的出身、政治的見解、宗教上や哲学上の信念、または労働組合の組合員であることが明らかになる個人データ、健康状態に関連するデータ、個人の性生活や性的指向に関連するデータ) と共に、機密性の高い個人データと見なされています。 機密性の高い個人データは保護が強化され、通常はそれらの個人データを処理する場合に、個人の明示的な同意が必要となります。
自然人として識別されたまたは識別可能な個人 (データ主体) に関連する情報の例
GDPR で規定されているいくつかの種類の情報の例を、次の一覧に示します。 この一覧は完全ではありません。
名前
ID 番号 (SSN など)
場所データ (自宅住所など)
オンライン識別子 (電子メール アドレス、スクリーン ネーム、IP アドレス、デバイス ID など)
匿名データ (キーを使用して個人を特定するデータなど)
遺伝的データ (個人の生体サンプルなど)
生体認証データ (指紋、顔認識など)
GDPR コンプライアンスに対する取り組みの開始
GDPR に準拠するために必要な作業の量を考えると、施行が開始してからの準備では間に合いません。 すぐにプライバシーとデータの管理の実施方法を見直してください。 GDPR コンプライアンスへの取り組みを開始するには、次の 4 つの重要な手順を重視することをお勧めします。
把握。 どのような個人データがどこにあるかを特定します。
管理。 個人データがどのように使用され、アクセスされるかを制御します。
保護。 脆弱性とデータ侵害の防止、検知、および対応を行うためのセキュリティ コントロールを確立します。
レポート。 データの要求に対応し、データ侵害を報告して、必要なドキュメントを保管します。
これらの各手順について、その手順の要件に対処する際に役立つ Microsoft のさまざまなソリューションのツール、リソース、および機能の例の概要が示されています。 この記事は包括的な "ハウツー" ガイドではありませんが、詳細を確認するためのリンクが記載されています。詳細については、 Microsoft セキュリティセンターの GDPR のセクションを参照してください。
Windows サーバーのセキュリティとプライバシー
GDPR では、個人のデータと処理システムを保護するために、適切な技術および組織のセキュリティ対策を実装する必要があります。 GDPR のコンテキストでは、物理環境と仮想サーバー環境が個人データや機密データを処理する可能性があります。 処理は、データの収集、格納、取得などの操作または操作のセットを意味します。
この要件を満たす能力と、適切な技術的セキュリティ対策を実装するには、現在直面している脅威を反映する必要があります。 現在問題になっているセキュリティの脅威は、攻撃的で執拗なものです。 以前は、悪意のある攻撃者は、主に攻撃を通じてコミュニティで認められることや、システムを一時的にオフラインにするスリルに重点を置いていました。 その後、攻撃者の動機は、所有者が要求された身代金を支払うまで、デバイスやデータを人質に取るなどの方法による、金銭の獲得に移りました。
最近の攻撃は次第に大規模な知的財産の窃盗に集中してきています。システムがターゲットとなったことによる名誉損失が金銭的な損失につながったり、サイバー テロによって世界中の個人、企業、および国家の利益のセキュリティまで脅かされるようになりました。 通常、これらの攻撃者は高いスキルを持った個人やセキュリティの専門家であり、大規模な予算や、無制限とも言える人材を持つ、国家や組織に雇われている場合もあります。 これらの脅威には、その課題に対応したアプローチが必要となります。
こうした脅威は、保有する個人データや機密データの維持管理に対するリスクになるだけでなく、ビジネス全体的に影響する重大なリスクにもなります。 McKinsey、Ponemon 協会、Verizon、Microsoft の最新データを検討してください:
GDPR で予測されている報告に基づくと、データ侵害にかかる平均コストは 350 万ドルに達します
これらの侵害の 63% には、脆弱なパスワードや盗難にあったパスワードが関連しています。GDPR ではこうした問題の解決を望んでいます
毎日 300,000 件以上の新しいマルウェア サンプルが作成され、拡散されています。データ保護に対応するための作業はますます難しくなっています
最近のランサムウェア攻撃で見られたように、インターネットの黒の中程度を言いましたが、攻撃者はさらに多くの目標を達成した後で、壊滅的な結果になる可能性があります。 GDPR には、デスクトップやノート pc など、個人および機密データの豊富なターゲットを含むシステムを作成するペナルティが含まれています。
次の2つの重要な原則に従って、Windows を開発することができます:
セキュリティ。 お客様に代わってマイクロソフトのソフトウェアおよびサービスストアのデータを保護し、適切な方法でのみ使用または変更することをお勧めします。 開発者は、セキュリティモデルを簡単に理解し、アプリケーションに組み込む必要があります。
プライバシー. ユーザーは、データの使用方法を制御する必要があります。 情報を使用するためのポリシーは、ユーザーに明確にする必要があります。 ユーザーは、時間を最大限に活用するために情報を受け取るタイミングとタイミングを制御する必要があります。 ユーザーは、送信する電子メールの使用を制御するなど、情報の適切な使用方法を簡単に指定できます。
マイクロソフトは、マイクロソフトの CEO、Satya Nadella、
「世界が変化し続け、ビジネス要件が進化し続けるにつれて、お客様のセキュリティとプライバシーに対する要求は一貫しています。」
GDPR に準拠して作業する際には、お客様の物理サーバーと仮想サーバーの役割を理解することで、個人情報や機密データとしての影響を受ける可能性のあるデータを作成、アクセス、処理、格納、管理することが重要になります。 Windows Server には、個人データを保護するための適切な技術的および組織的なセキュリティ対策を実装するために、GDPR の要件に準拠するために役立つ機能が用意されています。
Windows Server 2016 のセキュリティ体制はボルトオンではなく、アーキテクチャの原則です。 また、4つのプリンシパルで理解することをお勧めします:
保護。 予防措置に関する継続的なフォーカスとイノベーション既知の攻撃や既知のマルウェアをブロックします。
検出。 異常を発見し、攻撃に迅速に対応するための包括的な監視ツール。
対応。 最先端の応答と復旧テクノロジに加え、詳細なコンサルティングの専門知識があります。
分離。 オペレーティング システム コンポーネントとデータ シークレットを分離し、管理者特権を制限し、ホストの正常性を厳密に測定します。
Windows Server を使用すると、データ侵害につながる可能性がある攻撃の種類を保護、検出、防御する機能が大幅に向上します。 GDPR での侵害通知に関する厳しい要件を考慮すると、デスクトップ システムやノート PC システムを適切に防御することにより、発生するリスクが軽減され、コストのかかる侵害分析や通知を行う必要がなくなる可能性があります。
次のセクションでは、GDPR コンプライアンスの取り組みWindowsの "保護" 段階に適した機能が、Windows Server でどのように提供されるのかについて説明します。 これらの機能は、次の 3 つの保護シナリオに分かっています:
資格情報を保護し、管理者特権を制限します。 Windows Server 2016、これらの変更を実装し、システムがさらなる侵入の起動ポイントとして使用されるのを防ぐのに役立ちます。
オペレーティング システムをセキュリティで保護して、アプリとインフラストラクチャを実行します。 Windows Server 2016保護レイヤーが提供され、外部の攻撃者による悪意のあるソフトウェアの実行や脆弱性の悪用をブロックするのに役立ちます。
セキュリティで保護された仮想化。 Windows Server 2016シールドされたファブリックと保護されたファブリックを使用して、セキュリティVirtual Machines仮想化を有効にできます。 これは、ファブリック内の信頼されたホスト上で仮想マシンを暗号化して実行し、悪意のある攻撃から保護するのに役立ちます。
これらの機能は、特定の GDPR 要件を参照して以下で詳しく説明します。これらの機能は、オペレーティング システムとデータの整合性とセキュリティを維持するのに役立つ高度なデバイス保護の上に構築されています。
GDPR 内での重要なプロビジョニングは、設計および既定でデータ保護であり、このプロビジョニングを満たす機能を支援する機能は、BitLocker デバイスの暗号化 などの Windows 10 内の機能です。 BitLocker では、ハードウェアベーストラステッド プラットフォーム モジュールセキュリティ関連の機能を提供する、TPM (トラステッド プラットフォーム モジュール) テクノロジを使用します。 多くのチップには、改ざんに強い複数の物理セキュリティ メカニズムが搭載されており、悪意のあるソフトウェアが TPM のセキュリティ機能を破ることはできません。
このチップには、改ざんに強い複数の物理セキュリティ メカニズムが搭載されており、悪意のあるソフトウェアが TPM のセキュリティ機能を破ることはできません。 TPM テクノロジを使う主な利点は次のとおりです。
暗号化キーの生成、格納、使用制限を行う。
TPM 自体に書き込まれた一意の RSA キーを使うことで、TPM テクノロジを使ってプラットフォーム デバイスを認証する。
セキュリティ対策を取得して格納することで、プラットフォームの整合性を確保する。
データ侵害を伴わない操作に関連した高度なデバイス保護としては、その他に、Windows トラスト ブートがあります。これを利用すると、システム防御が行われる前にマルウェアが開始できないようにすることで、システムの整合性を維持することができます。
Windows サーバー: GDPR コンプライアンス体験のサポート
Windows Server 内の主要な機能は、GDPR がコンプライアンスに必要とするセキュリティとプライバシーのメカニズムを効率的かつ効果的に実装するのに役立ちます。 これらの機能を使用するとコンプライアンスが保証されるのではなく、その取り組みをサポートします。
サーバー オペレーティング システムは、組織のインフラストラクチャ内の戦略的レイヤーに位置し、データを盗み、ビジネスを中断する可能性のある攻撃から保護レイヤーを作成する新しい機会を提供します。 設計によるプライバシー、データ保護、データ保護など、GDPR の重要な側面Access Control、IT インフラストラクチャ内でサーバー レベルで対処する必要があります。
Windows Server 2016 は、ID、オペレーティング システム、仮想化レイヤーの保護に役立つ作業を行い、盗まれた資格情報、マルウェア、侵害された仮想化ファブリックなど、システムへの不正アクセスに使用される一般的な攻撃ベクトルをブロックするのに役立ちます。 ビジネス リスクの軽減に加えて、Windows Server 2016組み込みのセキュリティ コンポーネントは、政府および業界の主要なセキュリティ規制のコンプライアンス要件に対処するのに役立ちます。
これらの ID、オペレーティング システム、仮想化保護を使用すると、Windows Server を任意のクラウド内の VM として実行しているデータセンターをより保護し、攻撃者が資格情報を侵害し、マルウェアを起動し、ネットワーク内で検出されない状態を維持する能力を制限できます。 同様に、Hyper-V ホストとして展開する場合、Windows Server 2016 では、Shielded Virtual Machines と分散ファイアウォール機能を使用して仮想化環境のセキュリティ保証が提供されます。 このWindows Server 2016、サーバー オペレーティング システムはデータセンターのセキュリティにアクティブな参加要素になります。
資格情報を保護し、管理者特権を制限します
個人データへのアクセスを制御し、そのデータを処理するシステムは、管理者によるアクセスを含む特定の要件を持つ GDPR の領域です。 特権 ID は、ドメイン管理者、Enterprise 管理者、ローカル管理者、または Power Users グループのメンバーであるユーザー アカウントなど、昇格された特権を持つアカウントです。 このような ID には、バックアップの実行、システムのシャットダウン、ローカル セキュリティ ポリシー コンソールの [ユーザー権利の割り当て] ノードに一覧表示されているその他の権限など、直接特権が付与されたアカウントを含めすることもできます。
一般的なアクセス制御の原則として、GDPR と一緒に、潜在的な攻撃者による侵害からこれらの特権 ID を保護する必要があります。 まず、ID が侵害される方法を理解することが重要です。その後、攻撃者がこれらの特権 ID にアクセスするのを防ぐ計画を立てすることができます。
特権 ID はどのようにして侵害されますか?
組織が保護するためのガイドラインを持たなかった場合、特権 ID が侵害される可能性があります。 次に例を示します。
必要以上の特権。 最も一般的な問題の 1 つは、ユーザーがジョブ機能を実行するために必要以上の特権を持っている点です。 たとえば、DNS を管理するユーザーが AD 管理者である場合があります。 ほとんどの場合、これは異なる管理レベルを構成する必要を回避するために行われます。 ただし、このようなアカウントが侵害された場合、攻撃者は自動的に昇格された特権を持っています。
常に昇格された特権でサインインします。 もう 1 つの一般的な問題は、昇格された特権を持つユーザーが無制限の時間使用できる点です。 これは、特権アカウントを使用してデスクトップ コンピューターにサインインし、サインインし、特権アカウントを使用して Web を参照し、電子メール (一般的な IT 仕事用ジョブ機能) を使用する IT プロに非常に一般的です。 特権アカウントの期間を無制限に設定すると、アカウントが攻撃を受けやすくなり、アカウントが侵害される確率が上がっています。
ソーシャル エンジニアリングの研究。 ほとんどの資格情報の脅威は、まず組織を調査し、ソーシャル エンジニアリングを通じて実行します。 たとえば、攻撃者が電子メールフィッシング攻撃を実行して、組織のネットワークにアクセスできる正当なアカウント (ただし、必ずしも昇格されたアカウントではない) を侵害する可能性があります。 その後、攻撃者は、これらの有効なアカウントを使用して、ネットワークに対して追加の調査を実行し、管理タスクを実行できる特権アカウントを特定します。
昇格された特権を持つアカウントを活用します。 通常の管理者特権以外のユーザー アカウントがネットワーク内にある場合でも、攻撃者は昇格されたアクセス許可を持つアカウントにアクセスできます。 これを行うより一般的な方法の 1 つは、Pass-the-Hash または Pass-the-Token 攻撃を使用する方法です。 Pass-the-Hash および他の資格情報の盗難手法の詳細については、 Pass-the-Hash (PtH) ページのリソースを参照してください。
もちろん、攻撃者が特権 ID を識別して侵害するために使用できる他の方法もあります (新しいメソッドが毎日作成されています)。 そのため、攻撃者が特権 ID にアクセスする能力を減らすために、ユーザーが最小特権アカウントでログオンするためのプラクティスを確立することが重要です。 以下のセクションでは、これらのリスクをWindowsする機能について説明します。
Just-In-Time Admin (JIT) と Just Enough Admin (JEA)
Pass-the-Hash または Pass-the-Ticket 攻撃から保護することが重要ですが、ソーシャル エンジニアリング、不満を持つ従業員、ブルート フォースなど、他の方法で管理者の資格情報を盗まれる可能性があります。 そのため、資格情報を可能な限り分離するだけでなく、侵害された場合に備えて管理者レベルの特権の範囲を制限する方法も必要です。
現在、責任の領域が 1 つしかなくても、過剰な特権を持つ管理者アカウントが多すぎます。 たとえば、DNS サーバーを管理するために非常に狭い特権セットを必要とする DNS 管理者には、多くの場合、ドメイン管理者レベルの特権が付与されます。 さらに、これらの資格情報には、期間が付与されます。このため、使用できる期間に制限はありません。
不要なドメイン管理者レベルの特権を持つすべてのアカウントは、資格情報の侵害を求める攻撃者への露出を増やします。 攻撃の領域を最小限に抑えるために、管理者がジョブを実行するために必要な特定の権限セットのみを提供し、それを完了するために必要な時間の間だけ提供する必要があります。
Just Enough Administration と Just-In-Time Administration を使用して、管理者は必要な正確な時間のウィンドウに必要な特定の特権を要求できます。 たとえば、DNS 管理者の場合、PowerShell を使用して Just Enough Administration を有効にすることで、DNS 管理に使用できる限られた一連のコマンドを作成できます。
DNS 管理者が自分のサーバーの 1 つを更新する必要がある場合は、2016 年 1 月 1 日を使用して DNS を管理するためのアクセスMicrosoft Identity Managerを要求します。 要求ワークフローには、2 要素認証などの承認プロセスを含め、要求された特権を付与する前に、管理者の携帯電話を呼び出して ID を確認することができます。 これらの DNS 特権を付与すると、特定の期間に DNS の PowerShell ロールにアクセスできます。
Imagine DNS 管理者の資格情報が盗まれた場合は、このシナリオを実行します。 1 つ目は、資格情報に管理者特権がアタッチされなく、攻撃者が DNS サーバー (または他のシステム) にアクセスして変更を加えきれなかった場合です。 攻撃者が DNS サーバーの特権を要求しようとした場合、第 2 要素認証によって ID の確認を求めるメッセージが表示されます。 攻撃者が DNS 管理者の携帯電話を持っている可能性は高くならないので、認証は失敗します。 これにより、攻撃者はシステムからロックアウトされ、資格情報が侵害される可能性があるというアラートが IT 組織に表示されます。
さらに、多くの組織では、サーバーおよびクライアント システムローカル管理者パスワード ソリューションシンプルで強力な JIT 管理メカニズムとして無料のアプリケーション (LAPS) を使用しています。 LAPS 機能を使用すると、ドメインに参加しているコンピューターのローカル アカウント パスワードを管理できます。 パスワードは Active Directory (AD) に格納され、 と Access Control List (ACL) によって保護されます。そのため、対象ユーザーだけがそれを読み取り、またはリセットを要求できます。
「資格情報盗難軽減Windowsガイド」で示されている通り、
"攻撃者が資格情報の盗難を実行し、攻撃を再利用するために使用するツールと手法が改善され、悪意のある攻撃者は目標を達成しやすくなっています。資格情報の盗難は多くの場合、運用プラクティスまたはユーザー資格情報の公開に依存します。そのため、効果的な軽減策には、人、プロセス、テクノロジに対応する包括的なアプローチが必要です。さらに、これらの攻撃は、システムを侵害した後に資格情報を盗んでアクセスを拡張または保持する攻撃者に依存します。そのため、組織は、侵害されたネットワーク内で攻撃者が自由に移動して検出されない戦略を実装することで、侵害を迅速に含める必要があります。"
Windows Server の設計上の重要な考慮事項は、資格情報の盗難 (特に派生資格情報) を軽減する方法でした。 Credential Guard は、単に防御を試みるのではなく、ハードウェアベースの分離攻撃を排除するように設計された Windows で大幅なアーキテクチャ変更を実装することで、派生資格情報の盗難と再利用に対するセキュリティを大幅に強化します。
Windows Defender Credential Guard、NTLM、Kerberos の派生資格情報を使用する場合は、仮想化ベースのセキュリティを使用して保護しますが、多くのターゲット攻撃で使用される資格情報盗難攻撃の手法とツールはブロックされます。 管理者特権を持っているオペレーティング システムで実行されるマルウェアは、仮想化ベースのセキュリティで保護されているシークレットを抽出できません。 Windows Defender Credential Guard は強力な軽減策ですが、永続的な脅威攻撃は新しい攻撃手法に移行する可能性があります。また、以下で説明するように、Device Guard を他のセキュリティ戦略やアーキテクチャと共に組み込む必要があります。
Windows Defender Credential Guard
Windows Defender Credential Guard は仮想化ベースのセキュリティを使用して資格情報を分離し、パスワード ハッシュまたは Kerberos チケットが傍受されるのを防ぐ。 これは、オペレーティング システムの残りの部分にはアクセスできない、完全に新しい分離されたローカル セキュリティ機関 (LSA) プロセスを使用します。 分離された LSA によって使用されるバイナリはすべて、保護された環境で起動する前に検証される証明書で署名され、Pass-the-Hash 型の攻撃は完全に無効になります。
Windows Defender Credential Guard を有効にする:
仮想化ベースのセキュリティ (VBS)。 また、次の項目も必要です:
64 ビット CPU
CPU の仮想化拡張機能および Extended Page Tables
Windows ハイパーバイザー
セキュア ブート (必須)
TPM 2.0、ディスクリートまたはファームウェアのいずれか (推奨 - ハードウェアへのバインドを提供)
Windows Defender credential Guard を使用して、Windows Server 2016 で資格情報と資格情報の派生物を保護することで、特権 id を保護することができます。 Windows Defender credential guard の要件の詳細については、「 Windows Defender credential guard による派生ドメイン資格情報の保護」を参照してください。
Windows Defender Credential Guard を有効にする
Windows Server 2016 と Windows 10 記念日の更新でリモート Credential Guard を Windows Defender と、リモートデスクトップ接続を使用してユーザーの資格情報を保護することもできます。 以前は、リモートデスクトップサービスを使用するすべてのユーザーはローカルコンピューターにログオンする必要があり、その後、ターゲットコンピューターへのリモート接続を実行したときに再度ログオンする必要がありました。 この2回目のログインでは、ターゲットコンピューターに資格情報を渡して、ハッシュまたはチケットのパススルー攻撃を受けます。
Windows Defender remote Credential Guard を使用すると、Windows Server 2016 リモートデスクトップセッションのシングルサインオンが実装され、ユーザー名とパスワードを再入力する必要がなくなります。 代わりに、ローカルコンピューターにログオンするために既に使用している資格情報を活用します。 remote Credential Guard Windows Defender 使用するには、リモートデスクトップクライアントとサーバーが次の要件を満たしている必要があります:
Active Directory ドメインに参加し、同じドメインまたは信頼関係があるドメインに属している必要があります。
Kerberos 認証を使用する。
少なくとも Windows 10 バージョン1607または Windows Server 2016 が実行されている必要があります。
リモートデスクトップのクラシック Windows アプリが必要です。 リモートデスクトップユニバーサル Windows プラットフォームアプリでは Windows Defender remote Credential Guard がサポートされていません。
リモートの資格情報ガードを有効にするには、リモートデスクトップサーバーでレジストリ設定を使用するか、リモートデスクトップクライアントでグループポリシーまたはリモートデスクトップ接続パラメーターを Windows Defender します。 Windows Defender Remote Credential Guard の管理方法について詳しくは、「Windows Defender Remote Credential Guard を使用してリモート デスクトップの資格情報を保護する」をご覧ください。 Windows Defender credential guard と同様に、Windows Defender Remote credential guard を使用して Windows Server 2016 の特権 id を保護することができます。
オペレーティング システムをセキュリティで保護して、アプリとインフラストラクチャを実行します
サイバーの脅威を防ぐには、インフラストラクチャの標準的な運用方法を利用して制御を受けるマルウェアや攻撃を検出してブロックする必要もあります。 攻撃者は、オペレーティングシステムまたはアプリケーションを、事前に定義されていない方法で実行できる場合、そのシステムを使用して悪意のあるアクションを実行する可能性があります。 Windows Server 2016保護レイヤーが提供され、外部の攻撃者による悪意のあるソフトウェアの実行や脆弱性の悪用をブロックするのに役立ちます。 オペレーティングシステムは、システムが侵害されたことを示すアクティビティに管理者に警告することによって、インフラストラクチャとアプリケーションを保護するためのアクティブな役割を持ちます。
Windows Defender Device Guard
Windows Server 2016 には、信頼できるソフトウェアだけをサーバーで実行できるようにするための Windows Defender Device Guard が含まれています。 仮想化ベースのセキュリティを使用すると、組織のポリシーに基づいて、システム上で実行できるバイナリを制限できます。 指定されたバイナリ以外のものを実行しようとすると、Windows Server 2016 はブロックされ、失敗した試行が記録されます。これにより、管理者は侵害の可能性があることを確認できます。 侵害通知は、GDPR コンプライアンスの要件の重要な部分です。
また Windows Defender Device Guard は PowerShell にも統合されているため、システムで実行できるスクリプトを承認できます。 以前のバージョンの Windows Server では、管理者はコードファイルからポリシーを削除するだけでコードの整合性の適用を回避できました。 Windows Server 2016 では、ポリシーに署名した証明書へのアクセス権を持つユーザーのみがポリシーを変更できるように、組織によって署名されたポリシーを構成できます。
制御フロー ガード
Windows Server 2016は、一部のクラスのメモリ破損攻撃に対する組み込みの保護を提供します。 サーバーに修正プログラムを適用することは重要ですが、まだ特定されていない脆弱性に対してはマルウェアを開発できる可能性が常にあります。 これらの脆弱性を活用するための最も一般的な方法の1つは、実行中のプログラムに異常なデータや極端なデータを提供することです。 たとえば、攻撃者は、予想よりも多くの入力をプログラムに提供することにより、バッファーオーバーフローの脆弱性を悪用できます。また、プログラムによって予約されている、応答を保持する領域がオーバーランされることもあります。 これにより、関数ポインターを保持している可能性のある隣接するメモリが破損する可能性があります。
プログラムがこの関数を通じてを呼び出すと、攻撃者によって指定された意図しない場所に移動する可能性があります。 これらの攻撃は、ジャンプ指向プログラミング (JOP) 攻撃とも呼ばれます。 Control Flow Guard は、実行可能なアプリケーションコード (特に間接的な呼び出し命令) に厳密な制限を設けることで、jop 攻撃を防止します。 これにより、アプリケーション内の間接呼び出しの有効なターゲットである関数のセットを識別するための、軽量のセキュリティチェックが追加されます。 アプリケーションを実行すると、これらの間接的な呼び出しターゲットが有効であることが確認されます。
実行時にコントロール Flow ガードチェックが失敗した場合、Windows Server 2016 はプログラムを直ちに終了し、無効なアドレスを間接的に呼び出しようとする悪用を中断します。 Control Flow guard は、Device Guard に対して重要な追加の保護レイヤーを提供します。 一覧に表示されたアプリケーションがセキュリティで保護されていない場合は、device Guard によってオフにすることができます。これは、アプリケーションが署名されていて、信頼されていると見なされるためです。
ただし、Control Flow Guard は、アプリケーションが実行されているかどうかを事前に定義されていない順序で特定できるため、攻撃が失敗し、侵害されたアプリケーションの実行が妨げられます。 これらの保護により、攻撃者が Windows Server 2016 で実行されているソフトウェアにマルウェアを挿入することが非常に困難になります。
個人データが処理されるアプリケーションを構築する開発者は、アプリケーションでコントロール Flow Guard (CFG) を有効にすることをお勧めします。 この機能は Microsoft Visual Studio 2015 で使用でき、"CFG 対応" バージョンの Windows で実行されます。これは、デスクトップ用の x86 および x64 リリース、および Windows 10 および Windows 8.1 Update (が kb3000850) です。 CFG が有効になっていて、CFG が有効になっていないコードが正常に実行されるため、コードのすべての部分に対して CFG を有効にする必要はありません。 ただし、すべてのコードに対して CFG を有効にしないと、保護のギャップを開くことができます。 また、CFG が有効になっているコードは、Windows の "CFG に対応していない" バージョンでも正常に動作するため、それらと完全に互換性があります。
Windows Defender ウイルス対策
Windows Server 2016 には、既知のマルウェアをブロックする Windows Defender の業界トップレベルのアクティブな検出機能が含まれています。 Windows Defender ウイルス対策 (AV) は Windows Defender Device Guard と連携して機能し Flow ガードを使用して、あらゆる種類の悪意のあるコードがサーバーにインストールされるのを防ぐことができます。 既定ではオンになっています。管理者は、作業を開始するために操作を行う必要はありません。 Windows Defender の AV も Windows Server 2016 のさまざまなサーバーの役割をサポートするように最適化されています。 以前は、攻撃者は PowerShell などのシェルを使用して、悪意のあるバイナリコードを起動していました。 Windows Server 2016 では、PowerShell が Windows Defender AV と統合され、コードを起動する前にマルウェアがスキャンされるようになりました。
Windows Defender AV は、デスクトップ、ポータブルコンピューター、およびサーバーのセキュリティとマルウェア対策の管理を提供する組み込みのマルウェア対策ソリューションです。 Windows Defender の AV は Windows 8 で導入されたため、大幅に改善されました。 Windows サーバーの Windows Defender ウイルス対策は、マルウェア対策を向上させるために、マルチホームアプローチを使用します:
クラウドによる保護によって、まったく新しいマルウェアでも、数秒でマルウェアを検出してブロックできます。
リッチなローカル コンテキストは、マルウェアを識別する方法を強化します。 Windows Server は、ファイルやプロセスなどのコンテンツに関するだけでなく、コンテンツの取得元、格納場所などのコンテンツに関する情報だけでなく、Windows Defender の AV を通知します。
広範なグローバルセンサーは、最新のマルウェアでも、Windows Defender の AV を維持し、最新のマルウェアを認識するのに役立ちます。 これは、エンド ポイントからリッチなコンテキスト データを収集する方法と、そのデータを一元的に分析する方法の 2 つにより実現されます。
改ざん防止は、マルウェアによる攻撃に対して Windows Defender AV 自体を防止するのに役立ちます。 たとえば、Windows Defender の av は保護されたプロセスを使用します。これにより、信頼されていないプロセスが Windows Defender av コンポーネント、そのレジストリキーなどを改ざんしようとするのを防ぐことができます。
Enterprise レベルの機能により、IT 担当者は、Windows Defender AV をエンタープライズクラスのマルウェア対策ソリューションとして使用するために必要なツールと構成オプションを利用できます。
高度なセキュリティ監査に関してよく寄せられる質問
Windows Server 2016 は、より詳細な情報を提供する強化されたセキュリティ監査を使用して、管理者に積極的に管理者に警告します。これにより、攻撃の迅速な検出とフォレンジック分析に使用できます。 制御 Flow ガード、Windows Defender Device Guard、およびその他のセキュリティ機能からイベントを1か所に記録するため、管理者は危険なシステムを簡単に特定できます。
新しいイベントカテゴリは次のとおりです:
グループ メンバーシップの監査。 ユーザーのログイントークン内のグループメンバーシップ情報を監査できます。 イベントは、ログインセッションが作成された PC でグループメンバーシップが列挙または照会されたときに生成されます。
PNP アクティビティの監査。 では、プラグアンドプレイが外部デバイス (マルウェアを含む可能性がある) を検出したときに監査を行うことができます。 PnP イベントは、システムハードウェアの変化を追跡するために使用できます。 イベントには、ハードウェアベンダー ID の一覧が含まれています。
Windows Server 2016 は、Microsoft Operations Management Suite (OMS) などのセキュリティインシデントイベント管理 (SIEM) システムと簡単に統合できます。これにより、潜在的な侵害に関する情報をインテリジェンスレポートに組み込むことができます。 強化された監査によって得られる情報の深さによって、セキュリティチームは、潜在的な侵害を迅速かつ効果的に特定し、対応することができます。
セキュリティで保護された仮想化
現在、企業は、SQL Server から SharePoint Active Directory ドメインコントローラーまで、可能なすべてのものを仮想化しています。 仮想マシン (Vm) を使用すると、インフラストラクチャのデプロイ、管理、サービス、および自動化を簡単に行うことができます。 しかし、セキュリティに関しては、侵害された仮想化ファブリックは、今までは防御が難しい新しい攻撃ベクトルになりました。 GDPR の観点からは、VM の TPM テクノロジを使用するなど、物理サーバーを保護する場合と同様に、Vm の保護について考える必要があります。
Windows Server 2016 は、企業が仮想化をセキュリティで保護する方法を根本的に変更します。これにより、独自のファブリックでのみ実行される仮想マシンの作成を可能にする複数のテクノロジを含めることができます。また、を実行している記憶域、ネットワーク、およびホストデバイスから保護することができます。
シールドされた仮想マシン
移行、バックアップ、レプリケートが簡単になるように仮想マシンを作成するのと同じことで、簡単に変更してコピーすることができます。 仮想マシンはファイルであるため、ネットワーク、記憶域、バックアップ、または他の場所では保護されません。 もう1つの問題は、ファブリック管理者 (記憶域管理者かネットワーク管理者かにかかわらず) がすべての仮想マシンにアクセスできることです。
ファブリックの管理者が侵害された場合、仮想マシン間でデータが侵害される可能性があります。 攻撃者は、侵害された資格情報を使用して、任意の VM ファイルを USB ドライブにコピーし、その VM ファイルを他のシステムからアクセスできるようにすることで、そのコンピューターを組織から除外する必要があります。 たとえば、盗まれた Vm のいずれかが Active Directory ドメインコントローラーである場合、攻撃者は簡単にコンテンツを表示し、すぐに利用できるブルートフォース手法を使用して、Active Directory データベースのパスワードを解読し、最終的にはインフラストラクチャ内の他のすべてのユーザーにアクセスできるようになります。
Windows Server 2016 では、前述のようなシナリオを防ぐために、シールドされた Virtual Machines (シールドされた vm) が導入されています。 シールドされた Vm には、仮想 TPM デバイスが含まれます。これにより、組織は、仮想マシンに BitLocker 暗号化を適用し、侵害された記憶域、ネットワーク、およびホストの管理者から保護するために、信頼されたホストでのみ実行できるようにすることができます。 シールドされた Vm は、Unified Extensible Firmware Interface (UEFI) ファームウェアをサポートし、仮想 TPM を備えた第2世代の Vm を使用して作成されます。
ホスト ガーディアン サービス
シールドされた VM と共に、ホスト ガーディアン サービスは、セキュリティで保護された仮想化ファブリックを作成するための不可欠なコンポーネントです。 そのジョブは、シールドされた VM の起動またはそのホストへの移行を許可する前に、Hyper-V ホストの正常性を証明します。 シールドされた VM のキーが保持され、セキュリティの正常性が保証されるまで解放されません。 Hyper-V ホストにホスト ガーディアン サービスの構成証明を要求するには、2 つの方法があります。
最初の最も安全な構成証明は、ハードウェアによって信頼される構成証明です。 このソリューションでは、シールドされた VM が TPM 2.0 チップと UEFI 2.3.1 を持つホストで実行されている必要があります。 このハードウェアは、Hyper-V ホストが改ざんされていないか確認するために、ホスト ガーディアン サービスに必要な、測定されたブートおよびオペレーティング システムのカーネル整合性情報を提供するために必要です。
IT 組織は、管理者が信頼する構成証明を使用する代替手段を持っています。これは、TPM 2.0 ハードウェアが組織内で使用されていない場合に望ましい場合があります。 ホストは単にセキュリティ グループに配置され、ホスト ガーディアン サービスはセキュリティ グループのメンバーであるホストでシールドされた VM を実行するように構成されているので、この構成証明モデルは簡単にデプロイできます。 この方法では、ホスト マシンが改ざんされていないと確認するための複雑な測定はありません。 ただし、暗号化されていない VM が USB ドライブのドアから出て行く可能性や、承認されていないホストで VM が実行される可能性が排除されます。 これは、指定されたグループ内のマシン以外のコンピューターでは VM ファイルが実行されません。 TPM 2.0 ハードウェアがまだない場合は、管理者が信頼する構成証明から始め、ハードウェアのアップグレード時にハードウェアで信頼された構成証明に切り替えます。
仮想マシン トラステッド プラットフォーム モジュール
Windows Server 2016では、仮想マシンの TPM がサポートされています。これにより、仮想マシンで BitLocker ドライブ暗号化などの高度な®セキュリティ テクノロジをサポートできます。 Hyper-V マネージャーまたは Enable-VMTPM コマンドレットを使用して、任意の第 2 世代 Hyper-V 仮想マシンで TPM のサポートWindows PowerShellできます。
ホストに格納されているローカル暗号化キーまたはホスト ガーディアン サービスに格納されているローカル暗号化キーを使用して、仮想 TPM (vTPM) を保護できます。 そのため、ホスト ガーディアン サービスにはより多くのインフラストラクチャが必要ですが、より多くの保護も提供されます。
ソフトウェア定義ネットワークを使用した分散ネットワーク ファイアウォール
仮想化環境での保護を向上させる 1 つの方法は、VM が機能するために必要な特定のシステムとのみ通信できる方法でネットワークをセグメント化する方法です。 たとえば、アプリケーションがインターネットに接続する必要がなくなる場合は、パーティション分割して、外部の攻撃者からのターゲットとしてそれらのシステムを排除できます。 Windows Server 2016 のソフトウェア定義ネットワーク (SDN) には、ネットワークの内部または外部からの攻撃からアプリケーションを保護できるセキュリティ ポリシーを動的に作成できる分散ネットワーク ファイアウォールが含まれています。 この分散ネットワーク ファイアウォールでは、ネットワーク内のアプリケーションを分離することで、セキュリティにレイヤーが追加されます。 ポリシーは、仮想ネットワーク インフラストラクチャ全体の任意の場所に適用できます。必要に応じて、VM から VM へのトラフィック、VM からホストへのトラフィック、または VM からインターネットへのトラフィックを分離できます。これは、侵害された可能性がある個々のシステムに対して、または複数のサブネット間でプログラムによって行われる可能性があります。 Windows Server 2016ネットワーク機能を使用すると、着信トラフィックを Microsoft 以外の仮想アプライアンスにルーティングまたはミラー化できます。 たとえば、追加のスパム フィルタリング保護のために、Barracuda 仮想アプライアンスを介してすべての電子メール トラフィックを送信することができます。 これにより、オンプレミスとクラウドの両方で、追加のセキュリティを簡単にレイヤー化できます。
サーバーに関する GDPR に関するその他の考慮事項
GDPR には、侵害通知に関する明示的な要件が含まれています。この要件では、個人データの侵害を "転送、保存、またはその他の処理が行われた個人データに対する偶発的なまたは違法な破壊、喪失、変更、許可されていない開示またはアクセスをもたらすセキュリティ侵害" と定義しています。 当然ながら、最初に侵害を検出できない場合、72 時間以内に厳格な GDPR 通知要件を満たすために進み始めすることはできません。
Windows セキュリティ センターのホワイト ペーパー「侵害後: 高度な脅威への対処」で述べた通り
"侵害前とは異なり、侵害後は、フライト レコーダーおよび犯罪現場調査員 (CSI) として機能する侵害が既に発生したと想定しています。侵害後、セキュリティ チームは、攻撃を特定、調査、対応するために必要な情報とツールセットを提供します。それ以外の場合は、検出されず、レーダーの下に残ります。"
このセクションでは、GDPR 違反通知Windowsを満たすのにサーバーがどのように役立つのかについて説明します。 これは、Microsoft が利用できる、特典のために収集および分析される基になる脅威データと、Windows Defender Advanced Threat Protection (ATP) を通じて、そのデータがユーザーにとって重要になる可能性がある方法を理解することです。
洞察に満ちたセキュリティ診断データ
Microsoft は、20 年近くにわたり、脅威を、プラットフォームを強化し、顧客を保護するのに役立つ有用なインテリジェンスに変え続けしてきました。 現在では、クラウドがもたらすコンピューティングの大きなメリットを利用し、脅威インテリジェンスによって機能する高度な分析エンジンを使用してお客様を保護するための新たな方法を探し続けています。
機械学習と人間の専門家という自動プロセスと手動プロセスを組み合わせて適用することにより、リアルタイムで自ら学習して進化するインテリジェント セキュリティ グラフを作成して、製品で生じた新たなインシデントの検出とその対応に要する全体的な時間を削減することが可能になりました。
Microsoft のインテリジェント セキュリティで扱われる範囲は、まさに数十億ものデータ ポイントに及びます。毎月 35 億のメッセージがスキャンされ、エンタープライズ セグメントやコンシューマー セグメント全体から 1 億ものお客様が 200 件以上のクラウド サービスにアクセスしており、毎日 14 億の認証が実行されています。 このすべてのデータは、セキュリティを維持し、生産性を維持し、GDPR の要件を満たす動的な方法でフロント ドアを保護するのに役立つインテリジェント セキュリティ Graph を作成するために、Microsoft によってお客様に代わって取得されます。
攻撃の検出とフォレンジック調査
サイバー攻撃はますます高度になり、より標的を絞った攻撃を行うようになっているため、最高のエンドポイント防御を行っても、最終的には侵害が発生する可能性があります。 2 つの機能を使用して、潜在的な侵害検出に役立ちます。Windows Defender Advanced Threat Protection (ATP) と Microsoft Advanced Threat Analytics (ATA) です。
Windows Defender Advanced Threat Protection (ATP) を使用すると、ネットワーク上のデータ侵害の検出、調査、対応を行うことができます。 GDPR のデータ侵害の種類は、個人データと処理システムの継続的な機密性、整合性、可用性を確保するために、技術的なセキュリティ対策を通じて保護する必要があります。
ATP の主な利点Windows Defender次のとおりです:
検出できないを検出します。 オペレーティング システム カーネル、Windows セキュリティの専門家、および 1 億台を超えるマシンからの独自の光学と、すべてのシステムの信号に組み込Microsoft サービス。
ボルトではなく、組み込み。 エージェントレス。パフォーマンスが高く、影響が最小限で、クラウドを利用します。デプロイを行う必要がない簡単な管理。
セキュリティを強化する 1 Windowsウィンドウ。 6 か月分の豊富なマシン タイムラインを探索し、ATP、Windows Defender ウイルス対策、Windows Defender Device Guard のセキュリティ イベントをWindows Defenderする。
Microsoft グラフの機能。 検出と探索を Office 365 ATP サブスクリプションと統合し、攻撃を追跡して対応するために、Microsoft Intelligence Graph Security サービスを利用します。
詳しくは、「What’s new in the Windows Defender ATP Creators Update preview」(Windows Defender ATP Creators Update プレビューの新機能) をご覧ください。
ATA は、組織内の ID 侵害を検出するのに役立つオンプレミス製品です。 ATA では、認証、承認、および情報収集プロトコル (Kerberos、DNS、RPC、NTLM、その他のプロトコルなど) のネットワーク トラフィックをキャプチャして解析できます。 ATA では、このデータを使用して、ネットワーク上のユーザーや他のエンティティに関する動作プロファイルを作成し、異常や既知の攻撃パターンを検出できます。 次の表に、ATA によって検出された攻撃の種類を示します。
| 攻撃の種類 | 説明 |
|---|---|
| 悪意のある攻撃 | これらの攻撃は、次の攻撃の種類の既知の一覧から攻撃を探して検出されます:
|
| 異常な動作 | これらの攻撃は、行動分析を使用して検出され、機械学習を使用して、次を含む疑いのあるアクティビティを特定します:
|
| セキュリティの問題とリスク | これらの攻撃は、次を含む現在のネットワークとシステム構成を確認することで検出されます:
|
ATA を使用すると、特権 ID を侵害しようとする攻撃者を検出できます。 ATA のデプロイの詳細については、Advanced Threat Analytics のドキュメントの「プラン、設計、デプロイ」 トピックを参照してください。
関連付けられているソリューションの関連Windows Server 2016コンテンツ
Windows Defender ウイルス対策:
Windows Defender Advanced Threat Protection:
Windows 10 Creators Update 用 Windows Defender Advanced Threat Protection の概要 (YouTube ビデオ)
Windows Defender Device Guard:
Windows Defender Credential Guard:Windows Defender Credential Guard (YouTube ビデオ)
制御フロー ガード:
セキュリティと保証:
免責情報
この記事は GDPR について説明しており、発行時点における Microsoft の解釈を表しています。 弊社では、GDPR の意図と意味について、長い時間を費やして十分な考慮を重ねてきました。 ただし、GDPR の適用は非常に事実特定的であり、GDPR のあらゆる側面と解釈が十分に確定されているわけではありません。
そのため、この記事は、情報の提供のみを目的としており、法律上の助言として、あるいはお客様およびお客様の組織が GDPR を適用する方法を決定するために利用することはできません。 法的に資格のある専門家と協力し、GDPR がお客様の組織に具体的にどのように適用されるのか、また法令を遵守するための最善の方法は何かなど、GDPR について議論することをお勧めします。
明示、黙示または法律の規定にかかわらず、この記事の情報について Microsoft はいかなる責任も負わないものとします。 この記事は "現状有姿のまま" 提供されます。 この記事に記載された情報および見解は、URL および他のインターネット Web サイトの参照を含め、予告なしに変更することがあります。
この記事は、マイクロソフト製品に含まれる知的財産に対していかなる法的権利も付与しません。 お客様は、内部的な参照目的に限り、この記事を複製して使用することができます。
2017 年 9 月発行
バージョン 1.0
© 2017 Microsoft. All rights reserved.