日本マイクロソフトは7月6日、「Windows 11、チップからクラウドまでのセキュリティ バイ デザインを実現」と題した記事を公開した。Windows 11のセキュリティー設計を解説している。
これは米Microsoftがブログにて公開した「Windows 11 enables security by design from the chip to the cloud」の妙訳記事となる。
同社では長年にわたって設計段階からセキュリティーを組み込む取り組みを進めており、2019年にはセキュアコアPCを発表。ハードウェアやファームウェアレベルの保護機能を実現している。Windows 11ではこうした保護機能をデフォルトで使える状態にして提供し、認定されたWindows 11システムにはすべてTPM 2.0(Trusted Platform Module)チップが搭載されていることが条件となる。
TPM 2.0チップはマザーボードに組み込まれているケースとCPUに別途追加されるケースがあるが、TPM は暗号鍵やユーザーの認証情報、その他の機密データなどをハードウェア内で保護し、マルウェアや攻撃者がデータにアクセスしたり改ざんしたりすることを防ぐことが可能となる。TPM 2.0搭載をWindows 11の条件とすることで、ルートオブトラストが必須となりハードウェアセキュリティーの基準を高めることができるとしている。
また、Windows 11では、AzureベースのMicrosoft Azure Attestation(MAA)をデフォルトでサポートし、ハードウェアベースのゼロトラストを取り入れることが可能。オンプレミス上の機密リソースにアクセスする場合や、Intuneといった対応モバイルデバイス管理(MDM)を通じてクラウドから機密リソースにアクセスする際に、ゼロトラストポリシーが適用できる。
また、企業向けのWindows Hello for Businessではパスワードレスのモデルを導入しているように、今後のWindows 11デバイスは最初からパスワードレスとなるという。