現在位置: ホーム / Microsoft 365 活用法 / Windows 10 Pro Educationのセキュリティ

Windows 10 Pro Educationのセキュリティ

GIGA スクール仕様のパソコンに搭載されているWindows 10 Pro Educationの持つセキュリティ機能を紹介します。OSの起動前から、どのように保護され、起動後も、どのようにして保護するかを起動手順に従って、紹介します。

端末レベルからクラウドまでのセキュリティ

GIGA スクール仕様のパソコンに搭載されているOSは、Windows 10 Pro Educationです。このWindows 10 Pro Educationは、端末レベルからクラウドまで対応した、さまざまなセキュリティ機能を持っています。

家電量販店で販売されているWindows 10 は、多くの場合、Homeというエディションが利用されていますが、Windows 10 Pro Educationは、企業や組織で多く利用されているWindows 10 Proがベースになっているために、各種のセキュリティ機能をHomeに比較して、持っています。

端末の暗号化から、OSが起動し、ウイルス対策ソフトウェア、ログイン、ファイルレベルのセキュリティまでの流れをざっくりと紹介します。

Window 10 セキュリティ

ディスクの暗号化からOS起動プロセス、アンチウイルスソフトまで

端末のディスクが暗号化されているPCで、Windows 10 が安全に起動して、アンチウイルスソフトであるWindows Defender ウイルス対策 が起動するまでのプロセスを紹介します。

 

BItLocker - ディスクの暗号化

ディスクが暗号化されていると、もし、パソコンをどこかで紛失したとしても、中身を読み取ることができません。Windows では、BitLockerによって、ディスク暗号化して、またその暗号を解凍して読み出すことが可能です。

Windows Trusted Boot - 起動プロセスを保証

パソコンを守るには、デバイスの保護がもっと基本的なことです。現在、デバイスへの攻撃でもっとも危険視されていることの1つは、OSが起動する前に、マルウェア(悪意のあるソフトウェア)に攻撃されてしまうことです。というのも、例えば、Firmware Rootkit、Kernel rootkitなどのルートキットのいくつかが入り込んだ場合、Windowsよりも先に起動します。つまり、Windowsシステムからは検知できません。もちろんですが、一般的なアンチウイルスソフトでも検知できません。

このデバイスに対する脆弱性は、Chrome OSでも、Linuxでも変わりません。そのため、さまざまなOSは、電源投入後、起動する前にOSが適切に起動されたかを検証する仕組みを持っています。Windows 10では、Windows Trusted Bootという起動プロセスで、端末の起動プロセスの流れをセキュリティを確認します。

Windows Defender ウイルス対策

Windows 10が起動した後は、Windows Defender ウイルス対策によって、保護します。Windows に組み込まれ常に最新に更新されているだけでなく、機械学習モデルを利用して、振る舞い検知などを行います。

 

 

ID 管理からファイルの暗号化、データ消去まで

続いて、ログインからファイルの暗号化、そして、データの消去にまで紹介します。

ID管理と暗号化

Azure Active Directory ー IDからデバイスまで管理

PCだけでなく、デバイスまで含めて、管理します。

マイクロソフト製品だけのシングルサインオンでなく、いろいろなWebサイトで提供されている教育サイトにもシングルサインオン可能です。そのため、IDとパスワードの管理に悩むことはありません。

Azure Active Directory for Educationの主な機能として、次のものあります。

  • シングル サインオンでユーザーを簡単に接続
  • フェデレーション認証 (ADFS またはサード パーティ IdP)
  • デバイス登録
  • ユーザー管理
  • グループ管理

Microsoft 356 Education (Office 365, Microsoft Intuneなど)は、 認証基盤として、Azure Active Directory を前提としています。

Windows Information Protection -学校のファイル/データの保護と管理

生徒情報や入試情報など機密ファイルをSNSなどへ、コピーアンドペースすることを防ぎます。

ファイルも学校用と個人用で暗号化するしないと決めることができ、暗号化されたファイルは、もし流出したとしても、読み取ることができません。

  • データの所有権(学校/個人)を分離して、アプリケーション間のデータ交換(ピーアンドペース)をブロックまたは監査
  • 学校のデータの暗号化と監視して、ファイルの保存時に企業データは自動的に暗号化
  • 学校データの管理して、ワイプする際に学校データのみ削除可

 

Intune for Education ー 盗難・紛失時は、リモート削除

Microsoft Intuneを教育機関向けに簡略化された管理機能を提供するIntune for Educationのダッシュボードから、デバイスを選択して、工場状態へのリセットをクリックするだけで、簡単にデータを削除できます。