多機能化するWindows Defenderに欠点はあるのか?
最近のマイクロソフトはWindows Defenderの無償提供にものすごい力を入れている。
GoogleのブラウザChromeにも拡張機能(アドオン)を提供するほどなのだから、それは並々ならぬということだろう。
まあ、これにはマ社にとってある種の利益を生み出す理由があるので、タダで凄いなという話ではないのだが、多くの人はそれを知らずに、マイクロソフトスゲえになるから、やる価値が大きいのだろう。
https://forest.watch.impress.co.jp/docs/review/1117940.html
では、このDefenderは本当に他のセキュリティソフトを上回るほど凄いのだろうか?
久々に調べて見ることにした。尚、対象はWindows 10.0.17133である。いわゆる1803(仮称;Spring Creators Update)のIP版である。 VM Playerの仮想環境で使っており、一部は、VMホスト側に入っているKasperskyは停止して試している。(そうしないと、KasperskyはゲストOS側にもDNS保護の影響があるので……)
<基本機能は市販セキュリティソフト並?だけど、信じるしかない>
Windows Defenderの基本的な機能は、トレンドマイクロやMcAfeeなどが一般向けに提供するセキュリティソフトと殆ど変わらないのではないかと思う。しかし、ESETやKaspersky、F-Secureなどと比べるとちょっと微妙かもしれない。何が違うのかというと、設定項目が殆ど無く、大半がそのままお任せで使う前提になっているからだ。
尚、ウィルス検出の表示は他のソフトとさほど変わらない。(ちなみに対象のウィルスは”テスト用”である)
むしろ、詳細表示が容易なのはマイクロソフトらしい。
ただし、問題点が全く無いとはいえない。
これは、信用して使うには良いが、今どんなアプリが動いているのか、どのポートで何が通信しているのかなどの把握は、リアルタイムで出来ないからだ。また、SmartScreenにしても、どれがブロックされるのか、なぜブロックされるのかも、簡単には見えない。
Windows Firewallは特にそれを感じさせる。未だに、強化されたファイアウォールなのが、残念である。
確かにこれは多機能だが、アプリ毎にどのポートをどのように制御しているかを見るのは難しい。昔利用していたフリーのTiny Personal Firewallの方が分かり易く、リアルタイム通信表示も見やすかった。
ATP製品群だと管理者側である程度見ることが出来るはずだが、Home/Pro向けだとほぼ全自動でお任せするしかないのが、心配なところではある。
要は、Defenderが何を監視しているのか、今どこを見ているのか分からないため、Denfender側で検出が出来ないマルウェア侵入し、動きに問題が出たときに、これが原因かも知れないという調べもつけようがない。
他にも、個人的に気になったのは、Exploit Protectionの設定だろう。これ、普通の人は扱い難いだろう。
これを搭載するなら、本来はアプリケーション毎に設定を変えられるようにすべきだろうが、トータル設定でこの項目を作る理由が良く分からない。互換性の問題解消が出来ることと、凄そうに見えるという点で意味はあるのだろうが、それ以外に意味がないように感じるのは気のせいだろうか?
尚、コア分離は1803で一般向けにも追加されるようだ。システム仮想化(VT)を利用して、OSを保護する物だ。ただし、環境によってはこれを有効にすると、一部アプリケーションが正常に動かなくなる恐れがある。また、ハードウェアがそれに対応していないと使えない。VM環境で使っていると、既にVTリソースを使っているので、これは利用できない。
また、昨年から追加されたのが、ランサム対策であろう。
この他、今年の3月から不正なシステム高速化を売りにする課金アプリケーションを駆除(削除)する機能も追加された。そのため、VAIO Careがという話も一時期起きていた。まあ、こういう新しい機能への対応の早さはWindows Defenderの良さである。
では、実際に一般的なWebセキュリティはどの程度なのだろうか?
とちょっと危険なところを歩いてどれぐらいブロックするか、探しに探して調べて見た。結果は、決して良くはないがブロック率はかなり低めである。……Kasperskyでは止めてくれたものも、Adblockでは止められないが、Ad機能の一部は止めてくれた。EdgeとDefenderは、ノーガードというものもあった。
また、ファイルのダウンロード(SmartScreenFilter)のレベルにも市販品とDefenderでは差がある。まず、同じサイトにアクセスた場合、上のDefenderではダウンロードまで行くが、Kasperskyではサイトブロックが掛かる。
それでも、ダウンロードをしようとすると、Denfenderはダウンロードが完了するが、Kasperskyでは駆除処理が掛かる。(実際にWeb上での作業だけでダウンロードしなかったので、駆除できませんになっている)
この辺りの違いが、未だに残るのは、Windowsの公共性が高いからだろう。シェアが市場において8割以上あるため明らかに危険だと認識されている環境を除けば、ブロックは出来ない。なぜなら、広告の合法性と違法性がハッキリしないからだ。例えば、Webサイトにアクセスしている間、ユーザー同意を経て、PCリソースを借りる(マイニングするなど)ようなWebサイトがあったとしよう。それは、ユーザー同意を得ているため、合法である。
しかし、これをブロックする仕組みを付けると、全てブロックされる。しかし、市販ソフトはまずそれ系のスクリプトはブロックすることを前提に設計し、その後安全なサイトは、ユーザー側でブロックを止めることによってサイトを閲覧できるようにするなんてこともある。
しかし、Windows標準になると簡単にはいかない。なぜなら、使う人の大半がPCの設定を弄らない人だからだ。閲覧しようとして、セキュリティを止めてください。広告ブロックを止めてくださいと言われても、やり方が分からないだろう。そのため、合法と危険の昼間にあるものは見逃されるのである。
だからこそ、より多くの消費者に使って貰って、ブロックリストを作成するための、フィードバックを集めているのだろうが……今の所、隠れマイニングスクリプトなどは、Defenderでは突き止めて止めることが難しそうだ。
<Defender ATPとは別物>
ちなみに、大規模Enterprise版のWindows Defenderは全く別物である。これは、Advanced Treat Protectionに基づくクラウド統合管理を備えているからだ。ただし、これにはちゃんとそれを運用できる管理者が必要になる。
また、Application GuardやDevice Guard、Credential Guardなどのホワイトリストベースの管理も別に備えているが、設定は結構大変である。
まあ、これはExploit Protectionの設定に似ている。確かに詳しく設定出来る部分もあるが、インターフェースは分かり難い面が結構多い。そうなっているのは、簡略化に開発リソースや画面リソースが必要になることと、多くの機能を含めば含むほど、素人には使い難くなるからだろう。
そこで、Windows Defenderは機能をDefenderに任せっきりにしたい人をターゲットにし、ATPは管理者がいる企業向けに特化し、市販ソフトと差別化していると考えられる。
<なぜ、Defenderのセキュリティを売り込むのか?>
では、なぜマ社はWindows Defender(ATPではないもの)だけで市販ソフト並になり大丈夫と売り込むのだろうか?
その理由、実は現在使われているセキュリティの仕組みにある。
マイクロソフトに限らず、多くのセキュリティメーカーは、独自のクラウド機能を持っており、そのクラウド機能に各コンピュータを繋いでデータベースを共有している。簡単に言えば、インターネットに繋がった同じセキュリティソフト同士が全て、不正攻撃情報を共有しているのだ。
それを行うと、アメリカのAというコンピュータから始まった攻撃プログラムXが、日本のBというコンピュータに到達し、攻撃に使われたプログラムが、Bにもコピーされ拡散すると、このXは不正なプログラムだと判断できるようになる。これは、企業内のAdvanced Treat ProtectionやEnd Point Securityに使われる技術を、インターネットに応用したものである。
マイクロソフトがDefenderを推奨するのは、端的に言えばOS標準のセキュリティを使って貰えば、この危険診断対策がより他社より確実になり、早い対策が取れるからである。
それでも、マ社は上記したように公共性を持っているため、セキュリティ面では不利な立場にあるが、これがもっと広がれば、確実に危険な物はブロックできるようになる可能性も出てくる。それを目指すために、主にセキュリティに投資するのが億劫な人を中心に売り込んでいる訳だ。
そして、Chromeなどのプラグインを提供するのは、より危険判定の制度を高めるためである。
まあ、他のセキュリティソフトを利用しているユーザー向けにWindows10では、定期的なスキャンという付加機能を備えたのも、実はより安全性を高める意図より、マ社側のデータベース精度を向上させるためだと考えられる。
そのため、将来的にはもしかすると、他のセキュリティソフト不要時代がやってくるかもしれないが、その場合でも、ホームプロユーザー向けのDefenderで全ての攻撃を抑止するのは無理だろう。最近、Defenderで脆弱性のアップデートが出てくることが増えているのは、それを示している。
Defenderが標準のセキュリティとして使われることが増えれば増えるほど、攻撃者は最初からDefenderが入ったWindows10というOSを前提に攻撃を仕掛ける。要は、Defenderではマルウェアとして認識しないスクリプトを攻撃に使うのだ。そのため、ホワイトリスト管理まで出来、且つネットワーク内の複数のPCやサーバーを統合的に監視できるATPは別として、defenderだけで全てを守れる時代が来るとは言えないだろう。
市販のソフトにも穴はあるが、市販ソフトの場合は攻撃者がまず侵入してそのPCに入っているセキュリティソフトが何かが分からないと、迂回は出来ない。その辺りが安全性に寄与するだろう。
<Defenderは誰向けなのか?>
Defenderは誰に最適なのか考えると難しい。一つ確かな点があるとすれば、Windows Updateを遅らせている人には向いていない。また、海外サイトやアダルトサイトなどを頻繁に使う人などには向かないだろう。
また、ビジネスサイトの利用をする人も、Defenderだけを使うなら、ブラウザ履歴を保存しない設定にするなど、考えて運用しないとリスクを伴う。
一方で、Yahooなど決まったところしか閲覧しない。UWPアプリ(ストアアプリ)しか使わないといった人だと、Defenderで十分であると考えられる。その安全の範囲は、3年前より2年前、2年前より1年前、1年前より今年とより広がっているので、DefenderだけでOKという人は、社会が考える以上に増えているはずだ。
しかし、一方でDefenderを考慮した攻撃も年々増え始めていると思われ、一度入られると、裏で動いている攻撃状況を判別するのは至難の業だろう。Defenderには他の一部セキュリティソフト(以下のような)が持つ、実行中モニタリング(通信中モニタリング)の機能がないからだ。この手の機能を持つセキュリティソフトは少ないので、逆に言えばこれがないならDefenderでもあまり変わらないという意味でもある。
この必要性を判断するかどうかが選択肢の分かれ目である。そもそも、こういう機能があっても触らないし触れないし分からない人は、Defenderを使おうが、高機能を持った物を買おうが、管理画面を出すこともないだろうから……。よく、Defender使いの玄人という人が出るが、あれは自称でありたいていの場合は、セキュリティソフトの画面を見てログを見てという作業を殆どしない人である。そういう人は、Defederを使っても変わらないだろう。
これを、開発メーカーの立場で考えると、有料のセキュリティソフトを作っているベンダーは、Defender以上に詳細な設定が出来、監視が出来る機能を備えないと差別化が出来ないと言うことを意味している。今のままだとウィルスバスターやMcAfee辺りだとインタフェースを初心者に寄せて自動化しているので、差が見えにくく結構厳しくなってくるだろう。
即ち、マイクロソフトが他のセキュリティソフトは要らないというのは、Defenderと似たような設定項目しか見えないソフトは消費者から見れば同じものにしか見えないと言うことだ。市販ソフトは、自動化より、何をやっているか、どこを監視しているかを可視化して、ユーザー側でチューニングできるような仕組みを増やさないと、淘汰されるかもしれない。
これは、KasperskyとHome/Pro向けDefenderを前提に書いているので、差はそれなりにあるが、これがATPだったりすると、減ってくる。さらに、他のセキュリティソフトだと、見た目で呻る部分もある。実際に市販品との差を示せる部分が減ってきているのは間違いない。
尚、今回の調査は2018年3月1日~4月20日に掛けてのDefenderとKasperskyを元に行っている。そのため、今後のシステム更新によって機能や差に変化が生じることもあるのであくまで参考として欲しい。
GoogleのブラウザChromeにも拡張機能(アドオン)を提供するほどなのだから、それは並々ならぬということだろう。
まあ、これにはマ社にとってある種の利益を生み出す理由があるので、タダで凄いなという話ではないのだが、多くの人はそれを知らずに、マイクロソフトスゲえになるから、やる価値が大きいのだろう。
https://forest.watch.impress.co.jp/docs/review/1117940.html
では、このDefenderは本当に他のセキュリティソフトを上回るほど凄いのだろうか?
久々に調べて見ることにした。尚、対象はWindows 10.0.17133である。いわゆる1803(仮称;Spring Creators Update)のIP版である。 VM Playerの仮想環境で使っており、一部は、VMホスト側に入っているKasperskyは停止して試している。(そうしないと、KasperskyはゲストOS側にもDNS保護の影響があるので……)
<基本機能は市販セキュリティソフト並?だけど、信じるしかない>
Windows Defenderの基本的な機能は、トレンドマイクロやMcAfeeなどが一般向けに提供するセキュリティソフトと殆ど変わらないのではないかと思う。しかし、ESETやKaspersky、F-Secureなどと比べるとちょっと微妙かもしれない。何が違うのかというと、設定項目が殆ど無く、大半がそのままお任せで使う前提になっているからだ。
尚、ウィルス検出の表示は他のソフトとさほど変わらない。(ちなみに対象のウィルスは”テスト用”である)
むしろ、詳細表示が容易なのはマイクロソフトらしい。
ただし、問題点が全く無いとはいえない。
これは、信用して使うには良いが、今どんなアプリが動いているのか、どのポートで何が通信しているのかなどの把握は、リアルタイムで出来ないからだ。また、SmartScreenにしても、どれがブロックされるのか、なぜブロックされるのかも、簡単には見えない。
Windows Firewallは特にそれを感じさせる。未だに、強化されたファイアウォールなのが、残念である。
確かにこれは多機能だが、アプリ毎にどのポートをどのように制御しているかを見るのは難しい。昔利用していたフリーのTiny Personal Firewallの方が分かり易く、リアルタイム通信表示も見やすかった。
ATP製品群だと管理者側である程度見ることが出来るはずだが、Home/Pro向けだとほぼ全自動でお任せするしかないのが、心配なところではある。
要は、Defenderが何を監視しているのか、今どこを見ているのか分からないため、Denfender側で検出が出来ないマルウェア侵入し、動きに問題が出たときに、これが原因かも知れないという調べもつけようがない。
他にも、個人的に気になったのは、Exploit Protectionの設定だろう。これ、普通の人は扱い難いだろう。
これを搭載するなら、本来はアプリケーション毎に設定を変えられるようにすべきだろうが、トータル設定でこの項目を作る理由が良く分からない。互換性の問題解消が出来ることと、凄そうに見えるという点で意味はあるのだろうが、それ以外に意味がないように感じるのは気のせいだろうか?
尚、コア分離は1803で一般向けにも追加されるようだ。システム仮想化(VT)を利用して、OSを保護する物だ。ただし、環境によってはこれを有効にすると、一部アプリケーションが正常に動かなくなる恐れがある。また、ハードウェアがそれに対応していないと使えない。VM環境で使っていると、既にVTリソースを使っているので、これは利用できない。
また、昨年から追加されたのが、ランサム対策であろう。
この他、今年の3月から不正なシステム高速化を売りにする課金アプリケーションを駆除(削除)する機能も追加された。そのため、VAIO Careがという話も一時期起きていた。まあ、こういう新しい機能への対応の早さはWindows Defenderの良さである。
では、実際に一般的なWebセキュリティはどの程度なのだろうか?
とちょっと危険なところを歩いてどれぐらいブロックするか、探しに探して調べて見た。結果は、決して良くはないがブロック率はかなり低めである。……Kasperskyでは止めてくれたものも、Adblockでは止められないが、Ad機能の一部は止めてくれた。EdgeとDefenderは、ノーガードというものもあった。
また、ファイルのダウンロード(SmartScreenFilter)のレベルにも市販品とDefenderでは差がある。まず、同じサイトにアクセスた場合、上のDefenderではダウンロードまで行くが、Kasperskyではサイトブロックが掛かる。
それでも、ダウンロードをしようとすると、Denfenderはダウンロードが完了するが、Kasperskyでは駆除処理が掛かる。(実際にWeb上での作業だけでダウンロードしなかったので、駆除できませんになっている)
この辺りの違いが、未だに残るのは、Windowsの公共性が高いからだろう。シェアが市場において8割以上あるため明らかに危険だと認識されている環境を除けば、ブロックは出来ない。なぜなら、広告の合法性と違法性がハッキリしないからだ。例えば、Webサイトにアクセスしている間、ユーザー同意を経て、PCリソースを借りる(マイニングするなど)ようなWebサイトがあったとしよう。それは、ユーザー同意を得ているため、合法である。
しかし、これをブロックする仕組みを付けると、全てブロックされる。しかし、市販ソフトはまずそれ系のスクリプトはブロックすることを前提に設計し、その後安全なサイトは、ユーザー側でブロックを止めることによってサイトを閲覧できるようにするなんてこともある。
しかし、Windows標準になると簡単にはいかない。なぜなら、使う人の大半がPCの設定を弄らない人だからだ。閲覧しようとして、セキュリティを止めてください。広告ブロックを止めてくださいと言われても、やり方が分からないだろう。そのため、合法と危険の昼間にあるものは見逃されるのである。
だからこそ、より多くの消費者に使って貰って、ブロックリストを作成するための、フィードバックを集めているのだろうが……今の所、隠れマイニングスクリプトなどは、Defenderでは突き止めて止めることが難しそうだ。
<Defender ATPとは別物>
ちなみに、大規模Enterprise版のWindows Defenderは全く別物である。これは、Advanced Treat Protectionに基づくクラウド統合管理を備えているからだ。ただし、これにはちゃんとそれを運用できる管理者が必要になる。
また、Application GuardやDevice Guard、Credential Guardなどのホワイトリストベースの管理も別に備えているが、設定は結構大変である。
まあ、これはExploit Protectionの設定に似ている。確かに詳しく設定出来る部分もあるが、インターフェースは分かり難い面が結構多い。そうなっているのは、簡略化に開発リソースや画面リソースが必要になることと、多くの機能を含めば含むほど、素人には使い難くなるからだろう。
そこで、Windows Defenderは機能をDefenderに任せっきりにしたい人をターゲットにし、ATPは管理者がいる企業向けに特化し、市販ソフトと差別化していると考えられる。
<なぜ、Defenderのセキュリティを売り込むのか?>
では、なぜマ社はWindows Defender(ATPではないもの)だけで市販ソフト並になり大丈夫と売り込むのだろうか?
その理由、実は現在使われているセキュリティの仕組みにある。
マイクロソフトに限らず、多くのセキュリティメーカーは、独自のクラウド機能を持っており、そのクラウド機能に各コンピュータを繋いでデータベースを共有している。簡単に言えば、インターネットに繋がった同じセキュリティソフト同士が全て、不正攻撃情報を共有しているのだ。
それを行うと、アメリカのAというコンピュータから始まった攻撃プログラムXが、日本のBというコンピュータに到達し、攻撃に使われたプログラムが、Bにもコピーされ拡散すると、このXは不正なプログラムだと判断できるようになる。これは、企業内のAdvanced Treat ProtectionやEnd Point Securityに使われる技術を、インターネットに応用したものである。
マイクロソフトがDefenderを推奨するのは、端的に言えばOS標準のセキュリティを使って貰えば、この危険診断対策がより他社より確実になり、早い対策が取れるからである。
それでも、マ社は上記したように公共性を持っているため、セキュリティ面では不利な立場にあるが、これがもっと広がれば、確実に危険な物はブロックできるようになる可能性も出てくる。それを目指すために、主にセキュリティに投資するのが億劫な人を中心に売り込んでいる訳だ。
そして、Chromeなどのプラグインを提供するのは、より危険判定の制度を高めるためである。
まあ、他のセキュリティソフトを利用しているユーザー向けにWindows10では、定期的なスキャンという付加機能を備えたのも、実はより安全性を高める意図より、マ社側のデータベース精度を向上させるためだと考えられる。
そのため、将来的にはもしかすると、他のセキュリティソフト不要時代がやってくるかもしれないが、その場合でも、ホームプロユーザー向けのDefenderで全ての攻撃を抑止するのは無理だろう。最近、Defenderで脆弱性のアップデートが出てくることが増えているのは、それを示している。
Defenderが標準のセキュリティとして使われることが増えれば増えるほど、攻撃者は最初からDefenderが入ったWindows10というOSを前提に攻撃を仕掛ける。要は、Defenderではマルウェアとして認識しないスクリプトを攻撃に使うのだ。そのため、ホワイトリスト管理まで出来、且つネットワーク内の複数のPCやサーバーを統合的に監視できるATPは別として、defenderだけで全てを守れる時代が来るとは言えないだろう。
市販のソフトにも穴はあるが、市販ソフトの場合は攻撃者がまず侵入してそのPCに入っているセキュリティソフトが何かが分からないと、迂回は出来ない。その辺りが安全性に寄与するだろう。
<Defenderは誰向けなのか?>
Defenderは誰に最適なのか考えると難しい。一つ確かな点があるとすれば、Windows Updateを遅らせている人には向いていない。また、海外サイトやアダルトサイトなどを頻繁に使う人などには向かないだろう。
また、ビジネスサイトの利用をする人も、Defenderだけを使うなら、ブラウザ履歴を保存しない設定にするなど、考えて運用しないとリスクを伴う。
一方で、Yahooなど決まったところしか閲覧しない。UWPアプリ(ストアアプリ)しか使わないといった人だと、Defenderで十分であると考えられる。その安全の範囲は、3年前より2年前、2年前より1年前、1年前より今年とより広がっているので、DefenderだけでOKという人は、社会が考える以上に増えているはずだ。
しかし、一方でDefenderを考慮した攻撃も年々増え始めていると思われ、一度入られると、裏で動いている攻撃状況を判別するのは至難の業だろう。Defenderには他の一部セキュリティソフト(以下のような)が持つ、実行中モニタリング(通信中モニタリング)の機能がないからだ。この手の機能を持つセキュリティソフトは少ないので、逆に言えばこれがないならDefenderでもあまり変わらないという意味でもある。
この必要性を判断するかどうかが選択肢の分かれ目である。そもそも、こういう機能があっても触らないし触れないし分からない人は、Defenderを使おうが、高機能を持った物を買おうが、管理画面を出すこともないだろうから……。よく、Defender使いの玄人という人が出るが、あれは自称でありたいていの場合は、セキュリティソフトの画面を見てログを見てという作業を殆どしない人である。そういう人は、Defederを使っても変わらないだろう。
これを、開発メーカーの立場で考えると、有料のセキュリティソフトを作っているベンダーは、Defender以上に詳細な設定が出来、監視が出来る機能を備えないと差別化が出来ないと言うことを意味している。今のままだとウィルスバスターやMcAfee辺りだとインタフェースを初心者に寄せて自動化しているので、差が見えにくく結構厳しくなってくるだろう。
即ち、マイクロソフトが他のセキュリティソフトは要らないというのは、Defenderと似たような設定項目しか見えないソフトは消費者から見れば同じものにしか見えないと言うことだ。市販ソフトは、自動化より、何をやっているか、どこを監視しているかを可視化して、ユーザー側でチューニングできるような仕組みを増やさないと、淘汰されるかもしれない。
これは、KasperskyとHome/Pro向けDefenderを前提に書いているので、差はそれなりにあるが、これがATPだったりすると、減ってくる。さらに、他のセキュリティソフトだと、見た目で呻る部分もある。実際に市販品との差を示せる部分が減ってきているのは間違いない。
尚、今回の調査は2018年3月1日~4月20日に掛けてのDefenderとKasperskyを元に行っている。そのため、今後のシステム更新によって機能や差に変化が生じることもあるのであくまで参考として欲しい。
この記事へのコメント
(起動はできるが、OS立ち上げようとするとOSガードとVMは同時に使えないみたいな警告がでる)
ただ、大型アップデート1803以降に古いofficeXPのExcelが
ある事をすると必ず落ちるという現象が、コア分離を有効にすることで
落ちなくなりました・・・