Tech For You

Microsoft EdgeでApplication Guard Windowを使う

World Administrator
2023年8月9日
4 分で読めます
Photo by FLY:D / Unsplash

本来はエンタープライズでの利用を想定していますが、Proエディションでも使用ができます。コンテナ化による環境の隔離から怪しげなサイトからホストマシンを守ることができます。激やばサイトにアクセスしなければいけないということはないと思いますが、もしもの時の知識として知っておくといいかもしれません。

Microsoft Defender Application Guardの詳細

Application Guard の概要とその仕組み

Hyper-V コンテナーによって環境をカーネル単位で分離し、ファイルを保護します。Hypervisorがこの機能の基幹を担っているので、ProあるいはEnterpriseで使えるのですね。

Microsoft Edge の場合、Application Guardは、企業が定義した信頼されていないサイトを分離し、従業員がインターネットを閲覧している間に会社を保護するのに役立ちます。 エンタープライズ管理者は、信頼済み Web サイト、クラウド リソース、内部ネットワークを定義します。 一覧にないものはすべて非信頼と見なされます。 従業員が Microsoft Edge またはインターネット エクスプローラー経由で信頼されていないサイトにアクセスした場合、Microsoft Edge は分離された Hyper-V 対応コンテナーでサイトを開きます。

要するに、仮想化機能を用いてリソースを隔離し、ウェブサイトに潜む攻撃者がリソースを保護する機能です。Enterpriseでの使用を想定していますので、本来は許可されたページにのみのアクセスができるようになりますが、個人で使う分には使いづらいので単にリソースの保護を恩恵に授かることになるでしょう。

Application Guardは、分離された Hyper-V 対応コンテナー内の信頼されていないファイルを開きます。 分離された Hyper-V コンテナーは、ホスト オペレーティング システムとは別です。 このコンテナーの分離は、信頼されていないサイトまたはファイルが悪意があると判明した場合、ホスト デバイスが保護され、攻撃者がエンタープライズ データにアクセスできないことを意味します。 たとえば、このアプローチでは分離されたコンテナーが匿名になるため、攻撃者は従業員の企業の資格情報にアクセスできません。

このリソースの保護はApplication GuardをMicrosoft Officeで使用した際に有用です。Officeファイルのドキュメントを切り離した環境の中で隔離して編集することで、悪意のある攻撃から防ぎます。昨今のドキュメントを介した攻撃から防衛する方法としてはとても有用だと考えられます。

Microsoft Defender Application Guard - Windows Security
Microsoft Defender Application Guardと、インターネット上の悪意のあるコンテンツやマルウェアとの戦いにどのように役立つかについて説明します。
Microsoft Learnvinaypamnani-msft

Edgeに限らず、セキュリティで考えるべきはセキュリティで強固に縛った利用しづらいシステムを使うことと、使いやすいがセキュリティ的に問題のある設定とのバランスをとることにあります。しかし、このバランスは難しい上にセキュリティの警戒事項は常に変化します。そうした上で、攻撃を一度歩許容するという考え方を導入することで、セキュリティを強固にする方法をApplication Guardが可能にします。

検討すべき重要なセキュリティ対策は、侵害を想定する手法です。これは、攻撃を防ぐ努力をしたとしても、少なくとも 1 度は攻撃が成功することを受け入れることを意味しています。 この考え方では、被害を抑えるための防御を構築することが必要になります。こうすれば、このシナリオにおいて、企業のネットワークと他のリソースを保護し続けることが可能になります。 Microsoft Edge に Application Guard を展開することは、この戦略にうまく適合します。
Microsoft Edge および Microsoft Defender Application Guard
Microsoft Edge での Microsoft Defender Application Guard のサポート
Microsoft LearnAndreaLBarr

Application Guardを導入する

前提としてこの機能はHyper-Vが利用可能なWindows Enterprise、Windows EducationまたはWindows Proでのみ利用可能です。要するに、Windows Homeでは使えません。

以下は公式ドキュメントからの引用です。

Microsoft Edge のハードウェア ベースの分離を有効にする - Windows Security
Microsoft Defender Application Guard モード (スタンドアロンまたはエンタープライズマネージド)、およびエンタープライズに Application Guard をインストールする方法について説明します。
Microsoft Learnvinaypamnani-msft
  1. コントロール パネルを開き、[プログラム] を選択し、[Windows 機能のオンとオフを切り替える] を選択します。
  1. [Microsoft Defender Application Guard] の横にある [チェック] ボックスを選択し、[OK] を選択してApplication Guardとその基になる依存関係をインストールします。

Microsoft EdgeでApplication Guardを使う

では本題であるApplication Guardをブラウザーで起動しましょう。

Microsoft Edge および Microsoft Defender Application Guard
Microsoft Edge での Microsoft Defender Application Guard のサポート
Microsoft LearnAndreaLBarr

ブラウザーの選定

実はChromeでもFirefoxでも使えるのですが、公式にサポートをしており情報が豊富なことも考えて、おとなしくMicrosoft Edgeで使うのがよいでしょう。

最近のMicrosoft EdgeはChromiumをベースにしており、更新・機能追加に熱心であり、Windows OSとの連携を密にしているため、非常に便利になってきています。今やかつての使いにくいMicrosoft Edge/IEの面影はありません。

垂直タブ、画面分割、拡張機能などGoogle Chromeユーザー、Firefoxユーザー、Vivaldiユーザーにもお勧めできるような使い心地です。

是非乗り換えてみてください。

Application Guard Windowの起動

Ctrl+Shift+qで起動します。

コンテナを起動し、環境を隔離するので初回起動は少しだけ時間がかかります。拡張機能ももちろん使えます。設定に関しては詳しく公式ドキュメントにあります。適宜参照してください。