Windows 11にはどんなセキュリティ機能が備わっているのでしょうか?この記事では、Windows Defender、ファイアウォール、UAC、BitLocker、Windows Hello、VBS/HVCIなど、Windows 11の多層防御セキュリティの全体像をわかりやすく解説します。
Windowsセキュリティの全体像
Windows 11のセキュリティは「多層防御」の考え方で設計されています。一つの防御が突破されても、次の層が守るという構造です。
外部からの脅威
↓
「第1層」ネットワーク防御(ファイアウォール)
↓
「第2層」マルウェア検知(Windows Defender)
↓
「第3層」アクセス制御(UAC・BitLocker)
↓
「第4層」カーネル保護(VBS・HVCI・Secure Boot)
↓
大切なデータ・システムWindows Defender(Microsoft Defender)
Windows DefenderはWindows 11に標準搭載されたセキュリティスイートです。
リアルタイム保護
ファイルの読み書き・実行のたびに自動でスキャンします。
ファイルをダウンロード
↓
Defenderが自動スキャン
├── 安全 → そのまま保存
└── 危険 → 隠離・削除・警告クラウドベースの保護
不審なファイルをMicrosoftのクラウドに送信し、最新の脅威情報と照合します。新しいウイルスでも定義ファイルの更新前に検知できます。
Defenderの主な機能一覧
| 機能 | 読明 |
|---|---|
| ウイルス&脅威の防止 | リアルタイムスキャン・定期スキャン |
| アカウントの保護 | サインイン保護・Windows Hello |
| ファイアウォールとネットワーク保護 | 不正通信のブロック |
| アプリとブラウザコントロール | 危険なアプリ・サイトのブロック |
| デバイスセキュリティ | カーネル分離・TPMの管理 |
| デバイスのパフォーマンスと正常性 | システム健全性チェック |
Windowsファイアウォール
Windowsファイアウォールは、外部からの不正アクセスを防ぐ「門番」です。
3つのネットワークプロファイル
| プロファイル | 使う場面 | セキュリティ強度 |
|---|---|---|
| ドメイン | 会社のネットワーク | 管理者が制御 |
| プライベート | 自宅のWi-Fi | 中程度(信頼できる) |
| パブリック | カフェ・駅などの公共Wi-Fi | 最も厳しい |
インターネット
↓ インバウンド(外から中へ)← ファイアウォールが監視
PC
↑ アウトバウンド(中から外へ) ← こちらも監視
インターネットUAC(ユーザーアカウント制御)
UAC(User Account Control)は、管理者権限が必要な操作を行うとき、確認ダイアログを表示して不正な変更を防ぐ機能です。
通常使用時
→ 「標準ユーザー権限」で動作(安全)
管理者権限が必要な操作
→ UACダイアログが表示
├── 管理者アカウントなら → 「許可しますか?」
└── 標準ユーザーなら → 「管理者パスワードを入力」UACレベルの4段階
| レベル | 通知タイミング | 推奨 |
|---|---|---|
| 常に通知 | すべての変更で通知 | 最も安全 |
| デフォルト | アプリの変更のみ通知 | ◎ 推奨 |
| デスクトップを暗にしない | 通知あり、暗転なし | △ |
| 通知しない | 無効に近い | × |
BitLocker(ビットロッカー)
BitLockerは、ドライブ全体を暗号化してデータを守る機能です。ノートPCの紛失・盗難時に特に効果を発揮します。
PC 起動時
↓
TPM チップが暗号化キーを検証
├── 正常 → 自動解逢・Windows起動
└── 異常(別PCに移した等)→ 回復キーの入力を要求
→ なければデータにアクセス不可BitLockerの保護対象
| 対象 | 読明 |
|---|---|
| OS ドライブ (C:) | Windowsが入った起動ドライブ |
| データドライブ | 追加のHDD/SSD |
| リムーバブルドライブ | USBメモリ(BitLocker To Go) |
⚠️ 回復キーは必ずバックアップを! Microsoftアカウントに自動保存されますが、手元にも改えておくことが重要です。
Windows Hello
Windows Helloは、パスワードの代わりに生体認証や暗証番号でサインインする機能です。
| 認証方式 | 仕組み |
|---|---|
| 顔認証 | 赤外線カメラで3D顔認識 |
| 指紋認証 | 指紋センサーで照合 |
| PIN | デバイス固有の暗証番号(オンラインパスワードより安全) |
PINがパスワードより安全な理由
パスワード → ネットワーク経由で認証サーバーに送信
→ 盗聴・リプレイ攻撃のリスクあり
PIN → デバイス内のTPMチップでのみ認証
→ ネットワークに送信されない
→ 他のPCでは使えないVBS・HVCI(仮想化ベースのセキュリティ)
VBS(Virtualization Based Security)は、Hyper-Vの仮想化技術を使ってセキュリティ機能をカーネルから分離・保護する仕組みです。
通常のアーキテクチャ
┌─────────────────────┐
│ Windows カーネル │
│ セキュリティ機能も同居 │ ← カーネルが攻撃されると
└─────────────────────┘ セキュリティも破られる
VBS 有効時
┌─────────────────────┐
│ Windows カーネル │
├─────────────────────┤
│ Secure Kernel(隔離) │ ← カーネルが攻撃されても
│ セキュリティ機能 │ Secure Kernelは守られる
└─────────────────────┘HVCI(Hypervisor-Protected Code Integrity)は、カーネルに読み込まれるドライバーのコードが改ざんされていないか常に検証します。悪意のあるドライバーによる攻撃を防ぎます。
Smart App Control
Windows 11(22H2以降)の新機能で、信頼されていないアプリの実行を自動的にブロックします。
アプリを実行しようとする
↓
Microsoftのクラウドで信頼性を確認
├── 信頼できる → そのまま実行
├── 判断不能 → デジタル署名があれば実行
└── 危険・不明 → ブロックWindowsセキュリティの確認方法
設定 → プライバシーとセキュリティ → Windowsセキュリティ → Windowsセキュリティを開くすべての機能が緑のチェックマークなら安全な状態です。
《Q&A》ローカルアカウントでもセキュリティ機能は使える?
「Windowsセキュリティ」の「アカウントの保護」画面で、Microsoftアカウントでサインインしていない場合に警告が表示されることがあります。これは「一部機能が制限される」という案内であり、セキュリティが著しく低下するわけではありません。
アカウントの種類による機能の違い
| 機能 | ローカルアカウント | Microsoftアカウント |
|---|---|---|
| Windows Defender | ✅ 完全に使える | ✅ |
| ファイアウォール | ✅ 完全に使える | ✅ |
| BitLocker | ✅ 使える(回復キーを手動保存) | ✅(回復キーをクラウド自動保存) |
| UAC | ✅ 完全に使える | ✅ |
| VBS・HVCI | ✅ 完全に使える | ✅ |
| Windows Hello(顔認証・指紋・PIN) | ✅ 使える | ✅ |
| Smart App Control | ✅ 使える | ✅ |
| BitLocker回復キーのクラウド保管 | ❌ 使えない | ✅ |
| パスワードレスアカウント | ❌ 使えない | ✅ |
ローカルアカウントで注意が必要な点
BitLockerの回復キーについては特に注意が必要です。Microsoftアカウントを使うと回復キーがクラウドに自動保存されますが、ローカルアカウントの場合は自分でUSBや紙に保存しておく必要があります。回復キーを紛失するとデータにアクセスできなくなるので、これだけはしっかり手動でバックアップしておくことをお尉めします。
ローカルアカウントでも十分な理由
Windows 11の主要なセキュリティ機能――Windows Defender、ファイアウォール、UAC、VBS/HVCI、BitLocker、Windows Hello――はすべてデバイスローカルで動作するため、Microsoftアカウントの有無に関係なく機能します。プライバシーの観点からローカルアカウントを好む方も多く、それは十分合理的な選択です。
まとめ:Windowsセキュリティ機能の役割分担
Windows 11 多層セキュリティ
├── Windows Defender → マルウェア検知・駆除
├── ファイアウォール → 不正通信のブロック
├── UAC → 権限昇格の制御
├── BitLocker → データの暗号化(紛失対策)
├── Windows Hello → 安全な認証
├── VBS/HVCI → カーネルレベルの保護
└── Smart App Control → 不審アプリの実行防止これらすべてが連携することで、Windows 11はかつてのWindowsよりはるかに堅牢なセキュリティを実現しています!
