Windows 11には強力なセキュリティ機能が備わっていますが、設定を正しく使いこなせていないと、その効果は十分に発揮されません。本記事では、「Windowsセキュリティ」ダッシュボードを中心に、今すぐ見直すべき重要設定をわかりやすく解説します。
1. Windowsセキュリティダッシュボード
Windows 11のセキュリティ設定は、設定 → プライバシーとセキュリティ → Windowsセキュリティから、またはタスクバーの盾アイコン (shield icon) をクリックすることで起動できます。ダッシュボードには次の6つの領域があります。
- ウイルスと脅威の防止:リアルタイム保護、ウイルススキャン
- アカウントの保護:Windows Hello、ダイナミックロック
- アプリとブラウザーのコントロール:SmartScreen・エクスプロイト保護
- デバイスのセキュリティ:TPM・セキュアブート・セキュアコア
- ファイアウォールとネットワーク保護:Windowsディフェンダーファイアウォール
- デバイスのパフォーマンスと機器のヘルス:ストレージ容量・サービス状況
2. ウイルスと脅威の防止
リアルタイム保護
リアルタイム保護をオンにすることで、ファイルの開譔やダウンロード時にマルウェアを即座に検出します。ウイルスと脅威の防止 → ウイルスと脅威の防止の設定 → リアルタイム保護でオン・オフを切り替えられます。
スキャンの実行
- クイックスキャン:現在動作中のファイルだけをスキャン(5分程度)
- フルスキャン:ドライブ全体を徹底スキャン!30分強)
- カスタムスキャン:特定のフォルダーやファイルだけをスキャン
- Microsoft Defenderオフラインスキャン:PC再起動時にウイルスを深層スキャン(ルートキットなどの検出に有効)
クラウド配信の保護
新しい脅威情報をクラウドからリアルタイムで取得し、機械学習による高度な脅威検出を行います。ウイルスと脅威の防止の設定 → クラウド配信の保護でオンにすることを推奨します。
除外設定(スキャン対象から外す)
特定のフォルダーやファイルが誤検出される場合、除外することができます。ウイルスと脅威の防止の設定 → 除外 → 除外の追加または削除で、ファイル・フォルダー・ファイルの種類・プロセス単位で除外を設定できます。
3. Windowsディフェンダーファイアウォール
Windowsディフェンダーファイアウォールは、不審なネットワーク通信をブロックする機能です。ファイアウォールとネットワーク保護 から管理できます。
アプリにファイアウォールの通過許可を与える
- ステップ1:「ファイアウォールとネットワーク保護」をクリック
- ステップ2:「ファイアウォールによるアプリケーションの許可」をクリック(管理者権限が必要)
- ステップ3:許可したいアプリを一覧から選んでチェックを入れる
受信規則の追加(高度設定)
wf.msc:「Windows Defenderファイアウォールの詳細設定」を開きます。受信規則・送信規則・接続セキュリティルールを細かく設定できます
netsh advfirewall set allprofiles state on:すべてのネットワークプロファイルでファイアウォールを有効化します
4. SmartScreenとアプリ保護
SmartScreenは、悪意のあるウェブサイトやダウンロードファイルをブロックする機能です。三つのレベルで動作します。Windowsセキュリティの「アプリとブラウザーコントロール」から設定することができます。
- Microsoft Edge用SmartScreen:ブラウザーで悪意のあるサイトをブロック(Edge設定で管理)
- アプリとブラウザーのコントロール用SmartScreen:インストール時に未確認の発行元のアプリを警告(設定 → アプリとブラウザーのコントロール)
- エクスプロイト保護:Windowsのエクスプロイトに対する追加の緊急緩和策を有効化
5. アカウントの保護(Windows Hello)
Windows Helloは、顔認証・指紋・ PINによるパスワード不要のサインイン機能です。設定 → アカウント → サインインオプションで設定できます。
- 顔認証:IRカメラ指対応のPCのみ利用可能。顔を認識して自動サインイン
- 指紋認証:指紋センサー対応のPCのみ利用可能。指を認識してサインイン
- PIN:4桌以上の数字・記号からなるPINでサインイン。パスワードと異なりPC内に保存されるため流出リスクが低い
- セキュリティキー:FIDO2対応のハードウェアキー(YubiKey等)でサインイン
6. フィッシング・ランサムウェア対策
フィッシング対策のポイント
- メール内のリンクは安易にクリックしない。ブラウザーのアドレスバーで実際のURLを確認する
- Microsoft、銀行、官庁などから「金融情報を入力して」と要求するメールはフィッシングの可能性が高い
- SmartScreenの警告が出た場合は、ダウンロードする前に発行元を必ず確認する
ランサムウェア対策
ランサムウェアによるファイル暴匈を防ぐために、ランサムウェアからの保護機能が役立ちます。ウイルスと脅威の防止の設定 → ランサムウェア防止の管理 → コントロールされたフォルダーアクセスをオンにすると、指定フォルダーへの不審な変更をブロックできます。
7. デバイスのセキュリティ(TPM・セキュアブート)
Windows 11はインストール要件としてTPM 2.0とセキュアブートを必要とします。これらはデバイスの生セキュリティを確保するハードウェア機能です。
- TPM 2.0(トラステッドプラットフォームモジュール):デバイス基盤に固有の暗号キーを保存、BitLockerやWindows Helloと連携して動作する
- セキュアブート:PC起動時に署名済みソフトウェアのみを実行し、マルウェアなどの不正ソフトウェアの起動を防ぐ
- セキュアコア:Windowsカーネルを保護された付加メモリ領域で実行し、従来のマルウェア決定方法を回避する
tpm.msc:TPM管理コンソールを開き、TPMのバージョンや状態を確認できます
8. コマンドでWindows Defenderを操作する
Get-MpComputerStatus:Windows Defenderの現在の状態(リアルタイム保護の有効無効、定義ファイルのバージョン等)を表示します
Update-MpSignature:ウイルス定義ファイルを最新に更新します
Start-MpScan -ScanType QuickScan:Windows Defenderのクイックスキャンを開始します
Start-MpScan -ScanType FullScan:フルスキャンを開始します
Add-MpPreference -ExclusionPath “C:\folder”:指定フォルダーをスキャン除外に追加します
9. プライバシー設定と診断データ
Windows 11では、アプリがアクセスできるデータを細かく制御できます。設定 → プライバシーとセキュリティ → アプリのアクセス許可で、位置情報・カメラ・マイク・通知・アカウント情報などをアプリ単位で許可・拒否できます。
10. トラブルシューティング
Windows Defenderがオフになり、オンにできない場傂
- グループポリシーで無効化されている場合がある。gpedit.mscで「コンピューターの構成 → 管理テンプレート → Windowsコンポーネント → Microsoft Defenderウイルス対策」を確認する (Windows ProおよびEnterpriseエディションでのみ利用可能)
- サードパーティ輽影ソフトめウェアがドィフェンダーを無効化している場合はそのソフトをアンインストールする
- Windows Defenderのメッセージ:スタートボタンを右クリック >イベントビューアーで「Applications and Services Logs → Microsoft → Windows → Windows Defender」を確認する
診断情報の保存
msinfo32:システム情報に加えてセキュリティ関連の情報(サインイン初期化・アンチマルウェア・コア安全性の徔歴)も表示できます
まとめ
Windows 11には、ウイルス対策からデバイスの箇使側セキュリティまで多層的な機能が搭載されています。定期的なスキャンとウイルス定義ファイルの最新化、これらセキュリティ機能を有効に保つことが安全の基本です。次回はタスクマネージャーとパフォーマンス監視について解説します。
コメント