Microsoft Tech Summit 2017本情報の内容（添付文書、リンク先などを含む）は、Microsoft Tech Summit 2017 開催日（2017 年 11 月 8日 - 9 日）時点のものであり、予告なく変更される場合があります。

業務連絡！

WindowsDefender

NEW

UPDATE

Windows 10, version 1709 (“Fall Creators Update”)

Windows 10, version 1703 (“Creators Update”)

Windows Defender セキュリティセンター

Windows Defender ウイルス対策Windows Defender Smart Screen

Windows Defender Advanced Threat Protection (ATP)

NEW

UPDATE

Windows Defender Exploit Guard

Windows Defender Application Guard

Windows Defender ウイルス対策Windows Defender Device Guard

Windows Defender Advanced Threat Protection (ATP)

“Windows Defender” はシリーズ名になりました！

Application Guard の

Application Guard の

「そうだ。チームの忘年会やりたいな」「Web でチャチャっと予約しといてよ？」

「業務に関係ないサイトは見れません！」「申請も面倒だし、通らないかも！」

(ほんと社内 IT は使えないよね・・・)

「ここは必殺！いつもの私物で！！」

「BYOD！ BYOD！」

「落とすって、、、説明つかないよ。」

「セキュリティも意味ないよね。。」

IT 部門や導入ベンダーまで

責任・対策・改善

仮想化技術によるブラウザー分離

ブラウザー に対する一つの選択肢

Application Guard for Microsoft Edge

HypervisorDevice Hardware

Kernel

Windows Platform Services

Windows Operating System

Hyper-V Hyper-V

信頼されているサイト

Microsoft Edge

Kernel

Windows Platform Services

ApplicationGuard

Application Guard Container

信頼されてないサイト

Application Guard は

普段使うホスト OS からブラウザだけを完全分離

ブラウザは一時的なもの信頼されてないサイトなどの閲覧に使用

この中だけは仮想化で分離

一般的なコンテンツ参照可能

いつもと同様な操作で使える

設定次第で自動切り替えも

Application Guard なら

でもセキュリティは本当に大丈夫なの？

Application Guard の

Application Guard の

でもセキュリティは本当に大丈夫なの？

セキュリティを語り出すその前に・・・

そもそも、情報セキュリティってなんであるんだっけ？

情報資産の保護

IT を最大限に活用するための最低限のセキュリティ

情報セキュリティの目的

IT の活用 セキュリティ

技術

そもそもブラウザーって危険なの？

17 2222 28 36

3433

116

226

186

3237 61

55

8648

31

46

24

5420

18

25

47

50

32

28

19

14

59

16

23

20 23

9

14

22

13

417

0%

10%

20%

30%

40%

50%

60%

70%

80%

90%

100%

2006 2007 2008 2009 2010 2011 2012 2013 2014 2015

Browser Office Windows Other

最も狙われているのはブラウザ

Microsoft 製品の「リモートでコードが実行される脆弱性」の数

でも Microsoft Edge もセキュリティには自信あり！

Microsoft Edge、Chrome、Firefox の各ブラウザーに含まれる脆弱性の数(出典: National Vulnerability Database、2016 年 9 月)

UWP によるサンドボックス セキュリティ重視デザイン OS セキュリティ機能と連携

脆弱性の数

カーネルの脆弱性を狙った攻撃の数

1 2 3 4 5 6 7 8 9 10

Source: MSRC and Microsoft One Protection Team

この 2 年でカーネルを狙った攻撃が急増

HypervisorDevice Hardware

Kernel

Windows Platform Services

Windows Operating System

Hyper-V Hyper-V

信頼されているサイト

Microsoft Edge

Kernel

Windows Platform Services

ApplicationGuard

Application Guard Container

信頼されてないサイト

Application Guard は

コンテナー技術によるハードウェアレベルのブラウザー分離

「コンテナー」ってなに？

すべてが揃ったキッチンのようなもの。

すべての電化製品や家具、鍋やフライパン、食器用洗剤、ハンドタオルがすべてパッケージ化されたキッチン。

このコンテナーは移動して、どのようなアパートの部屋 (ホスト) にでも組み込むことができ、同じキッチンとして機能します。

重要なのは、コンテナーには必要なすべての要素がパッケージ化されて付属している点です。

HypervisorDevice Hardware

Kernel

Windows Platform Services

Windows Operating System

Hyper-V Hyper-V

信頼されているサイト

Microsoft Edge

Kernel

Windows Platform Services

ApplicationGuard

Application Guard Container

信頼されてないサイト

Application Guard は

コンテナー技術によるハードウェアレベルのブラウザー分離

カーネルも分離されているので攻撃を受けてもホストに影響なし！

でもコンテナが攻撃を受けたら・・・？

Application Guard のコンテナは

HypervisorDevice Hardware

Kernel

Windows Platform Services

Windows Operating System

Hyper-V Hyper-V

信頼されているサイト

Microsoft Edge

Kernel

Windows Platform Services

ApplicationGuard

Application Guard Container

信頼されてないサイト

Application Guard は

コンテナー技術によるハードウェアレベルのブラウザー分離

ログオフまたは再起動でコンテナーを破棄！

利用形態に応じて選択がおすすめ！

Microsoft Edge もセキュリティが高い

Application Guard はさらに強力

ブラウザーのセキュリティ

Application Guard の

Application Guard の

クライアント要件

ハードウェア Windows 10 ブラウザ

64bit CPU (仮想化拡張機能付き)

メモリ 8GB 以上 (推奨 16GB)

1709 (Fall Creators Update)

Enterprise Edition

Microsoft Edge

Internet Explorer

パフォーマンス

HTML5 対応数HTML5test (https://html5test.com/)

Google - Octane 2.0 (http://chromium.github.io/octane/)

1662 56 16

476528 478 476312

11

31112 30364 15518 34520 26974

パフォーマンスを測ってみた！

OS 標準機能なので、すぐ使える

インストール (必要に応じて) 設定

2 種類の動作モード

ネットワーク分離設定ができる！

※ IE のエンタープライズ モードとは別モノ

どちらでも閲覧

ネットワーク分離ネットワーク分離は IP レンジ、ドメイン名で指定可能

Microsoft Edge

Windows Defender

Application Guard

Internet Explorer 社内 Web ページ

社内 Web アプリ

O365

SharePoint

クラウド サービス

検索エンジン

SSO のページ

一般 Web サイト

登録されてないサイト

POLICY

Application Guard Service

どんなオプションがあるの？

クリップボード

許可しない/する

コピペの方向ホストからコンテナ

コンテナからホスト

コンテンツタイプテキスト画像

ファイルタイプPDF

XPS

プリンタータイプローカルネットワーク

コンテンツ (画像等)エンタープライズのWeb サイト内に、非エンタープライズのコンテンツが含まれていた場合に表示をしない

監査イベントログApplication Guardのイベントを外部から収集できるようにする

印刷

許可しない/する

コンテンツフィルター

OFF / ON

セッションCookie

パスワード

お気に入り

キャッシュ

※ 上記を一時的なVHD に保存が可能

データ

永続化

維持しない/する

監査

OFF / ON

とりあえず、一番安全にしたいんだけど？

Windows Defender ATP とは？

クラウド ベース EDR 攻撃の監視・調査・対応 Defender 統合管理

Windows Defender ATP との統合！

Application Guard との 連携

コンテナーへの攻撃検知 クライアント状態の管理 コンテナーのリサイクル

Windows Defender ATP との統合！

https://aka.ms/dep002

本日の資料はこちら！

ご参加、ありがとうございます！

■ 本セッションで使用した PPT

■ 録画済みのデモ動画■ 資料リンク■ 動画リンク■ テストする上での注意点■ 先回り FAQ

https://aka.ms/dep002

本日の資料はこちら！

関連セッション

https://aka.ms/dep002

本日の資料はこちら！

Session

IDTitle

DEP001 Day1

11:30 – 12:20

ここまでできる！ Windows 10 クラウド展開・管理

DEP003Day1

15:10 – 16:00

次世代セキュリティ！ Windows Defender

Exploit Guard 解説

DEP004Day2

15:10 – 16:00

最新のサイバー攻撃対策、Windows

Defender ATP 徹底解説します！

DEP010Day2

13:55 – 14:45

みんなどうしてる？ 企業におけるWindows 10 Future Update 適用

Application Guard の

仮想化技術によるブラウザー分離

Application Guard は

OS 標準。状況や条件に応じて使い分け易い

Application Guard は

「そうだ。チームの忘年会やりたいな」「Web でチャチャっと予約しといてよ？」

いいですね！パーッとやりましょう！

外出先からですが予約しときますよ

サッと仕事を片付けて行きましょう！

IT で便利な未来を作っていきましょう！