Microsoftは、Windows 11にスマートフォンのようなアプリ権限の許可プロンプトを導入し、アプリがファイル、カメラ、マイクなどの機微なリソースにアクセスする前に、ユーザーの同意を求めるようにしたい考えです。
「Windows Baseline Security Mode」と「User Transparency and Consent」の変更は、現在10億台以上のデバイスを支えるオペレーティングシステムにとって大きな転換点となります。
Windowsプラットフォームのエンジニアであるローガン・アイヤー氏は、この新しいセキュリティモデルは、アプリケーションがユーザーの同意を得ないまま設定を上書きしたり、不要なソフトウェアをインストールしたり、さらにはWindowsの中核的な体験を改変したりするケースが増えていることを受けて導入されるものだと述べました。
透明性と同意に関する変更が展開された後は、スマートフォンと同様に、アプリが不要なソフトウェアをインストールしようとしたり、機微なリソースにアクセスしようとしたりする際に、Windowsが許可を求めるプロンプトを表示します。ユーザーは、アクセス要求を許可または拒否した後でも、いつでも選択を変更できます。
Baseline Security Modeは、実行時の整合性保護を既定で有効にし、適切に署名されたアプリ、サービス、ドライバーのみが実行できるようにします。ただし、必要に応じて、ユーザーやIT管理者が特定のアプリについてこれらの保護を上書きできるようにもします。
「ユーザーは、今日モバイルフォンで行っているのと同じように、ファイルシステムやカメラ・マイクなどのデバイスを含む機微なリソースに、どのアプリがアクセスできるのかを明確に確認できるようになります。見覚えのないアプリがあれば、アクセス権を取り消すことができます」と、アイヤー氏は述べています。
「ユーザーは、アプリが個人データやデバイス機能にどのようにアクセスするかについて、透明性と同意のコントロールを持てるようになります。保護されたデータやハードウェアへのアクセス許可をアプリに付与するか拒否するかを、明確なプロンプトで受け取ります。ユーザーは、以前に付与した権限を取り消すこともできます。」
これらの変更は、開発者、企業、エコシステムパートナーと「緊密に連携」して策定された段階的アプローチの一環として展開され、Microsoftはフィードバックに基づいて展開方法と制御内容を調整する計画です。
この取り組みは、米国国土安全保障省のサイバー安全審査委員会(Cyber Safety Review Board)が同社のセキュリティ文化を「不十分」と指摘したことを受け、2023年11月に開始されたMicrosoftのSecure Future Initiative(SFI)の一環です。同委員会の報告書は、2023年5月にMicrosoftのコンシューマー向け署名キーを盗み、Microsoftクラウドサービスへの広範なアクセスを得たStorm-0558の中国人ハッカーによるExchange Online侵害を受けて発行されました。
このイニシアチブの一環として、Microsoftはスクリプト注入攻撃に対するEntra IDサインインの保護計画も発表しており、Microsoft 365およびOffice 2024のWindowsアプリですべてのActiveXコントロールを無効化し、さらにレガシー認証プロトコル経由でのSharePoint、OneDrive、OfficeファイルへのアクセスをブロックするようにMicrosoft 365のセキュリティ既定値を更新しています。
「アプリやAIエージェントにも、より高い透明性基準を満たすことが求められ、ユーザーとIT管理者の双方がその挙動をより把握しやすくなります」とアイヤー氏は付け加えました。「これらの更新により、Windowsにおけるセキュリティとプライバシーの基準が引き上げられると同時に、システムやデータへのアクセス方法について、より大きなコントロールと確信を得られるようになります。」
