ネットワークのセキュリティ

Windows 11は、ネットワーク セキュリティの機能を強化し、ユーザーがどこからでも安心して作業できるように包括的な保護を提供します。 organizationの攻撃対象を減らすために、Windows のネットワーク保護により、フィッシング詐欺、悪用、その他の悪意のあるコンテンツをホストする可能性のある危険な IP アドレスやドメインにアクセスできなくなります。 評判ベースのサービスを使用すると、ネットワーク保護によって、有害な可能性のある低評判ドメインと IP アドレスへのアクセスがブロックされます。

新しい DNS および TLS プロトコル バージョンは、アプリケーション、Web サービス、およびゼロ トラスト ネットワークに必要なエンドツーエンドの保護を強化します。 ファイル アクセスにより、QUIC 経由のサーバー メッセージ ブロックと、新しい暗号化と署名機能を備えた信頼されていないネットワーク シナリオが追加されます。 Wi-Fi とBluetoothの進歩により、他のデバイスへの接続に対する信頼も高くなります。 さらに、VPN および Windows ファイアウォール プラットフォームでは、ソフトウェアを簡単に構成およびデバッグするための新しい方法が提供されます。

エンタープライズ環境では、ネットワーク保護はMicrosoft Defender for Endpointで最適に機能します。これにより、大規模な調査シナリオの一部として保護イベントに関する詳細なレポートが提供されます。

詳細情報

• ネットワークを保護する方法

トランスポート層セキュリティ (TLS)

トランスポート層セキュリティ (TLS) は、転送中のデータを暗号化するセキュリティ プロトコルです。 これは、2 つのエンドポイント間でセキュリティで保護された通信チャネルを提供するのに役立ちます。 Windows では、既定で最新のプロトコル バージョンと強力な暗号スイートが有効になります。 サーバーのセキュリティ強化のためのクライアント認証や、アプリケーションのパフォーマンス向上のためのセッション再開など、一連の拡張機能が用意されています。 TLS 1.3 はプロトコルの最新バージョンであり、Windows では既定で有効になっています。 このバージョンは、古い暗号化アルゴリズムを排除し、古いバージョンよりもセキュリティを強化し、できるだけ多くの TLS ハンドシェイクを暗号化することを目的としています。 ハンドシェイクのパフォーマンスが高く、接続ごとに平均 1 回のラウンド トリップが少なくなります。 完全な前方秘密を提供し、運用リスクを軽減する強力な暗号スイートのみをサポートします。 TLS 1.3 を使用すると、暗号化されたオンライン接続のプライバシーと待機時間が短縮されます。 接続の両側のクライアントまたはサーバー アプリケーションが TLS 1.3 をサポートしていない場合、接続は TLS 1.2 にフォールバックします。 Windows では、UDP 通信に最新のデータグラム トランスポート層セキュリティ (DTLS) 1.2 が使用されます。

詳細情報

• TLS/SSL の概要 (Schannel SSP)
• WINDOWS で TLS 1.0 と TLS 1.1 が間もなく無効になる

ドメイン ネーム システム (DNS) のセキュリティ

Windows 11では、Windows DNS クライアントは HTTPS 経由の DNS と TLS 経由の DNS、2 つの暗号化された DNS プロトコルをサポートします。 これにより、管理者は、パッシブ オブザーバーによる閲覧動作のログ記録や、悪意のあるサイトへのクライアントのリダイレクトを試みるアクティブな攻撃者など、パス上の攻撃者から名前クエリをデバイスで保護できます。 ネットワーク境界に信頼が配置されていないゼロ トラスト モデルでは、信頼された名前リゾルバーへのセキュリティで保護された接続が必要です。

Windows 11は、HTTPS 動作経由で DNS を構成するためのグループ ポリシーとプログラムによる制御を提供します。 その結果、IT 管理者は既存のセキュリティを拡張して、ゼロ トラストなどの新しいモデルを採用できます。 IT 管理者は、HTTPS プロトコル経由で DNS を要求し、安全でない DNS を使用するデバイスがネットワーク リソースへの接続に失敗するようにすることができます。 また、IT 管理者は、ネットワーク エッジ アプライアンスがプレーンテキスト DNS トラフィックを検査するために信頼されているレガシデプロイに対して、HTTPS 経由の DNS または TLS 経由の DNS を使用しないオプションもあります。 既定では、Windows 11は、リゾルバーが暗号化された DNS を使用する必要があるローカル管理者に延期されます。

DNS 暗号化のサポートは、名前解決ポリシー テーブル (NRPT)、システム ホスト ファイル、ネットワーク アダプターまたはネットワーク プロファイルごとに指定されたリゾルバーなどの既存の Windows DNS 構成と統合されます。 この統合は、DNS セキュリティ強化の利点が既存の DNS 制御メカニズムを後退さないことをWindows 11に役立ちます。

Zero Trust DNS (ZTDNS)

Zero Trust DNS (ZTDNS) は、エンドポイントでドメイン ベースのネットワーク アクセス制御を適用するWindows 11セキュリティ機能です。 ゼロ トラスト原則を DNS 解決に適用し、信頼された DNS サーバーを介して検証された宛先にのみデバイスが接続されるようにします。 これにより、DNS 乗っ取り、マルウェア攻撃、データ流出などのリスクが軽減されます。

主な機能

• 暗号化された DNS 強制: DNS クエリを傍受や改ざんから保護するために、DNS オーバー HTTPS (DoH) と DNS オーバー TLS (DoT) をサポートします。
• ポリシーベースのAccess Control: 宛先が管理者が承認した DNS サーバーによって解決されるか、ポリシーによって明示的に許可されていない限り、送信 IP トラフィックをブロックします。
• ゼロ トラスト配置: DNS レイヤーで "信頼しない、常に検証" を実装し、より広範なゼロ トラストネットワーク戦略を補完します。

メリット

• 暗号化された DNS トラフィックを中断することなく、DNS ベースの攻撃に対する保護を強化します。
• 組織が、暗号化された DNS と保護 DNS の適用のために、エグゼクティブ オーダー 14028 や OMB M-22-09 などのコンプライアンス要件を満たすのに役立ちます。
• エンタープライズ環境の DNS 解決の一元的な制御と監査を提供します。

詳細情報

• ZTDNS の概要

Bluetooth保護

Windows 11に接続されているBluetoothデバイスの数は増え続けます。 Windows ユーザーは、Bluetooth ヘッドセット、マウス、キーボード、その他のアクセサリを接続し、ストリーミング、生産性、ゲームを楽しむことで、日常の PC エクスペリエンスを向上させます。 Windows では、クラシックおよび LE セキュア接続、セキュリティで保護された簡単なペアリング、クラシックと LE のレガシ ペアリングなど、すべての標準のBluetoothペアリング プロトコルがサポートされています。 Windows では、ホスト ベースの LE プライバシーも実装されます。 Windows 更新プログラムを使用すると、ユーザーは、Bluetooth特殊関心グループ (SIG) とStandard脆弱性レポートに従って OS とドライバーのセキュリティ機能を最新の状態に保つだけでなく、Bluetoothコア業界標準で必要な問題を超える問題を維持できます。 Microsoft では、Bluetoothアクセサリのファームウェアとソフトウェアを最新の状態に保つことを強くお勧めします。

IT 管理環境には、構成サービス プロバイダー、グループ ポリシー、PowerShell を介して使用できるポリシー設定が多数用意されています。 これらの設定は、Microsoft Intune^[3]のようなデバイス管理ソリューションを使用して管理できます。 organizationのセキュリティ ニーズをサポートしながら、Bluetooth テクノロジを使用するように Windows を構成できます。 たとえば、ファイル転送のブロック中に入力とオーディオを許可したり、暗号化標準を強制したり、Windows の検出可能性を制限したり、最も機密性の高い環境でBluetoothを完全に無効にしたりできます。

詳細情報

• ポリシー CSP - Bluetooth

Wi-Fi 接続

Windows Wi-Fi では、Wi-Fi ネットワークに接続するときの業界標準の認証と暗号化方法がサポートされます。 WPA (Wi-Fi 保護アクセス) は、高度なデータ暗号化とより優れたユーザー認証を提供するために、Wi-Fi Alliance (WFA) によって定義されたセキュリティ標準です。

Wi-Fi 認証の現在のセキュリティ標準は WPA3 であり、WPA2 以前のセキュリティ プロトコルと比較して、より安全で信頼性の高い接続方法を提供します。 Windows では、WPA3 Personal、WPA3 Enterprise、WPA3 Enterprise 192 ビット スイート B の 3 つの WPA3 モードがサポートされています。

Windows 11には、新しい H2E プロトコルを使用した WPA3 Personal と WPA3 Enterprise 192 ビット スイート B が含まれています。Windows 11では、EAP-TLS 認証を使用した認証のための強化されたサーバー証明書検証と TLS 1.3 を含む WPA3 Enterprise もサポートされています。

また、ワイヤレス デバイスがパブリック Wi-Fi ホットスポットへの暗号化された接続を確立できるようにする技術である Opportunistic Wireless Encryption (OWE) も含まれています。

Wi-Fi 7: エンタープライズ向けの Game-Changer

2025 年 9 月以降、Windows 11 (バージョン 24H2 以降) では、Wi-Fi 7 をサポートするワイヤレス ネットワークの大幅な進歩が導入されています。 組織は、高速、スループットの向上、信頼性の向上、セキュリティの強化を利用できるようになりました。Wi-Fi 7 のアクセス ポイントを備えた最新のエンタープライズ環境に最適です。

エンタープライズ向け Wi-Fi 7 は、進化するセキュリティ ニーズに対応しながら、高密度で高スループットのシナリオで信頼性の高い接続をサポートするように設計されています。

Wi-Fi 7 企業にとって重要な理由

• 必須の WPA3-Enterprise 認証
• シームレスローミングとエンタープライズ固有の拡張機能
• パフォーマンス上の利点

セキュリティは共有責任です。 ハードウェアとソフトウェアのエコシステム間のコラボレーションを通じて、設計によってセキュリティで保護された回復性の高いシステムを構築できます。既定では、Windows からクラウドまで、デジタル エクスペリエンスのすべての層で信頼を得ることができます。

エンタープライズ向け Wi-Fi 7 は、エンタープライズ ネットワークに接続するすべてのデバイスが、より強力な暗号化プロトコル、ブルートフォース攻撃に対する耐性、転送中の機密データに対する強化された保護の恩恵を受けるのに役立ちます。 WPA3-Enterprise を適用することで、Wi-Fi 7 は、従来の脆弱性を排除し、最新のエンタープライズ環境でのセキュリティで保護された高パフォーマンス接続の新しいベースラインを設定するのに役立ちます。  Microsoft Intuneで Windows デバイスの Wi-Fi 設定をインポートする方法について説明します。

組織 Wi-Fi 7 つの利点のロックを解除する

Wi-Fi 7 for enterprise connectivity on Windows は、エコシステム全体で深いコラボレーションを行った結果です。 Wi-Fi シリコン ベンダーと Wi-Fi エンタープライズ アクセス ポイントの製造元は、Wi-Fi 7 が実際のエンタープライズ展開の準備ができていることを確認するのに役立ちます。

Wi-Fi 7 を有効にするための前提条件:

• Wi-Fi 7 対応 Windows リリース:デバイスは、2025 年 9 月のプレビュー非セキュリティ更新プログラム以降で更新されたバージョン 24H2 Windows 11上にある必要があります。
• Wi-Fi 7 対応 Windows エンタープライズ ノート PC: デバイスには、Wi-Fi 7 対応チップセットが搭載されている必要があります。
• 認定 Windows Wi-Fi 7 ドライバーのサポート: エンタープライズ Wi-Fi ドライバーを更新し、Windows Wi-Fi 7 のエンタープライズ機能について検証します。 Wi-Fi 7 個のドライバーは、デバイスの OEM (OEM) または独立系ハードウェア ベンダー (IHV) から入手できます。 特定のリリース日については、OEM/Wi-Fi チップの製造元に直接お問い合わせください。
• Wi-Fi 7 Enterprise アクセス ポイント:organization Wi-Fi 7 つのエンタープライズ レベルのアクセス ポイントをデプロイします。 これらのコンポーネントを用意すれば、エンタープライズ環境全体で次世代のワイヤレス接続を有効にする準備が整いました。 そのため、ユーザーとワークロードのパフォーマンス、セキュリティ、接続性の強化を今すぐ実現します。

詳細情報

• Windows での Wi-Fi の高速化とセキュリティ強化
• Wi-Fi 7 とは |Microsoft Surface

5G と eSIM

5G ネットワークでは、以前の世代の携帯ネットワーク プロトコルと比較して、より強力な暗号化と優れたネットワーク セグメント化が使用されます。 Wi-Fi とは異なり、5G アクセスでは常に相互認証が使用されます。 デバイスは、アクセス資格情報を格納する EAL4 認定 eSIM を物理的に埋め込み、攻撃者が改ざんするのをはるかに困難にします。 5G と eSIM を組み合わせることで、セキュリティの強力な基盤が提供されます。

詳細情報

• ダウンロード サーバーの eSIM 構成

Windows ファイアウォール

Windows ファイアウォールは、階層化されたセキュリティ モデルの重要な部分です。 これは、ホスト ベースの双方向ネットワーク トラフィック フィルタリングを提供し、デバイスが接続するネットワークの種類に基づいて、ローカル デバイスとの間で送受信される未承認のトラフィックをブロックします。

Windows ファイアウォールには、次の利点があります。

• ネットワーク セキュリティの脅威のリスクを軽減します。Windows ファイアウォールは、IP アドレス、ポート、プログラム パスなど、多くのプロパティによってトラフィックを制限または許可するルールを使用して、デバイスの攻撃対象領域を減らします。 この機能により、管理が容易になり、攻撃が成功する可能性が低下します。
• 機密データと知的財産を保護する: インターネット プロトコル セキュリティ (IPSec) と統合することで、Windows ファイアウォールは、認証されたエンドツーエンドのネットワーク通信を簡単に適用する方法を提供します。 信頼できるネットワーク リソースへのスケーラブルで階層化されたアクセスを提供し、データの整合性を強制し、必要に応じてデータの機密性を保護します。
• 既存の投資の価値を拡張する: Windows ファイアウォールはオペレーティング システムに含まれるホスト ベースのファイアウォールであるため、ハードウェアやソフトウェアを追加する必要はありません。 Windows ファイアウォールは、ドキュメント化されたアプリケーション プログラミング インターフェイス (API) を通じて、既存の Microsoft 以外のネットワーク セキュリティ ソリューションを補完するように設計されています。

Windows 11により、Windows ファイアウォールの分析とデバッグが容易になります。 IPSec 動作は、Windows 用のインボックスのクロスコンポーネント ネットワーク診断ツールである Packet Monitor と統合されています。 さらに、Windows ファイアウォール のイベント ログが強化され、監査によって、特定のイベントの原因となった特定のフィルターを確実に識別できます。 この機能により、サードパーティのツールに依存することなく、ファイアウォールの動作と豊富なパケット キャプチャの分析が可能になります。

管理者は、ファイアウォール構成サービス プロバイダー (CSP) のプラットフォーム サポートを使用し、これらの設定を Windows エンドポイントに適用することで、Microsoft Intune^[3]の [エンドポイント セキュリティ] ノードのファイアウォールおよびファイアウォール規則ポリシー テンプレートを使用して、より多くの設定を構成できます。

Windows のファイアウォール構成サービス プロバイダー (CSP) では、各アトミック ブロック内にファイアウォール規則を適用するための、すべてまたは何もしないアプローチが適用されます。 以前は、CSP でブロック内のルールに問題が発生した場合、そのルールの処理が停止され、後続のルールの処理が停止され、部分的にデプロイされたルール ブロックでセキュリティ ギャップが残る可能性があります。 ブロック内のルールが正常に適用できない場合、CSP は後続のルールの処理を停止し、そのアトミック ブロックからすべてのルールをロールバックし、部分的にデプロイされたルール ブロックのあいまいさを排除します。

詳細情報

• Windows ファイアウォールの概要
• Firewall CSP

仮想プライベート ネットワーク (VPN)

組織は、信頼性が高く、セキュリティで保護され、管理しやすい仮想プライベート ネットワーク (VPN) ソリューションを提供するために Windows に依存しています。 Windows VPN クライアント プラットフォームには、組み込みの VPN プロトコル、構成サポート、共通の VPN ユーザー インターフェイス、およびカスタム VPN プロトコルのプログラミング サポートが含まれています。 Microsoft Store では、最も人気のあるエンタープライズ VPN ゲートウェイ用のアプリを含め、エンタープライズ VPN とコンシューマー VPN の両方の VPN アプリを見つけることができます。

Windows 11では、最も一般的に使用される VPN コントロールをWindows 11クイック アクション ウィンドウに統合しました。 [クイック アクション] ウィンドウから、ユーザーは VPN の状態を確認し、接続を開始および停止し、さらに多くのコントロールの [設定] を簡単に開くことができます。

Windows VPN プラットフォームは、Microsoft Entra ID^[3] と条件付きアクセスに接続してシングル サインオンします。これには、Microsoft Entra IDを介した多要素認証 (MFA) が含まれます。 VPN プラットフォームでは、従来のドメイン参加認証もサポートされています。 Microsoft Intune^\3] とその他のデバイス管理ソリューションがサポートしています。 柔軟な VPN プロファイルは、組み込みのプロトコルとカスタム プロトコルの両方をサポートします。 複数の認証方法を構成でき、必要に応じて自動的に開始することも、エンド ユーザーが手動で開始することもできます。 また、信頼された外部サイトの例外を含むスプリットトンネル VPN と排他的 VPN もサポートしています。

ユニバーサル Windows プラットフォーム (UWP) VPN アプリでは、エンド ユーザーが古いバージョンの VPN クライアントでスタックすることはありません。 ストアは、必要に応じて VPN アプリを自動的に更新します。 当然、IT 管理者は更新プログラムを制御します。

Windows VPN プラットフォームは、Azure VPN などのクラウドベースの VPN プロバイダー向けに調整および強化されています。 Microsoft Entra ID認証、Windows ユーザー インターフェイス統合、プラミング IKE トラフィック セレクター、サーバーサポートなどの機能はすべて、Windows VPN プラットフォームに組み込まれています。 Windows VPN プラットフォームへの統合により、IT 管理者エクスペリエンスが簡単になります。 ユーザー認証の一貫性が高く、ユーザーは自分の VPN を簡単に見つけて制御できます。

詳細情報

• Windows VPN テクニカル ガイド

サーバー メッセージ ファイル サービスをブロックする

サーバー メッセージ ブロック (SMB) とファイル サービスは、商用およびパブリック セクターのエコシステムで最も一般的な Windows ワークロードです。 ユーザーとアプリケーションは、すべてのサイズの組織を実行するファイルにアクセスするために SMB に依存しています。

Windows 11では、AES-256 SMB 暗号化、高速 SMB 署名、リモート ディレクトリ メモリ アクセス (RDMA) ネットワーク暗号化、信頼されていないネットワークの QUIC 経由の SMB など、今日の脅威を満たす重要なセキュリティ更新プログラムが導入されています。

最近のセキュリティ オプションには、既定で必須の SMB 署名、NTLM ブロック、認証レート制限、その他のいくつかの機能強化が含まれます。

詳細情報

• Windows 11 バージョン 24H2 でのサーバー メッセージ ブロック (SMB) プロトコルの変更
• SMB 3 プロトコルを使用したファイル共有