Windows 11セキュリティ設定完全ガイド:TPM 2.0・セキュアブート・ランサムウェア対策【2026年版】

IT, Windows11

「Windows 11を導入したが、セキュリティ設定がWindows 10と違いすぎて戸惑っている」。企業のIT管理者から、こうした声をよく聞く。Windows 11は、セキュアブートやTPM 2.0の必須化など、セキュリティ要件が大幅に強化された。この変更により、旧世代のハードウェアでは動作しないケースも多く、運用面での課題が浮き彫りになっている。

しかし、正しく理解すれば、Windows 11のセキュリティ機能は企業にとって大きな武器になる。ランサムウェア攻撃やゼロデイ攻撃が増加する2026年、Windows 11の防御機能を最大限に活用することが、IT管理者の重要な責務だ。

この記事では、Windows 11のセキュリティ機能の全体像と、実務で使える運用のコツを解説する。

Windows 11のセキュリティ要件:TPM 2.0とセキュアブートの必須化

TPM 2.0とは何か

TPM(Trusted Platform Module)は、PCのマザーボードに搭載されたセキュリティチップで、暗号鍵やパスワードなどの機密情報を物理的に保護する。Windows 11では、TPM 2.0が必須要件となり、TPM非搭載のPCではインストールができない。

TPM 2.0の主な役割は以下の通りだ。

  • BitLockerの暗号鍵保護:ディスク全体を暗号化するBitLockerの鍵をTPM内に格納し、物理的な盗難からデータを守る
  • Windows Helloの認証情報保護:顔認証や指紋認証のデータをTPM内に保管
  • セキュアブートの検証:OS起動時にマルウェアが混入していないかをTPMが検証

企業環境では、BitLockerの運用が必須となるため、TPM 2.0の搭載状況を事前に確認する必要がある。

セキュアブートの仕組み

セキュアブート(Secure Boot)は、UEFI BIOSの機能で、Windows起動時に正規のOSかどうかを検証する。ブートキットと呼ばれるマルウェアが、OS起動前に侵入するのを防ぐ仕組みだ。

Windows 11では、セキュアブートが有効でなければインストールできない。ただし、古いPCではUEFI BIOSではなくレガシーBIOSのため、セキュアブートに対応していないケースがある。

企業のIT管理者は、全社PCのTPM 2.0とセキュアブートの対応状況を調査し、非対応PCの買い替え計画を立てる必要がある。

Windows 11で強化された主要セキュリティ機能

1. Microsoft Defender for Endpoint(標準搭載)

Windows 11には、Microsoft Defender for Endpointの基本機能が標準搭載されている。これは従来のWindows Defenderを大幅に強化したもので、EDR(Endpoint Detection and Response)機能の一部が利用できる。

主な機能:

  • リアルタイム脅威検知:未知のマルウェアもAIで検知
  • ランサムウェア保護:フォルダアクセスの制御で、不正なファイル暗号化を防ぐ
  • 攻撃面の削減:脆弱性を悪用する攻撃をブロック

企業環境では、Microsoft 365 E5ライセンスを契約すれば、さらに高度な脅威インテリジェンスとSIEM連携が可能になる。

2. Windows Hello for Business(パスワードレス認証)

Windows Hello for Businessは、顔認証や指紋認証によるパスワードレス認証を実現する。Active DirectoryやAzure ADと連携し、社員がパスワードを覚える必要がなくなる。

メリット:

  • パスワード流出のリスクがゼロになる
  • フィッシング攻撃への耐性が高い
  • ユーザーのログインが高速化

ただし、全社員分の生体認証対応デバイス(カメラや指紋センサー)の準備が必要だ。新規PC購入時には、Windows Hello対応モデルを選定しよう。

3. Credential Guard(認証情報の仮想化保護)

Credential Guardは、WindowsのLSASS(Local Security Authority Subsystem Service)プロセスを仮想化し、認証情報を物理メモリから隔離する。これにより、Mimikatzなどのパスワード窃取ツールが無効化される。

有効化方法:

# グループポリシーで有効化
コンピューターの構成 > 管理用テンプレート > システム > Device Guard
「仮想化ベースのセキュリティを有効にする」→ 有効
「Credential Guardの構成」→ 有効(UEFIロック付き)

Credential Guardを有効にすると、一部の古いアプリケーション(特定のVPNクライアントなど)が動作しなくなる可能性がある。事前に互換性を確認しよう。

4. Application Guard(ブラウザの隔離実行)

Microsoft Edge Application Guardは、信頼できないWebサイトを仮想化されたコンテナ内で実行する機能だ。マルウェアサイトを開いても、ホストOSには影響が及ばない。

有効化手順:

  1. Windows機能で「Microsoft Defender Application Guard」を有効化
  2. グループポリシーで隔離対象サイトを定義
  3. ユーザーが信頼できないサイトにアクセスすると、自動的に隔離ブラウザで開かれる

ただし、Application Guardは仮想化技術を使うため、CPU・メモリリソースを消費する。スペックの低いPCでは動作が重くなる可能性がある。

実務で使えるWindows 11セキュリティ運用のコツ

コツ1:グループポリシーでセキュリティベースラインを適用

Microsoftが公式に提供する「セキュリティベースライン」は、Windows 11の推奨セキュリティ設定をまとめたグループポリシーテンプレートだ。これを適用するだけで、基本的なセキュリティレベルが確保できる。

適用手順:

  1. Microsoft Security Compliance Toolkit(SCT)をダウンロード
  2. セキュリティベースラインGPOをActive Directoryにインポート
  3. 対象OUにリンク

ただし、セキュリティベースラインは非常に厳格な設定のため、一部の業務アプリケーションが動作しなくなる可能性がある。本番適用前に、テスト環境で動作確認を行おう。

コツ2:BitLockerの回復キーを一元管理

BitLockerでディスクを暗号化すると、万が一TPMが故障した場合に回復キーが必要になる。この回復キーをActive DirectoryやAzure ADに自動バックアップする設定が重要だ。

グループポリシー設定:

コンピューターの構成 > 管理用テンプレート > Windowsコンポーネント > BitLocker
「Active Directoryドメインサービスへのバックアップ」→ 有効
「回復情報を保存しない場合はBitLockerを有効にしない」→ 有効

これにより、社員が回復キーを紛失しても、IT管理者がActive Directoryから取得できる。

コツ3:Microsoft Intuneで全社PCのセキュリティ状態を可視化

Windows 11のセキュリティ設定が全社PCで統一されているか、定期的にチェックする必要がある。Microsoft Intuneを使えば、各PCのセキュリティコンプライアンス状態を一元管理できる。

チェック項目例:

  • TPM 2.0が有効か
  • BitLockerが有効か
  • Windows Defenderが最新の定義ファイルを適用しているか
  • セキュアブートが有効か

Intuneのコンプライアンスポリシーで、これらの項目を満たさないPCをブロックすることも可能だ。

コツ4:パッチ管理の優先順位を明確にする

Windows 11では、毎月第2火曜日(Patch Tuesday)にセキュリティ更新プログラムがリリースされる。全ての更新を即座に適用するのは現実的ではないため、優先順位をつける必要がある。

優先順位の例:

  1. Critical(緊急):ゼロデイ攻撃が確認されている脆弱性 → 3日以内に適用
  2. Important(重要):リモートコード実行の脆弱性 → 1週間以内に適用
  3. Moderate(中程度):権限昇格の脆弱性 → 2週間以内に適用
  4. Low(低):機能改善や軽微なバグ修正 → 次回定期メンテナンス時に適用

WSUSやIntuneで、更新プログラムのカテゴリごとに配信スケジュールを設定しよう。

コツ5:ユーザー教育を定期的に実施

どれほど高度なセキュリティ機能を導入しても、ユーザーがフィッシングメールを開いてしまえば意味がない。定期的なセキュリティ教育が不可欠だ。

教育内容の例:

  • フィッシングメールの見分け方
  • 不審なUSBメモリを接続しない
  • 公共Wi-Fiでの業務禁止
  • パスワードの使い回し禁止

Microsoft 365を契約している企業なら、Microsoft Defender for Office 365の「攻撃シミュレーショントレーニング」を活用できる。疑似フィッシングメールを社員に送信し、開封した社員には自動的に教育コンテンツが表示される。

よくある質問:Windows 11セキュリティ運用

Q1: TPM 2.0非搭載の古いPCでWindows 11を使う方法はあるか?

答え: レジストリを改変すれば技術的には可能だが、推奨しない。TPM非搭載でWindows 11を動作させると、BitLockerやWindows Helloが利用できず、セキュリティレベルが大幅に低下する。企業環境では、TPM 2.0搭載PCへの買い替えが正解だ。

Q2: Windows 11 HomeエディションとProエディションのセキュリティ機能の違いは?

答え: Homeエディションでは、BitLocker、グループポリシー管理、Hyper-Vが利用できない。企業環境では、必ずProエディション以上を選択する必要がある。

Q3: Windows 11のセキュリティ機能は、サードパーティ製アンチウイルスソフトと併用できるか?

答え: 可能だが、二重に動作するとパフォーマンスが低下する。Microsoft Defenderは、サードパーティ製ソフトがインストールされると自動的にパッシブモードになる。2026年現在、Microsoft Defenderの性能は他社製品と同等かそれ以上のため、追加のアンチウイルスソフトは不要だ。

Q4: Credential Guardを有効にすると、VPN接続ができなくなった

答え: 一部の古いVPNクライアント(特にIKEv1方式)は、Credential Guardと互換性がない。VPNベンダーに問い合わせて、Credential Guard対応版にアップデートするか、IKEv2やSSL VPNへの移行を検討しよう。

まとめ:Windows 11のセキュリティ機能を最大限に活用しよう

Windows 11は、TPM 2.0、セキュアブート、Credential Guard、Application Guardなど、従来のWindowsとは次元の異なるセキュリティ機能を標準搭載している。IT管理者がこれらの機能を正しく理解し、適切に運用すれば、ランサムウェアやゼロデイ攻撃のリスクを大幅に削減できる。

実務で取るべきアクション:

  • 全社PCのTPM 2.0とセキュアブートの対応状況を調査
  • Microsoftセキュリティベースラインを適用
  • BitLockerの回復キーをActive Directoryにバックアップ
  • Microsoft Intuneでセキュリティコンプライアンスを可視化
  • パッチ管理の優先順位を明確化
  • 定期的なセキュリティ教育を実施

Windows 11のセキュリティ運用について、より詳しく知りたい場合は、WSUSからIntuneへの移行実務ガイドも参考にしてほしい。

ITエンジニアとして、最新のセキュリティ運用スキルを身につけることは、キャリアアップの鍵です。Windows 11やMicrosoft 365の運用経験があれば、高年収の求人も多数あります。転職を考えているなら、専門エージェントに相談してみましょう。