「Windows 11を導入したが、セキュリティ設定がWindows 10と違いすぎて戸惑っている」。企業のIT管理者から、こうした声をよく聞く。Windows 11は、セキュアブートやTPM 2.0の必須化など、セキュリティ要件が大幅に強化された。この変更により、旧世代のハードウェアでは動作しないケースも多く、運用面での課題が浮き彫りになっている。
しかし、正しく理解すれば、Windows 11のセキュリティ機能は企業にとって大きな武器になる。ランサムウェア攻撃やゼロデイ攻撃が増加する2026年、Windows 11の防御機能を最大限に活用することが、IT管理者の重要な責務だ。
この記事では、Windows 11のセキュリティ機能の全体像と、実務で使える運用のコツを解説する。
TPM(Trusted Platform Module)は、PCのマザーボードに搭載されたセキュリティチップで、暗号鍵やパスワードなどの機密情報を物理的に保護する。Windows 11では、TPM 2.0が必須要件となり、TPM非搭載のPCではインストールができない。
TPM 2.0の主な役割は以下の通りだ。
企業環境では、BitLockerの運用が必須となるため、TPM 2.0の搭載状況を事前に確認する必要がある。
セキュアブート(Secure Boot)は、UEFI BIOSの機能で、Windows起動時に正規のOSかどうかを検証する。ブートキットと呼ばれるマルウェアが、OS起動前に侵入するのを防ぐ仕組みだ。
Windows 11では、セキュアブートが有効でなければインストールできない。ただし、古いPCではUEFI BIOSではなくレガシーBIOSのため、セキュアブートに対応していないケースがある。
企業のIT管理者は、全社PCのTPM 2.0とセキュアブートの対応状況を調査し、非対応PCの買い替え計画を立てる必要がある。
Windows 11には、Microsoft Defender for Endpointの基本機能が標準搭載されている。これは従来のWindows Defenderを大幅に強化したもので、EDR(Endpoint Detection and Response)機能の一部が利用できる。
主な機能:
企業環境では、Microsoft 365 E5ライセンスを契約すれば、さらに高度な脅威インテリジェンスとSIEM連携が可能になる。
Windows Hello for Businessは、顔認証や指紋認証によるパスワードレス認証を実現する。Active DirectoryやAzure ADと連携し、社員がパスワードを覚える必要がなくなる。
メリット:
ただし、全社員分の生体認証対応デバイス(カメラや指紋センサー)の準備が必要だ。新規PC購入時には、Windows Hello対応モデルを選定しよう。
Credential Guardは、WindowsのLSASS(Local Security Authority Subsystem Service)プロセスを仮想化し、認証情報を物理メモリから隔離する。これにより、Mimikatzなどのパスワード窃取ツールが無効化される。
有効化方法:
# グループポリシーで有効化 コンピューターの構成 > 管理用テンプレート > システム > Device Guard 「仮想化ベースのセキュリティを有効にする」→ 有効 「Credential Guardの構成」→ 有効(UEFIロック付き)
Credential Guardを有効にすると、一部の古いアプリケーション(特定のVPNクライアントなど)が動作しなくなる可能性がある。事前に互換性を確認しよう。
Microsoft Edge Application Guardは、信頼できないWebサイトを仮想化されたコンテナ内で実行する機能だ。マルウェアサイトを開いても、ホストOSには影響が及ばない。
有効化手順:
ただし、Application Guardは仮想化技術を使うため、CPU・メモリリソースを消費する。スペックの低いPCでは動作が重くなる可能性がある。
Microsoftが公式に提供する「セキュリティベースライン」は、Windows 11の推奨セキュリティ設定をまとめたグループポリシーテンプレートだ。これを適用するだけで、基本的なセキュリティレベルが確保できる。
適用手順:
ただし、セキュリティベースラインは非常に厳格な設定のため、一部の業務アプリケーションが動作しなくなる可能性がある。本番適用前に、テスト環境で動作確認を行おう。
BitLockerでディスクを暗号化すると、万が一TPMが故障した場合に回復キーが必要になる。この回復キーをActive DirectoryやAzure ADに自動バックアップする設定が重要だ。
グループポリシー設定:
コンピューターの構成 > 管理用テンプレート > Windowsコンポーネント > BitLocker 「Active Directoryドメインサービスへのバックアップ」→ 有効 「回復情報を保存しない場合はBitLockerを有効にしない」→ 有効
これにより、社員が回復キーを紛失しても、IT管理者がActive Directoryから取得できる。
Windows 11のセキュリティ設定が全社PCで統一されているか、定期的にチェックする必要がある。Microsoft Intuneを使えば、各PCのセキュリティコンプライアンス状態を一元管理できる。
チェック項目例:
Intuneのコンプライアンスポリシーで、これらの項目を満たさないPCをブロックすることも可能だ。
Windows 11では、毎月第2火曜日(Patch Tuesday)にセキュリティ更新プログラムがリリースされる。全ての更新を即座に適用するのは現実的ではないため、優先順位をつける必要がある。
優先順位の例:
WSUSやIntuneで、更新プログラムのカテゴリごとに配信スケジュールを設定しよう。
どれほど高度なセキュリティ機能を導入しても、ユーザーがフィッシングメールを開いてしまえば意味がない。定期的なセキュリティ教育が不可欠だ。
教育内容の例:
Microsoft 365を契約している企業なら、Microsoft Defender for Office 365の「攻撃シミュレーショントレーニング」を活用できる。疑似フィッシングメールを社員に送信し、開封した社員には自動的に教育コンテンツが表示される。
答え: レジストリを改変すれば技術的には可能だが、推奨しない。TPM非搭載でWindows 11を動作させると、BitLockerやWindows Helloが利用できず、セキュリティレベルが大幅に低下する。企業環境では、TPM 2.0搭載PCへの買い替えが正解だ。
答え: Homeエディションでは、BitLocker、グループポリシー管理、Hyper-Vが利用できない。企業環境では、必ずProエディション以上を選択する必要がある。
答え: 可能だが、二重に動作するとパフォーマンスが低下する。Microsoft Defenderは、サードパーティ製ソフトがインストールされると自動的にパッシブモードになる。2026年現在、Microsoft Defenderの性能は他社製品と同等かそれ以上のため、追加のアンチウイルスソフトは不要だ。
答え: 一部の古いVPNクライアント(特にIKEv1方式)は、Credential Guardと互換性がない。VPNベンダーに問い合わせて、Credential Guard対応版にアップデートするか、IKEv2やSSL VPNへの移行を検討しよう。
Windows 11は、TPM 2.0、セキュアブート、Credential Guard、Application Guardなど、従来のWindowsとは次元の異なるセキュリティ機能を標準搭載している。IT管理者がこれらの機能を正しく理解し、適切に運用すれば、ランサムウェアやゼロデイ攻撃のリスクを大幅に削減できる。
実務で取るべきアクション:
Windows 11のセキュリティ運用について、より詳しく知りたい場合は、WSUSからIntuneへの移行実務ガイドも参考にしてほしい。
—
ITエンジニアとして、最新のセキュリティ運用スキルを身につけることは、キャリアアップの鍵です。Windows 11やMicrosoft 365の運用経験があれば、高年収の求人も多数あります。転職を考えているなら、専門エージェントに相談してみましょう。