Windows のセキュリティ基盤
Microsoft は、ソフトウェア開発プロセスの改善、高度なセキュリティバイデザインのソフトウェアの構築、およびセキュリティ コンプライアンス要件への対応に継続的に投資することに取り組んでいます。 Microsoft では、すべてのソフトウェア開発プロセスにおけるライフサイクルの初期段階から、セキュリティとプライバシーに関する考慮事項を組み込んでいます。 Microsoft は、脅威が存在する今日の環境における強固なセキュリティを実現するために、ゼロからセキュリティを構築しています。
Microsoft の強固なセキュリティ基盤では、Microsoft セキュリティ開発ライフサイクル (SDL)、バグ報奨金、製品のセキュリティ標準および認定のサポート、Azure Code signing プログラムを使用しています。 その結果、脆弱性の特定後に更新プログラムを適用するのではなく、不具合や脆弱性が少ないソフトウェアを作り出すことで、セキュリティを強化しています。
セキュリティ基盤の詳細については、以下の表のリンクを参照ください。
攻撃的な研究
| 機能名 | 説明 |
|---|---|
| Microsoft セキュリティ開発ライフサイクル (SDL) | Microsoft セキュリティ開発ライフサイクル (SDL) には、エンジニアリングと開発のすべてのフェーズを通じて、セキュリティのベスト プラクティス、ツール、およびプロセスが導入されています。 |
| OneFuzz サービス | 脅威モデリング、静的分析、ファジー テスト、コード品質チェックなど、さまざまなツールと手法により、1 日目からチームのすべてのエンジニアが継続的なセキュリティ値を Windows に埋め込めます。 Microsoft エンジニアは、SDL プラクティスを通じて、コードがリリースされる前に開発ワークフローと全体的な製品セキュリティを向上させるために、アクション可能で最新の方法を継続的に提供しています。 |
| Microsoft Windows Insider Preview 報奨金プログラム | Microsoft の安全な開発プロセスの一環として、Microsoft Windows Insider Preview 報奨金プログラムは、対象となる世界中の研究者を招待して、最新のWindows Insider Preview (WIP) 開発チャネルで再現される脆弱性を見つけて提出します。 Windows Insider Preview報奨金プログラムの目標は、最新バージョンの Windows を使用して顧客のセキュリティに直接的かつ実証可能な影響を与える重大な脆弱性を明らかにすることです。 この世界中の研究者とのコラボレーションを通じて、開発中に以前に見つからなかった重大な脆弱性を特定し、最終的な Windows をリリースする前に問題を迅速に修正します。 |
Certification
| 機能名 | 説明 |
|---|---|
| 一般的な基準認定 | 共通基準 (CC) は、現在、共通基準認識の取り決めに参加する各国政府によって維持されている国際基準です。 CC は、セキュリティ機能要件、セキュリティ保証要件、および評価対象の製品が機能および保証の要件を満たしていることを確認するために使用される評価手法に関する一般的な分類を定義します。 Microsoft は、関連する共通抽出条件保護プロファイルに必要な機能を製品に組み込み、Microsoft Windows 製品の共通基準認定を完了することを保証します。 |
| 連邦情報処理標準 (FIPS) 140 検証 | 連邦情報処理標準 (FIPS) パブリケーション 140 は、IT 製品の暗号化モジュールの最小セキュリティ要件を定義する米国政府標準です。 Microsoft は、FIPS 140 標準の要件を満たすという積極的なコミットメントを維持し、FIPS 140-2 に対する暗号化モジュールを 2001 年に初めて確立して以来検証しています。 Windows 11、Windows 10、Windows Server、および多くのクラウド サービスを含む複数の Microsoft 製品では、これらの暗号化モジュールを使用します。 |
安全なサプライ チェーン
| 機能名 | 説明 |
|---|---|
| ソフトウェア部品表 (SBOM) | SBOM は、Windows サプライ チェーンのさまざまな段階を進むにつれて、コンテンツの透明性と実証を提供するために利用されます。 これにより、各サプライ チェーン セグメント間の信頼が可能になり、インジェスト中や途中で改ざんが行われないようにし、お客様に出荷する製品に対して証明可能な一連のカストディを提供します。 |
| Azure Code の署名 | Windows Defender アプリケーション制御 (WDAC) を使用すると、デバイスで実行できる内容を制御するためのポリシーを定義できます。 WDAC ポリシーは、Microsoft Intuneなどの MDM ソリューションを使用してデバイスにリモートで適用できます。 WDAC の有効化を簡略化するために、組織は、WDAC ポリシーとアプリに署名するためのセキュリティで保護されたフル マネージド サービスである Azure Code Signing を利用できます。 Azure Code Signing を使用すると、Microsoft マネージド証明機関によってサポートされるターンキー サービスによるコード署名の複雑さが最小限に抑えられ、署名証明書を調達して自己管理する必要がなくなります。 このサービスは他の Azure リソースと同様に管理され、主要な開発ツールセットや CI/CD ツールセットと簡単に統合されます。 |
| Windows アプリケーション ソフトウェア開発キット (SDK) | 開発者は、最新の Windows セーフガードの恩恵を受ける高度にセキュリティで保護されたアプリケーションを設計する機会があります。 Windows アプリ SDKには、Windows 用のセキュリティで保護されたデスクトップ アプリを開発するための一連の API とツールが統合されています。 最新かつ保護されたアプリを作成するために、SDK は、主要な Windows オペレーティング システムと同じセキュリティ標準、プロトコル、コンプライアンスに従います。 |