前回のSecurity Essentialsをお勧めする記事

期限切れのウイルス対策ソフトを捨てる勧め - dohsenのあずましい暮らし

を書いていて、何とも物足りない感じがあったため、今回はWindowsの標準機能とマイクロソフトが無償提供しているもののみでそれなりのセキュリティを確保する仕組みを記述する。とはいってもさして目新しいものではない。

Windows Update

Windowsや関連プロダクト、ドライバ等のパッチがMS社から提供される仕組み。最近は大抵デフォルトで自動更新になっているので「再起動してください」という表示がでたり、シャットダウン時にパッチ適用が動いてなかなかPCのシャットダウンが終わらずにユーザをイライラさせたりもするが、だからと言ってむやみにOFFにしたりせず、こまめに適用を行うようにしたい。

ちなみにMS標準以外でもJREやAdobe ReaderやFlash Player、ブラウザ等もそれぞれ独自にアップデートプログラムが動いていてそれぞれ通知を出してきたりするが、これらも面倒がらずに「更新」を行うことが大切である。

Windows ファイアウォール

Windows標準機能として提供される、外部ネットワークからの悪意あるアクセスや攻撃を防ぐ「ファイアウォール」。様々なポートで通信したりする場合、ファイアウォールを細かく設定せねばならず割と面倒なため企業内とかではさっくり「無効にしてください」とか言われたりするが、個人で利用する場合は自己防衛としてONにしておきたい。特に公共のWi-Fiサービスを利用するとか大学のネットワークに自分のPCをつなぐような場合は必ずONにするべきである。

ブラウザやOS標準機能の通信程度ならばONにしただけでも特に問題はないはずだが、他ではあまり利用しないポート番号を利用して通信するようなソフトウェアを利用する場合は個別にファイアウォールの設定を行わなければならない場合があるので注意。

Windows Defender

Windows標準機能として提供される、マルウェア（日本の報道では「悪意のある不正ソフトウェア」等と呼ばれる）対策ソフトウェア。デフォルトでONになっている上、あまり話題になることもない存在のため動いていることもあまり認識されていなかったりするが、さりげなくWindows Update経由で更新され続け、ひっそりとPCをマルウェアから守るために働いている。

前回の記事でも書いたが、Windows 8.xではSecurity Essentialsと統合され、マルウェアのみならずウィルスやルートキットの検出もできるようになった。

Security Essentials

前回の記事で紹介した、Microsoftが（家庭内およびホームオフィスでの個人利用のみ）無償提供するウィルス対策ソフトウェア。Vista/7に対応する。OS標準搭載ではないため、Microsoft社のサイトからダウンロードしてインストールする必要がある。

最高の性能というわけではないが、個人に無償で提供され、またOSのサポート期間内は特に手続き等の必要なく淡々とパターンファイルをアップデートしてくれるのでセキュリティの意識が低いにもかかわらずウィルス対策ソフトウェアに金など払えん、というようなユーザのPCにこっそりインストールしておくには最適である。

前述の通り、Windows 8.xではWindows Defenderに統合されてOS標準搭載となったため、ウィルス対策ソフトがなければ勝手に起動して勝手にウイルス対策を始めるようになっている。そのため、Windows 8.xの場合は期限付きサードパーティ製ウイルス対策ソフトウェアが期限切れ後も放置されるぐらいなら、最初からそんなものは言っていない方がセキュアな状態が保たれる、という悲しい状態となっている。残念なことに、サードパーティ製ウイルス対策ソフトウェアが期限切れで更新されなくなったとしても、常駐している限りWindows Defenderのウイルス対策機能は無効のままである。ウイルス対策ソフトウェアの多重起動はシステムを不安定にする可能性ので正しい動作なのだが、余計なソフトウェアのせいでセキュリティが低下するのは非常に残念なので、Windows 8.xが入ったPCを購入後、ウイルス対策ソフトウェアが期限切れとなった後に追加費用を負担したくない人はさっさとアンインストールだけしてしまうとよい。

Enhanced Mitigation Experience Toolkit（EMET）

Enhanced Mitigation Experience Toolkit - EMET

Microsoftから無償提供される脆弱性緩和ツールである。メモリの保護が主な機能であり、パターン解析や挙動の監視を行う上記のWindows DefenderやSecurity Essentialsとは異なる手法で防御を行う。そのためこれらは併用することでより強固なセキュリティを確保することができる。

プログラムに脆弱性があり、メモリに不正な書き込みが行われると、EMETはプログラムを強制終了してOSを保護する。この機能は非常に強力で容赦がないため、MS Officeのような自社製品であっても怪しい挙動があれば容赦なく強制終了してしまう。一部のソフトウェアではEMETが怪しいと検知する動作を故意に行っているような場合や自前でメモリ保護機能を持つソフトウェアとは相性が悪い場合もあるため、信用できるソフトウェアについては個別に動作を許可するなどの設定が必要となる。

メモリを監視して不正を発見するという仕組み上、ゼロデイ脆弱性などに対処できる可能性があり、セキュリティパッチが未提供の脆弱性にある程度の効果が期待できる。ただ、実行中のものを監視するため100%発見できない場合もあり、また既知の脆弱性はメモリを監視するよりもそもそもパッチを当てて不正な挙動を防いだ方が確実に安全を確保できるため、EMETがあればセキュリティパッチは不要、というものではなく、パッチを適用したうえでさらに未知の脆弱性に備える、という意味での利用が正しいと言える（特に前述のように個別に許可したソフトウェアはパッチで防御を固める必要がある）。

正直なところ、こいつをWindows DefenderやSecurity Essentialsと併用してきっちり運用するともう有償のセキュリティソフトウェアの購入は不要ではないか、というぐらいにがっちり守りを固めることができる。（迷惑メール対策などはさらに必要だろうが、最近はGmailやOutlook.comなどでは非常に強力なスパムフィルタが提供されているので個人で用意する必要性は薄れつつあるかもしれない）

Windowsセキュリティセンター(アクションセンター)による確認

これは直接セキュリティを高める機能ではないが、セキュリティに問題がありそうな場合に通知してくれる機能。 Windows ファイアウォール、Windows Defender、Windows Updateと連動し、これらが停止していたり更新されていない場合にユーザに通知してくれる。また、ウイルス対策ソフトがない場合も警告してくれる。

さほど高機能ではないが、最初のうちはここに表示される通知に対応していくことで問題を減らしていくことができる。

以上の対策を行い、常に最新の状態を保てば追加費用を発生しないわりにかなりましなセキュリティを確保することができるだろう。