Windows 11でランサムウェア保護を有効にする方法
目次
- 有効化手順
- 有効化後の使い方
- 有効化すべき3つの理由
- なぜ初期状態で無効なのか
- 管理者向けチェックリスト
- インシデント対応プレイブック(簡易)
- 選択肢と代替アプローチ
- テストと受け入れ基準
- よくある質問
- 用語集(ワンライナー)
有効化手順
前提: これらの操作を行うには管理者権限が必要です。ゲストや標準ユーザーはこの機能にアクセスできません。
- スタートボタンをクリックし、表示されたメニューから「設定」を開きます。タスクバーのピン留めや検索バーで「設定」と入力して開くこともできます。
- 「プライバシーとセキュリティ」を選択します。
- 「Windows セキュリティ」メニューを見つけて「Windows セキュリティを開く」をクリックします。
- 「ウイルスと脅威の防止」を選び、下にスクロールして「ランサムウェア保護」を探します。
- 「ランサムウェア保護の管理」をクリックします。
- 右ペインにある「制御されたフォルダー アクセス」を見つけ、スイッチをオンにします。
- 必要に応じて、既知のアプリを「許可されたアプリ」に追加します(後述)。
重要: 大企業や管理ツールがある環境では、グループポリシーやエンタープライズ向け管理(Intune等)で設定が優先される場合があります。変更前にIT管理者と調整してください。
有効化後の使い方
ランサムウェア保護を有効にすると、未知のプロセスが保護対象のフォルダーにアクセスする際にブロックされます。正当なアプリが誤検知で動作しなくなることがあるため、次の点を運用してください。
許可アプリの追加手順
- 「制御されたフォルダー アクセス」設定内で「制御されたフォルダー アクセスでアプリを許可する」をクリックします。
- 「許可されたアプリを追加」→「すべてのアプリを参照」または「最近ブロックされたアプリ」を選択します。
- 「すべてのアプリを参照」を選ぶと.exe実行ファイルを選択できます。「最近ブロックされたアプリ」からは過去にブロックされた項目を確認・復元できます。
- よく使うアプリや社内ツールは、誤検知を防ぐために「保護されたフォルダー」にフォルダー単位で追加してください。
運用上の注意:
- インストーラーや自動更新のプロセスを許可する場合は、インストーラーが実行する実行ファイル(.exe)を明確に確認してから追加してください。
- 権限のないユーザーが不用意にアプリを許可できないよう、管理者権限で設定を統制しましょう。
有効化すべき3つの理由
1. 身代金要求(恐喝)や不正利用を防げる
ランサムウェアはファイルを暗号化して利用不能にし、復旧のための身代金を要求します。ランサムウェア保護は未知のプロセスが重要フォルダーに書き込み・変更するのをブロックし、被害の発生そのものを抑制します。
2. データ消失・破損・漏洩リスクを低減
暗号化だけでなく、削除や破損、外部へのデータ送信を伴う攻撃もあります。ランサムウェア保護は疑わしいプロセスを検出して隔離・通知するため、早期対応が可能になります。
3. 追加の防御層を提供する
既存のウイルス対策ソフト(第三者製)と併用することで多層防御(defense-in-depth)を実現できます。特にエンドポイントでの書込み制御は有効な補完機能です。
なぜ初期状態で無効なのか
偽陽性(正当なソフトを誤検知)を避けるため
導入初期に保護を有効化すると、開発ツールや社内業務アプリが誤検知され業務停止につながることがあります。初期無効はこれを避けるための配慮です。
第三者製アンチウイルスを使用している場合
サードパーティのアンチウイルス製品をインストールすると、Windows セキュリティがその役割を譲渡し、機能が無効化されることがあります。企業では専用のセキュリティスイートを導入する運用が一般的です。
既にマルウェアに侵害されている可能性
感染済みシステムでは、マルウェアがセキュリティ機能を無効化している場合があります。セキュリティがオフの場合は、まず別の安全な環境からのスキャンやリカバリを検討してください。
管理者向けチェックリスト
- 組織のポリシーとしてランサムウェア保護の有効化を検討・承認
- 管理者アカウントで全端末の設定を確認
- グループポリシー / Intune で一元管理できるテンプレートを作成
- 保護対象フォルダー(ドキュメント、デスクトップ、共有ドライブ等)を定義
- 許可アプリのホワイトリストを作成・レビュー(インストーラ・更新プロセスを含む)
- 定期的な監査ログ(ブロック履歴)と通知設定を有効化
- 復旧手順(バックアップの検証、オフラインバックアップ)を確立
- ユーザー向け操作マニュアルと誤検知時の申請フローを用意
インシデント対応プレイブック(簡易)
- 検知と隔離
- Windows セキュリティがランサムウェアを検知したら、まず感染端末をネットワークから切り離す。
- 状況把握
- ブロック履歴とイベントログを収集して、どのプロセス/ファイルが関与したかを特定する。
- バックアップの確認
- 最新のバックアップが安全か確認し、必要なら復元計画を立てる。
- フォレンジック
- 必要に応じて専門家(SOC / 外部フォレンジック)にエスカレーションする。
- 復旧と再発防止
- 感染原因を修正(パッチ、設定変更、ユーザー教育)し、全端末で保護設定を見直す。
重要: 身代金の支払いは推奨されません。支払ってもデータが戻る保証はなく、二次被害につながることがあります。
選択肢と代替アプローチ
Windows 標準の「ランサムウェア保護」を使う
- 長所: OSと統合されており軽量、管理が容易
- 短所: 大規模環境では詳細制御が不足する場合がある
サードパーティのEDR/アンチランサムウェア製品を導入する
- 長所: 高度な検知、中央管理、脅威インテリジェンスの統合
- 短所: コストと運用負荷、既存ツールとの競合
ネットワーク分離と堅牢なバックアップ戦略でリスクを低減する
- 長所: 被害を最小化し復旧時間を短縮
- 短所: 設計と運用の工数が必要
どの選択肢を採るにしても「多層防御(複数の防御策を併用)」が推奨されます。
テストと受け入れ基準
導入後に以下のテストを実施し、受け入れ基準を満たしていることを確認してください。
- 保護対象フォルダーに対する未知プロセスの書込みがブロックされることを確認(テスト用スクリプトで検証)
- 正常な業務アプリが保護により影響を受けないこと(インストール・更新のフローを検証)
- 最近ブロックされた項目のログが正しく記録され、管理者に通知されること
- 許可アプリの追加・削除が管理者権限で正しく機能すること
- 侵害シナリオを模擬した際に、復旧手順(バックアップ復元)が所定時間内に完了すること
受け入れ条件: 上記すべてのテストで「致命的な業務停止が発生しない」「検知とログ取得が正常に行われる」の両方が満たされること。
よくある質問
ランサムウェア保護をオンにすべきですか?
はい。個人・法人問わず、ランサムウェアによるデータ喪失や身代金要求のリスクを下げるため有効化を推奨します。ただし、導入時は誤検知対策とユーザー教育を行ってください。
ランサムウェアに感染しているかどうかはどう判断しますか?
- PCの動作が極端に遅い、頻繁にフリーズする
- ファイル名が突然変わる、拡張子が不明なものに変わる
- デスクトップやドキュメントが開けない、身代金要求のメッセージが表示される これらの兆候がある場合は、直ちにネットワークから切り離し、復旧手順を開始してください。
ランサムウェアはデータを盗むことがありますか?
一部のランサムウェアは暗号化だけでなく、データを外部に送信(窃取)する機能を持っています。したがって、身代金を支払ってもデータ漏洩のリスクは残ります。
互換性と移行の注意点
- サードパーティ製アンチウイルスを使っている環境では、ワークフローや検知ルールが競合する場合があります。導入前にベンダー間の互換性を確認してください。
- エンタープライズではグループポリシーやMDMで設定を配布するのが運用上望ましく、ローカル設定は最小限に留めるべきです。
プライバシーとデータ保護の注意
ランサムウェア保護自体はファイルのバックアップや内容をクラウドへ転送する機能を持ちませんが、検知ログやイベント情報がMicrosoftのサービスへ送信される設定になっている場合があります。組織でGDPRや個人情報保護の要件がある場合は、ログの扱いやデータ転送ポリシーを明確にしてください。
用語集(ワンライナー)
- ランサムウェア: ファイルを暗号化して復号と引き換えに金銭を要求するマルウェア。
- 制御されたフォルダー アクセス: Windows の機能で、指定フォルダーへの不正な変更をブロックする。
- 偽陽性(誤検知): 正常なアプリをマルウェアとして誤って判定すること。
まとめ
ランサムウェア保護はWindows 11の有用な機能で、正しく有効化し運用すれば被害を未然に防げます。一方で誤検知への対応、許可アプリの管理、バックアップと復旧計画の整備がセットで必要です。個人でも企業でも、多層防御と標準化された運用手順を整えた上で導入してください。
画像クレジット: Unsplash
