Windows 11に搭載されているセキュリティ機能「Smart App Control(SAC)」が、長年の制約をついに乗り越えた。これまでSACを一度でも無効にしてしまうと、OSを再インストールしない限り再有効化できないという仕様が大きな足かせになっていたが、4月14日からの段階的ロールアウトでこの制限が解消される。

Smart App Controlとは何か

Smart App Control(SAC)は、Windows 11 22H2で導入されたアプリケーション制御機能だ。Microsoftのクラウドベースの機械学習モデルを使い、信頼されていないアプリや悪意のあるコードの実行をブロックする。Windows Defenderのシグネチャベースの検出とは異なり、アプリの「評判」と「コード署名」を組み合わせてリアルタイムで判断する仕組みで、ゼロデイ攻撃やフィッシング経由のマルウェアに対して特に有効だ。

これまでの問題点

導入以来、SACには致命的なUX上の欠陥があった。新規インストール時や初期状態では「評価モード」として動作し、アプリの互換性を自動判断する。ここで互換性上の問題が発生すると自動的に無効化されるのだが、一度オフになったら二度と元に戻せないという仕様だった。

企業環境ではこの挙動が特に問題視されていた。展開済みのPCにSACを適用しようとすると、全台クリーンインストールが必要という現実離れした要件が障壁となり、多くの組織が導入を断念せざるを得なかった。

4月更新で何が変わるか

4月14日から段階ロールアウトが始まる更新では、Windows Security(Windowsセキュリティ)の設定画面からSACを直接有効化・無効化できるようになる。システムの再インストールは不要だ。

これにより次のようなシナリオが現実的になる:

  • 既存PCへのSAC展開:IT管理者がグループポリシーやIntuneを使って、運用中のPCに一括でSACを有効化できる
  • テスト・検証の容易化:互換性検証環境でSACを一時的に無効にして検証し、問題がなければ再有効化するワークフローが組める
  • 段階的セキュリティ強化:重要システムから順次SACを有効化していくといった柔軟な展開計画が立てられる

実務への影響 — 日本のエンジニア・IT管理者にとっての意味

まず確認すべきこと: 自社のWindows 11端末でSACの現在の状態を把握しよう。「Windowsセキュリティ」→「アプリとブラウザーのコントロール」→「スマートアプリコントロール」から確認できる。

Intune管理者へ: 4月14日以降、Configuration Profileや設定カタログでSACを管理できるかどうかMicrosoftのドキュメント更新を注視すること。エンドポイントセキュリティのベースラインポリシーに組み込める可能性が高い。

業務アプリとの互換性検証: SACは署名されていないアプリや評判スコアが低いアプリをブロックする。社内開発のツールやレガシー業務アプリが影響を受ける可能性があるため、評価モードで動作させながら互換性を事前確認しておくことを強く推奨する。

注意点: 段階的ロールアウトのため、4月14日時点では全端末に即座に反映されない。winverWindows Updateの状態と合わせてリリースノートを継続確認すること。

筆者の見解

この変更は一見「小さな使い勝手の改善」に見えるが、実態はWindowsのエンタープライズセキュリティ戦略における重要な転換点だと評価している。

Microsoftはここ数年、「Security by Default(デフォルトでセキュア)」を掲げてWindows 11のセキュリティ機能を強化してきた。しかし、どれだけ優れた機能でも「展開できない」では意味がない。クリーンインストール必須という制約は、現実の企業IT運用とのギャップが大きすぎた。この制約解消は、SACを「理論上あるセキュリティ機能」から「実際に使えるセキュリティ機能」へと昇格させるものだ。

日本企業のエンドポイントセキュリティを見ると、まだEDRやXDR導入が進んでいない中堅・中小企業も多い。そういった組織にとって、追加コストなしで利用できるSACは、ランサムウェアや標的型攻撃への有効な第一防衛線になりうる。

今後はIntune経由での一元管理や、Microsoft 365 Defenderダッシュボードとの統合が強化されていくはずだ。Windows 11移行と合わせて、SACを組み込んだエンドポイントセキュリティポリシーの再設計を検討するタイミングが来た。

出典: この記事は This Windows 11 feature no longer requires clean-installing the system to activate it の内容をもとに、筆者の見解を加えて独自に執筆したものです。