Visuality Systemsは、SMBプロトコルソリューションのリーディングカンパニーとして、常に最新のセキュリティ強化に取り組んでいます。
攻撃や不正アクセスからの防御を強化するために導入された9つの主要なセキュリティ対策に、当社のソリューションはすべて対応しており、堅牢かつ将来性のあるSMB環境の実現を支援します。
以下はそれぞれの変更点について、「どのような対策か?」「変更前後で何が変わるか?」「セキュリティへの影響は?」という観点でわかりやすく解説しています。
また、下記に掲載している各エピソードに加え、9つのチュートリアルをまとめた総集編動画もご用意しています。ぜひご活用ください。
1. SMB署名がデフォルトで必須に
どのような対策か:SMB署名は、SMBメッセージに暗号署名を行うことで、改ざんや中間者攻撃を防ぐセキュリティ機能です。
変更前:SMB署名は任意設定で、IT管理者が明示的に有効化する必要がありました。
変更後:WindowsではSMB署名がデフォルトで有効となり、すべての接続で署名が必須となりました。これにより、データの完全性とセキュリティが大幅に向上します。
🔗 詳しい解説記事とチュートリアル動画はこちらをご覧ください。
2. SMB NTLM ブロック
どのような対策か:NTLMは中継攻撃(リレー攻撃)に弱い古い認証プロトコルで、SMB経由での悪用リスクがありました。今回の対策では、SMBでNTLM認証を使用できないようにする新しいポリシーが導入されています。
変更前:SMBはNTLMによる認証を許可しており、攻撃者に悪用される可能性がありました。
変更後:現在はNTLMによる認証がデフォルトでブロックされ、クライアントはKerberosなどのより強力な認証方式を使う必要があります。
🔗 詳しい解説記事とチュートリアル動画はこちらをご覧ください。
3. SMBの安全でないゲスト認証がデフォルトで無効に
どのような対策か:ゲスト認証とは、ユーザー認証なしでSMB共有にアクセスを許可する仕組みで、しばしばセキュリティリスクの原因となります。
変更前:
Windows Pro Editionでは、ゲストアクセスが既定で有効になっており、誰でも共有に接続できる可能性がありました。
変更後:現在はゲスト認証がデフォルトで無効となり、不正アクセスのリスクを大幅に低減できるようになりました。
🔗 詳しい解説記事とチュートリアル動画はこちらをご覧ください。
4. SMBバージョン(ダイアレクト)管理
どのような対策か:SMBバージョン管理(ダイアレクト管理)とは、IT管理者が使用を許可するSMBプロトコルのバージョンを制限できる機能です。これにより攻撃対象領域の削減が可能です。
変更前:SMBクライアントとサーバーは、古くてセキュリティの低いバージョンでもネゴシエーションによって接続できる状態でした。
変更後:IT管理者は安全なSMBバージョンのみを許可するよう制限を強制できるようになり、古いバージョンに起因する脆弱性を排除できるようになりました。
🔗 詳しい解説記事とチュートリアル動画はこちらをご覧ください。
5. SMBクライアント暗号化の必須設定をサポート
どのような対策か:この機能により、SMBクライアントが暗号化された接続を必須とすることが可能になり、保護されていないデータ通信が行われるのを防ぐことができます。
変更前:暗号化はサーバー側でしか義務づけられておらず、クライアント側では制御できませんでした。
変更後:SMBクライアント側でも暗号化を必須に設定できるようになり、すべての通信を安全に保つことができるようになりました。
🔗 詳しい解説記事とチュートリアル動画はこちらをご覧ください。
6. リモートメールスロットは非推奨となり、デフォルトで無効に
どのような対策か:リモートメイルスロットは、古いIPC(プロセス間通信)メカニズムであり、セキュリティ上の脆弱性が指摘されているため、現在は非推奨となっています。
変更前:リモートメールスロットはデフォルト有効化されており、システムが悪用されるリスクがありました。
変更後:現在はデフォルトで無効化されており、古いプロトコルによるセキュリティリスクが軽減されています。
🔗 詳しい解説記事とチュートリアル動画はこちらをご覧ください。
7. SMB over QUIC がすべての Windows Server エディションで利用可能に
どのような対策か:SMB over QUIC は、TLS 1.3 を使用してインターネット経由でも暗号化されたVPN不要のSMBファイルアクセスを実現する通信方式です。
Before: SMB required VPNs or direct network exposure, increasing attack risks.
変更前:SMBでリモートアクセスを行うにはVPN接続や、攻撃リスクの高いネットワーク公開が必要でした。
変更後:QUICを使うことで、セキュアでトンネル不要のエンドツーエンドに暗号化されたリモートファイルアクセスが可能になりました。
🔗 詳しい解説記事とチュートリアル動画はこちらをご覧ください。
8. SMB over QUIC クライアント アクセスコントロール
どのような対策か:この機能により、許可リストとブロックリストを用いて接続可能なクライアントを制限できるようになりました。
変更前:サーバー証明書を信頼していればどのクライアントでも接続可能でした。
変更後:IT管理者がクライアント制御を厳格に適用できるようになり、不正アクセスのリスクが軽減されます。
🔗 詳しい解説記事とチュートリアル動画はこちらをご覧ください。
9. SMBの代替ポート機能
どのような対策か:SMBは従来のTCP 445番ポートに加え、任意の代替ポートでも通信できるようになり、ネットワークのセキュリティと柔軟性が向上しました。
変更前:SMB接続は固定された既知のポートに限定されており、攻撃者に狙われやすい状況でした。
変更後:IT管理者はTCP、QUIC、RDMAそれぞれに対して代替ポートを設定可能になり、セキュリティ対策の幅が広がりました。
🔗 詳しい解説記事とチュートリアル動画はこちらをご覧ください。
なぜこれらの対策が重要なのか
これらのセキュリティ強化策をすべて適用することは、機密データの保護、攻撃の防止、そして最新のセキュリティ基準への準拠に欠かせません。
Visuality Systemsでは、Microsoftの最新セキュリティ施策に準拠したSMBソリューションを提供し、強力なセキュリティと既存環境へのスムーズな統合を実現しています。
導入をご検討中ですか?
設定や運用に関するご相談、サポート、または評価・テストのご希望があれば、お気軽にお問い合わせください。
Raphael Barki, Head of Marketing, Visuality Systems
