Windows標準のランサムウェア対策｜有効化の手順とトラブル対処法

企業のPCをランサムウェアの脅威から守るため、Windows標準の「ランサムウェアの防止」機能の具体的な設定方法をお探しではありませんか。この標準セキュリティは追加費用なしで利用できる強力な対策ですが、正しく設定・運用しなければ、業務アプリの動作を妨げたり、十分な保護効果を発揮できなかったりする可能性があります。この記事では、OSバージョン別の有効化手順から、企業環境での詳細な設定、OneDriveとの連携、トラブルシューティングまでを網羅的に解説します。これにより、Windows標準機能だけで実現できるセキュリティレベルを最大限に高めることができます。

Windows標準のランサムウェア対策とは

「ランサムウェアの防止」機能の概要

Windowsに標準で搭載されている「ランサムウェアの防止」機能は、悪意のあるプログラムによるファイルの不正な暗号化から企業の重要データを保護する基本的なセキュリティ機能です。追加のライセンス費用なしで利用でき、サイバー攻撃、特に金銭を要求するランサムウェアによる事業継続への脅威が高まる現代において、OSレベルで組み込まれた重要な防御策となります。

この設定を有効にすると、未知の不審なプログラムが保護対象のファイルへ変更を加えようとする動きをシステムが検知し、自動的にブロックします。この標準機能を適切に活用し、社内のセキュリティポリシーに組み込むことで、企業はデータ破壊や暗号化のリスクを低減し、堅牢なデータ保護体制の第一歩を築くことが可能です。

保護の仕組み「コントロールされたフォルダーアクセス」

「ランサムウェアの防止」機能の中核をなすのが、「コントロールされたフォルダーアクセス」という仕組みです。これは、あらかじめ指定されたフォルダーへの書き込み権限を厳しく監視し、許可されていないアプリケーションによるアクセスを遮断します。

ランサムウェアはシステム侵入後、ドキュメントやピクチャといったユーザーの主要なデータフォルダーを標的に暗号化を実行します。この機能は、それらの重要なフォルダーを保護対象としてデフォルトで設定し、Microsoftが安全と認めたアプリや管理者が明示的に許可したソフトウェア以外によるファイル変更を阻止します。これにより、万が一マルウェアに感染した場合でも、重要データの破壊や暗号化を未然に防ぐことができます。

機能の有効化手順（OS別）

Windows 11での有効化手順

Windows 11でランサムウェアの防止機能を有効にするには、以下の手順で設定します。最新OSのUIに合わせて社内マニュアルを整備し、全従業員に設定を徹底させることが推奨されます。

Windows 10での有効化手順

Windows 10環境では、以下の手順でランサムウェア防止機能を有効にします。OSのバージョンが混在する環境でも、それぞれの端末で確実に保護設定を適用することが重要です。

コントロールされたフォルダーアクセスの詳細設定

保護するフォルダーを追加・削除する方法

標準で保護されるフォルダー（ドキュメント、ピクチャなど）以外にも、企業独自の業務データが保存されているフォルダーは手動で保護対象に追加する必要があります。企業のデータ保管状況に合わせて設定をカスタマイズすることで、より実効性の高い保護体制を構築できます。

設定は「ランサムウェア防止の管理」画面にある「保護されているフォルダー」から行い、「保護されたフォルダーを追加する」を選択して任意のフォルダーを指定します。業務内容の変更などで保護が不要になった場合は、一覧から削除することも可能です。定期的に保護対象を見直す運用が組織の防衛力を高めます。

特定のアプリによるアクセスを許可する方法

コントロールされたフォルダーアクセスを有効にすると、業務で利用する正規のアプリケーションであっても、システムに認識されていない場合はアクセスがブロックされることがあります。特に、自社開発のシステムや専門的なソフトウェアで発生しがちです。

このような場合は、「ランサムウェア防止の管理」画面の「アプリをコントロールされたフォルダーアクセスで許可する」から、安全性が確認されたソフトウェアの実行ファイルを個別に登録します。これにより、セキュリティを確保しつつ、業務への影響を最小限に抑えることができます。情報システム部門が申請に基づいて許可リストを一元管理する運用が理想的です。

ブロック履歴の確認と対処法

アプリケーションによるファイルアクセスがブロックされると、多くの場合、タスクバーに通知が表示されます。通知を見逃した場合でも、「Windows セキュリティ」の「ウイルスと脅威の防止」セクションにある「保護の履歴」から、いつ、どのアプリがブロックされたかを確認できます。

履歴を確認し、ブロックされたアプリが業務上必要かつ安全であると判断できる場合に限り、「操作」メニューからデバイスでの動作を許可します。原因を特定せずに放置すると業務効率が低下するため、ブロック発生時には迅速に履歴を確認し、適切に対処する手順を確立しておくことが重要です。

企業で運用する際の注意点とアプリ許可の判断基準

企業でこの機能を運用する際は、利便性だけを優先して安易にアプリを許可すると、セキュリティレベルが低下する本末転倒な事態を招きます。厳格な判断基準と統制が必要です。

設定できない場合のトラブルシューティング

項目が表示されない原因と対処法

ランサムウェア防止の設定項目自体が表示されない場合、最も一般的な原因は他社製のウイルス対策ソフトウェアがインストールされていることです。

Windowsは、サードパーティ製のセキュリティソフトが有効になっていると、機能の競合を避けるために標準の「ウイルスと脅威の防止」関連の機能を自動的に無効化し、設定画面を非表示にします。この場合、導入しているセキュリティソフトが提供するランサムウェア対策機能を利用するか、そのソフトをアンインストールしてWindows標準機能に切り替えるかの選択が必要です。

設定をオンにできない原因と対処法

設定のスイッチがグレーアウトして操作できない場合、主に管理者権限の不足、または組織のグループポリシーによる一括管理が原因です。

企業環境では、情報システム部門が全社のPC設定を統一的に管理するため、個々のユーザーによるセキュリティ設定の変更を意図的に禁止していることがよくあります。設定画面に「この設定は管理者によって管理されています」といったメッセージが表示されている場合は、ユーザー自身では解決できません。社内の情報システム部門に連絡し、組織のポリシーに従って対応を依頼してください。

OneDrive連携による保護強化

OneDrive連携の仕組みとメリット

Windows標準のランサムウェア対策と、MicrosoftのクラウドストレージであるOneDriveを連携させることで、データ保護レベルを飛躍的に向上させることができます。これは、ローカルとクラウドを組み合わせた多層的な防御策となります。

この二重の保護メカニズムは、ランサムウェア攻撃だけでなく、ハードウェアの故障といった物理的なリスクからもデータを守る有効な手段となります。

クラウドバックアップの活用方法

OneDriveによるクラウドバックアップを最大限に活用するには、自動同期と高度なセキュリティ機能を組み合わせた運用が効果的です。これにより、人為的なミスを防ぎつつ、データの安全性を高めることができます。

こうした運用を社内で標準化することで、万が一ランサムウェア被害が発生しても、迅速にデータを復元し、事業への影響を最小限に抑えることが可能になります。

標準機能だけで対策は十分か

Windows標準機能の保護範囲

Windows標準のランサムウェア対策は、指定されたフォルダー内のデータを不正な書き換えから守る上で非常に有効ですが、それだけで企業のセキュリティ対策が万全になるわけではありません。この機能の保護範囲と限界を正しく理解することが重要です。

この機能は、あくまでファイルへの書き込みを監視するものであり、ランサムウェアの侵入経路そのもの（例: 巧妙なフィッシングメール、脆弱性を悪用したネットワーク経由の侵入など）をすべて防ぐことはできません。あくまで多層的な防御の一部と位置づけるべきです。

多層防御の考え方と補完策

単一の防御策に依存するのは非常に危険です。現代のサイバー攻撃に対抗するには、複数のセキュリティ対策を層のように重ねる「多層防御」の考え方が不可欠です。Windows標準機能は、その最も基本的な層（エンドポイント保護）と捉え、他の対策で補完する必要があります。

攻撃者による無効化を防ぐ「改ざん防止」機能の併用

攻撃者はシステム侵入後、自らの活動を隠蔽するために、ウイルス対策ソフトなどのセキュリティ機能を無効化しようと試みます。この試みを防ぐために、Windowsセキュリティに搭載されている「改ざん防止」機能を必ず有効にしてください。

この機能をオンにしておくことで、管理者権限を持つユーザーや正規のアプリ以外からのセキュリティ設定（リアルタイム保護やクラウドベースの保護など）の変更がブロックされます。「コントロールされたフォルダーアクセス」と併用することで、防御の信頼性を高めることができます。

よくある質問

有効にするとPCの動作は重くなりますか？

「コントロールされたフォルダーアクセス」を有効にしても、通常、PCの動作が体感できるほど重くなることはありません。この機能はOSに深く統合されており、常にシステム全体をスキャンするのではなく、保護フォルダーへの書き込みアクセスが発生した瞬間にのみ軽量なチェックを行うため、パフォーマンスへの影響は最小限に抑えられています。

保護すべきフォルダーの具体例は何ですか？

Windowsの標準ユーザーフォルダーに加えて、業務で利用するアプリケーションが独自に作成・利用するフォルダーも保護対象に追加することが推奨されます。これにより、保護の網羅性が高まります。

他社製ウイルス対策ソフト利用時も有効にすべきですか？

原則として、有効にする必要はありません。多くの他社製セキュリティソフトは、独自の高度なランサムウェア保護機能を備えています。Windows標準機能と同時に有効にすると、機能が競合してシステムの動作が不安定になったり、パフォーマンスが低下したりする可能性があります。導入しているセキュリティソフトの機能を優先し、そちらで適切な設定を行ってください。

設定画面に「操作は不要です」と表示されるのはなぜですか？

このメッセージは、お使いのPCのセキュリティ状態が正常に保たれていることを示しています。Windowsセキュリティが自己診断を行い、ウイルス対策機能が有効で、定義ファイルが最新の状態にあり、特にユーザーが対処すべき脅威や警告がないと判断した場合に表示されます。この表示が出ている間は、システムが適切に保護されていると理解して問題ありません。

まとめ：Windows標準機能でランサムウェア対策を強化するポイント

この記事では、Windows標準の「ランサムウェアの防止」機能について、その有効化手順から企業での運用ポイントまでを解説しました。中核となる「コントロールされたフォルダーアクセス」は、許可されていないアプリによるファイル暗号化を防ぐための重要な第一歩です。しかし、この機能だけで全ての脅威を防げるわけではなく、ファイアウォールやEDR、そして攻撃者がアクセスできないクラウドやオフラインでのバックアップなどを組み合わせた多層的な防御戦略が不可欠です。まずは自社のPCでこの機能が有効かを確認し、業務への影響を見ながら保護対象フォルダーや許可アプリを慎重に管理してください。企業全体で設定を統一する場合は、グループポリシーによる一元管理が推奨されます。本記事で解説した内容は一般的な手順であり、個別のセキュリティ環境に関する最終的な判断は、専門家へ相談することが重要です。

Baseconnect株式会社
サイト運営会社

本メディアは、「企業が経営リスクを正しく知り、素早く動けるように」という想いから、Baseconnect株式会社が運営しています。

当社は、日本最大級の法人データベース「Musubu」において国内1200万件超の企業情報を掲げ、企業の変化の兆しを捉える情報基盤を整備しています。

加えて、与信管理・コンプライアンスチェック・法人確認を支援する「Riskdog」では、年間20億件のリスク情報をAI処理、日々4000以上のニュース媒体を自動取得、1.8億件のデータベース等を活用し、取引先の倒産・不正等の兆候の早期把握を支援しています。

運営会社情報ページへ