業務で利用するWindows PCのセキュリティを強化したいとお考えではないでしょうか。
予期せぬアプリケーションの実行やマルウェア感染を防ぐには、許可されたソフトウェアのみを使えるようにする設定が有効です。
この記事では、AppLockerという機能を使って、特定のソフト以外を実行させない強固な制限をシステムに設定する手順を解説します。
これにより、組織のセキュリティポリシーを遵守し、安全な業務環境を構築できます。
【要点】AppLockerで許可ソフトのみ実行を可能にする
- AppLockerサービスを有効化: アプリケーション制御を機能させるための準備を行います。
- グループポリシーでAppLockerルールを設定: 許可するアプリケーションの条件を詳細に定義します。
- ルールを適用してシステムを保護: 設定したルールにより未許可のソフト実行をブロックします。
ADVERTISEMENT
目次
AppLockerとは?アプリケーション制御の仕組みと前提条件
AppLockerは、Windowsのセキュリティ機能の一つで、特定のアプリケーションの実行を許可またはブロックするルールを設定できます。
これにより、マルウェアの実行防止や、業務に関係ないソフトウェアの使用制限が可能となり、システムのセキュリティを大きく向上させます。
アプリケーションの実行を制御する仕組みは、アプリケーションの発行元情報、ファイルのパス、またはファイルのハッシュ値に基づいています。
この機能は、Windows 11 Pro、Enterprise、Educationエディション、およびWindows 10 Pro、Enterprise、Educationエディションで利用できます。
HomeエディションではAppLockerを使用できません。
特定のソフトのみ実行を許可するAppLocker設定手順
AppLockerを設定するには、まず関連サービスを有効にし、その後にグループポリシーエディターでルールを作成します。
AppLockerサービスの有効化
AppLockerが正しく機能するには、「Application Identity」サービスが実行されている必要があります。
- サービス管理ツールを開く
WindowsキーとRキーを同時に押し、「ファイル名を指定して実行」ダイアログを開きます。
「services.msc」と入力し、Enterキーを押します。「サービス」管理ツールが開きます。 - Application Identityサービスを探す
サービスの一覧から「Application Identity」を探し、ダブルクリックしてプロパティを開きます。 - スタートアップの種類を設定する
「全般」タブの「スタートアップの種類」を「自動」に設定します。 - サービスを開始する
「サービスの状態」が「停止」になっている場合は、「開始」ボタンをクリックしてサービスを開始します。
「適用」をクリックし、「OK」をクリックしてプロパティを閉じます。
グループポリシーエディターでのAppLocker設定
次に、ローカルグループポリシーエディターを使用してAppLockerルールを設定します。
- ローカルグループポリシーエディターを開く
WindowsキーとRキーを同時に押し、「ファイル名を指定して実行」ダイアログを開きます。
「gpedit.msc」と入力し、Enterキーを押します。「ローカルグループポリシーエディター」が開きます。
Windows 10でも同様の操作で開けます。 - AppLockerノードへ移動する
左側のペインで「コンピューターの構成」を展開します。
「Windows の設定」を展開し、「セキュリティの設定」を展開します。
「アプリケーション制御ポリシー」を展開し、「AppLocker」を選択します。 - 既定のルールを構成する
AppLockerノードを選択した状態で、右側のペインで「実行可能ファイル」を右クリックし、「既定のルールを作成」を選択します。
これにより、すべてのユーザーがWindowsフォルダーとProgram Filesフォルダー内のファイルを実行できる既定の許可ルールが作成されます。
このルールは、システムが正常に動作するために重要です。 - 新しい実行可能ファイルルールを作成する
「実行可能ファイル」を再度右クリックし、「新しいルールの作成」を選択します。AppLockerウィザードが起動します。- ルールの種類の選択
「アクセス許可」を選択し、「次へ」をクリックします。 - アクションとユーザーまたはグループの選択
「アクション」で「許可」を選択します。これは、指定したアプリケーションの実行を許可するルールです。
「ユーザーまたはグループ」は「すべてのユーザー」のままで問題ありません。
「次へ」をクリックします。 - 条件の選択
アプリケーションを識別するための条件を選択します。- 発行元: アプリケーションのデジタル署名に基づいてルールを作成します。最も推奨される方法です。
- パス: アプリケーションのインストールパスに基づいてルールを作成します。
- ファイルハッシュ: アプリケーションの特定のバージョンを識別する一意のハッシュ値に基づいてルールを作成します。
今回は「発行元」を選択し、「次へ」をクリックします。
- 発行元条件の設定
「参照」ボタンをクリックし、許可したいアプリケーションの実行ファイル(.exe)を選択します。
選択したアプリケーションのデジタル署名情報が自動的に入力されます。
スライダーを調整して、ルールを適用する範囲を設定します。
例えば、「製品名」までスライダーを移動すると、その製品のすべてのバージョンが許可されます。
「次へ」をクリックします。 - 例外の追加(オプション)
特定のファイルやフォルダーをルールから除外したい場合は、「追加」をクリックして例外を設定します。
必要なければそのまま「次へ」をクリックします。 - ルールの名前と説明を設定する
ルールの名前と説明を入力します。例えば、「Microsoft Officeの実行を許可」などです。
「作成」をクリックしてルールを完了します。
- ルールの種類の選択
- AppLockerの強制設定を構成する
左側のペインで「AppLocker」を選択し、右側のペインで「AppLockerの構成」をダブルクリックします。
「実行可能ファイル」の項目で「構成済み」チェックボックスをオンにし、ドロップダウンメニューで「強制」を選択します。
これにより、AppLockerのルールが実際に適用されるようになります。
「OK」をクリックして設定を保存します。 - グループポリシーを適用する
設定をすぐに適用するには、コマンドプロンプトを管理者として開き、「gpupdate /force」と入力してEnterキーを押します。
これにより、グループポリシーが強制的に更新されます。
AppLocker運用における注意点とトラブルシューティング
AppLockerは強力な機能ですが、設定を誤るとシステムが利用できなくなる可能性もあります。
慎重な運用と事前のテストが重要です。
誤って必要なソフトをブロックしてしまった場合
AppLockerルールが厳しすぎると、業務に必要なアプリケーションが実行できなくなることがあります。
この場合、ローカルグループポリシーエディターを再度開き、該当するAppLockerルールを一時的に無効にするか、より緩やかなルールに修正してください。
特に、既定のルール(WindowsフォルダーとProgram Filesフォルダーの許可)を削除しないよう注意が必要です。
AppLockerが機能しない場合の確認ポイント
AppLockerが期待通りに動作しない場合は、以下の点を確認してください。
- Application Identityサービスの確認
「Application Identity」サービスが「自動」で起動しており、実際に実行中であることを確認します。 - AppLockerの強制設定
グループポリシーの「AppLockerの構成」で、対象のルールコレクション(実行可能ファイルなど)が「強制」に設定されているかを確認します。 - グループポリシーの適用
「gpupdate /force」コマンドを実行し、グループポリシーが最新の状態に更新されているか確認します。 - イベントログの確認
イベントビューアーを開き、「アプリケーションとサービスログ」->「Microsoft」->「Windows」->「AppLocker」->「EXEとDLL」のログを確認します。
ここで、どのアプリケーションがブロックされたか、または許可されたかの詳細な情報が確認できます。
Windows HomeエディションではAppLockerが利用できない
AppLockerは、WindowsのPro、Enterprise、Educationエディションでのみ提供される機能です。
Windows Homeエディションではローカルグループポリシーエディター自体が利用できず、AppLockerを設定できません。
Homeエディションで同様の制限を設けるには、サードパーティ製のセキュリティソフトウェアの導入を検討する必要があります。
ADVERTISEMENT
AppLockerとソフトウェア制限のポリシーの比較
WindowsにはAppLockerの他に、「ソフトウェア制限のポリシー」SRPというアプリケーション制御機能もあります。
それぞれの特徴を比較します。
| 項目 | AppLocker | ソフトウェア制限のポリシー(SRP) |
|---|---|---|
| 対象OS | Windows 10/11 Pro, Enterprise, Education | Windows XP以降の全エディション(Home含む) |
| ルール作成方法 | 発行元、パス、ファイルハッシュ | パス、ハッシュ、ゾーン、証明書 |
| ルール適用範囲 | 特定のユーザーまたはグループ | すべてのユーザー |
| 柔軟性 | 高い。細かく制御できる | 低い。大まかな制御に限定される |
| 管理の容易さ | 比較的容易。ウィザード形式で作成 | やや複雑。手動でのルール作成が多い |
| 推奨用途 | 現代のビジネス環境での詳細なアプリケーション制御 | 古いOS環境や簡単な制御 |
まとめ
この記事では、AppLockerを使用してWindowsシステムで特定のソフト以外を実行させない強固な制限を設定する手順を解説しました。
AppLockerの適切な設定により、マルウェアの脅威を軽減し、業務のセキュリティレベルを向上できます。
設定後は、必ずテストを行い、必要なアプリケーションが正常に動作することを確認してください。
定期的にAppLockerのルールを見直し、最新のアプリケーション環境に合わせて更新する運用を推奨します。
ADVERTISEMENT
超解決 第一編集部
疑問解決ポータル「超解決」の編集チーム。正確な検証と、現場視点での伝わりやすい解説を心がけています。
Windows・PCの人気記事ランキング
- 【Edge】起動時や新しいタブを「Google」にする設定!ニュースを消してシンプルにする方法
- 【直し方】F7でカタカナにならない!ファンクションキーが効かず音量などが変わる時のFnロック解除法
- 【Windows】サブモニターが映らない!HDMIを挿しても「信号なし」になる時の認識・設定手順
- 【Windows】パスワードなしで起動!PIN入力を省略して自動ログイン(サインイン)させる設定手順
- 【Windows】画面がチカチカ・点滅する!グラフィックドライバの更新と設定の見直し
- 【Windows】デスクトップのアイコンが「白い紙」になった!アイコンキャッシュを削除して元に戻すコマンド
- 【PC周辺】2台のモニターで壁紙を「別々」にする方法!Windows11での配置と調整
- 【Windows】デスクトップアイコンの「緑のチェック」は何?OneDriveの同期マークを非表示にする方法
- Windows 11を極限まで軽量化する「不要な標準サービス」停止リスト|PCの動作を爆速化する設定手順とリスク管理の全貌
- 【Windows】Cドライブが赤い!空き容量不足を解消して数GBを一瞬で空ける4つの最強クリーンアップ術