Windows 11セキュリティ設定完全ガイド2026:初期設定から強化まで全手順

「Windows 11を買ったけど、セキュリティ設定は何をすればいいの?」——新PCを購入したユーザーや、IT担当者からよく受ける質問です。

Windows 11はWindows 10に比べてセキュリティ要件が厳格化されましたが、初期設定のままでは不十分な部分も存在します。本ガイドでは、個人ユーザーから中小企業の管理者まで、段階別に必要な設定を網羅的に解説します。

目次

  1. Windows 11のセキュリティアーキテクチャ概要
  2. 必須設定①:Windows Update(最重要)
  3. 必須設定②:Windows Defender / Microsoft Defender for Endpoint
  4. 必須設定③:BitLocker(ディスク暗号化)
  5. 必須設定④:Windows Hello(生体認証)
  6. 必須設定⑤:Windowsファイアウォール
  7. 推奨設定:UAC(ユーザーアカウント制御)
  8. 推奨設定:プライバシー設定の最適化
  9. 推奨設定:ブラウザ(Edge)セキュリティ強化
  10. 上級設定:グループポリシーとPowerShell活用
  11. テレワーク・法人向け追加設定
  12. よくある質問(FAQ)

Windows 11のセキュリティアーキテクチャ概要

公式サイトで詳細を確認する

Windows 11がWindows 10と異なる主なセキュリティ要件:

機能 Windows 10 Windows 11
TPM 2.0 推奨 必須
セキュアブート 推奨 必須
UEFI 推奨 必須
VBS(仮想化ベースセキュリティ) オプション デフォルト有効
HVCI(メモリ整合性) オプション 新PC標準有効

これらのハードウェア要件により、Windows 11はルートキット・ブートキット系マルウェアに対して構造的に強固になっています。

必須設定①:Windows Update(最重要)

セキュリティ設定の中で最も重要なのはWindows Updateの確実な適用です。脆弱性の悪用はパッチ未適用のシステムを標的にするケースが圧倒的多数です。

設定手順

  1. 設定 → Windows Update を開く
  2. 「最新の状態です」になるまで「更新プログラムの確認」を繰り返す
  3. 詳細オプション → 以下を設定:
    • 「更新プログラムを受け取る」→ オン
    • 「更新プログラムをダウンロードする際に従量制課金接続を使用する」→ 必要に応じてオフ
    • 「アクティブ時間の設定」→ 実際の使用時間帯を設定(自動再起動による業務中断を防ぐ)

法人向け推奨設定

  • Windows Update for Business を使用して更新タイミングを制御(グループポリシーまたはIntune)
  • 品質更新プログラム:最大7日の遅延(即時適用リスクを低減)
  • 機能更新プログラム:最大365日の遅延(検証後に展開)

注意: 「Active Hours」設定がなくWindows Updateが業務中に再起動した場合、未保存データが失われる可能性があります。必ず設定してください。

必須設定②:Windows Defender / Microsoft Defender

Windows 11にはMicrosoft Defender ウイルス対策が標準搭載されています。初期状態でもある程度機能しますが、追加設定で保護強度を高められます。

Windowsセキュリティアプリの確認

  1. スタートメニュー → 「Windowsセキュリティ」を開く
  2. 以下がすべて緑(✓)になっていることを確認:
    • ウイルスと脅威の防止
    • アカウントの保護
    • ファイアウォールとネットワーク保護
    • アプリとブラウザーのコントロール
    • デバイス セキュリティ
    • デバイス パフォーマンスと正常性

ランサムウェア対策(コントロールされたフォルダーアクセス)

  1. Windowsセキュリティ → ウイルスと脅威の防止
  2. 「ランサムウェアの防止を管理する」 をクリック
  3. コントロールされたフォルダー アクセス」を オン にする

この機能により、指定フォルダー(Documents、Pictures等)への不審なアプリからの書き込みをブロックします。ランサムウェア対策として非常に有効です。

クラウドによる保護の有効化

  1. ウイルスと脅威の防止 → 「ウイルスと脅威の防止の設定を管理する」
  2. 「クラウドによる保護」 → オン
  3. 「サンプルの自動送信」 → オン(プライバシーを重視する場合はオフでも可)

Defenderで不十分なケースと追加ソフト

一般的な個人用途ではDefenderで十分ですが、以下の場合は専用ソフトの追加を検討してください:

  • フィッシングサイトの高度なブロックMalwarebytes Premium(URLフィルタリングが強力)
  • 複数台の集中管理(法人) → Microsoft Defender for Business または ESET Endpoint Security
  • Macも含む混在環境 → Bitdefender Total Security(クロスプラットフォーム対応)

必須設定③:BitLocker(ディスク暗号化)

BitLockerはドライブ全体を暗号化し、PCの紛失・盗難時にデータを保護します。ノートPCユーザーには必須の設定です。

BitLockerの有効化

前提条件: TPM 2.0搭載PC(Windows 11対応PCはほぼ全て該当)

  1. コントロールパネル → 「BitLockerドライブ暗号化」を開く
  2. Cドライブ横の「BitLockerを有効にする」をクリック
  3. 回復キーの保存方法を選択:
    • Microsoftアカウントに保存(推奨・最も安全)
    • ファイルに保存(外部ドライブに保存すること)
    • 印刷(物理的に保管)
  4. ドライブ全体を暗号化する」を選択
  5. 暗号化モード:新しい暗号化モード(Windows 11推奨) を選択
  6. 「BitLockerシステムチェックを実行する」にチェック → 「続行」

回復キーは必ずバックアップしてください。 回復キーを紛失するとドライブのデータに永久にアクセスできなくなります。

Windows 11 HomeのデバイスBitLocker

Windows 11 Homeにはフル機能のBitLockerがありませんが、デバイスの暗号化(簡易版)が利用可能です:

設定 → プライバシーとセキュリティ → デバイスの暗号化 → オン

必須設定④:Windows Hello(生体認証)

パスワードよりも安全で便利なWindows Helloの設定を行いましょう。

設定手順

  1. 設定 → アカウント → サインインオプション
  2. 「Windows Hello 顔認識」または「Windows Hello 指紋認証」を設定
    • PCのカメラ/指紋センサーが必要
  3. PINの設定(生体認証が利用できない場合のフォールバック):
    • PINを追加する(Windows Hello PIN)」
    • 6桁以上の数字または英数字混在PINを設定

推奨:従来のパスワードを無効化

生体認証設定後、Microsoftアカウントでのサインインのみ許可することで、パスワード総当たり攻撃への耐性が高まります。

法人環境ではMicrosoft Entra ID(旧Azure AD)とWindows Helloを連携させることでSSO + パスワードレス認証が実現できます。

必須設定⑤:Windowsファイアウォール

Windows 11のファイアウォールは初期状態でも適切に設定されていますが、確認と強化が必要です。

基本確認

  1. Windowsセキュリティ → ファイアウォールとネットワーク保護
  2. ドメイン・プライベート・パブリック 全てのネットワークでファイアウォールが「オン」であることを確認

重要:パブリックネットワーク設定

カフェ・空港のWi-Fi使用時は必ずパブリックプロファイルを選択:

  1. ネットワークに接続する際、「このネットワーク上の他のPCやデバイスで検索可能にしますか?」→ 「いいえ」 を選択
  2. これによりファイル共有などのインバウンド接続がブロックされます

詳細設定(上級者向け)

「セキュリティが強化されたWindowsファイアウォール」(wf.msc)から:

  • 送受信規則の詳細設定
  • ログの有効化(疑わしい接続の記録)
  • 接続セキュリティ規則(IPsec設定)

推奨設定:UAC(ユーザーアカウント制御)

UACはマルウェアが管理者権限を不正取得することを防ぐ重要な機能です。

推奨レベル

  1. スタートメニュー → 「UAC」で検索 → 「ユーザーアカウント制御の設定を変更する」
  2. スライダーを「上から2番目(デフォルト)」 に設定
レベル 設定 推奨度
最高(常に通知) 最も安全・煩わしい 高セキュリティ環境
デフォルト(アプリの変更のみ) バランス良好 一般推奨
Windowsの設定変更のみ通知 やや低リスク 非推奨
通知しない(無効) 非常に危険 絶対非推奨

絶対にUACを無効化しないでください。 管理者権限で動作するマルウェアはシステム全体を制御できます。

推奨設定:プライバシー設定の最適化

Windows 11はデフォルトでMicrosoftへの診断データ送信が有効です。プライバシーを重視する場合は以下を調整します。

主なプライバシー設定(設定 → プライバシーとセキュリティ)

項目 推奨設定 理由
診断データ 「必須の診断データのみ」 データ最小化
インク入力とタイピング オフ 入力データの送信防止
広告ID オフ ターゲット広告の無効化
位置情報 アプリ別に設定 必要なアプリのみ許可
カメラ・マイク アプリ別に設定 必要なアプリのみ許可
バックグラウンドアプリ 不要なものをオフ リソース節約

法人向け:テレメトリの最小化

グループポリシーまたはMDM(Intune)で診断データを「セキュリティ」レベルに設定することで、最低限のデータのみ送信されます。

推奨設定:ブラウザ(Edge)セキュリティ強化

Microsoft Edgeはセキュリティ機能が充実していますが、追加設定でさらに強化できます。

Edgeのセキュリティ設定

  1. Edge → 設定(...メニュー)→ プライバシー、検索、サービス
  2. 以下を設定:
    • Microsoft Defender SmartScreen → オン
    • 潜在的に望ましくないアプリのブロック → オン
    • セキュリティで保護されていないダウンロードをブロック → オン
  3. パスワード → 「パスワードを保存するよう申し出る」は無効化推奨(専用パスワードマネージャーを使用)

推奨:パスワードマネージャーの導入

ブラウザ内蔵パスワード保存は便利ですが、専用ツールの方がセキュリティ強度が高く、デバイス間の共有も簡単です。

無料で始める場合は Bitwarden(オープンソース・クロスプラットフォーム)がおすすめです。ビジネス利用なら 1Password BusinessNordPass Business が実績豊富です。

上級設定:グループポリシーとPowerShell活用

Windows 11 Pro以上のユーザー向け高度な設定です。

グループポリシー(gpedit.msc)主要設定

コンピューターの構成 → Windowsの設定 → セキュリティの設定
├── アカウントポリシー
│   ├── パスワードポリシー(複雑さの要件・有効期間)
│   └── アカウントロックアウトポリシー(5回失敗でロック推奨)
└── ローカルポリシー
    └── セキュリティオプション(多数の詳細設定)

PowerShellによる設定確認スクリプト(管理者権限)

# セキュリティ基本チェック
Write-Host "=== Windows 11 Security Check ===" -ForegroundColor Cyan

# Windows Update 最終チェック日
$wu = Get-HotFix | Sort-Object InstalledOn -Descending | Select-Object -First 1
Write-Host "Last Update: $($wu.InstalledOn)"

# BitLocker 状態
$bl = Get-BitLockerVolume -MountPoint "C:" 2>$null
Write-Host "BitLocker: $($bl.ProtectionStatus)"

# Defender 状態
$def = Get-MpComputerStatus
Write-Host "Defender RealTime: $($def.RealTimeProtectionEnabled)"
Write-Host "AV Signature Age: $($def.AntispywareSignatureAge) days"

# Firewall 状態
$fw = Get-NetFirewallProfile
$fw | ForEach-Object { Write-Host "Firewall $($_.Name): $($_.Enabled)" }

このスクリプトを定期実行することで、設定が変更されていないか監視できます。

テレワーク・法人向け追加設定

1. Microsoft Defender for Business(SMB向け)

Windows 11 Business/Proのデバイスを一元管理できるMicrosoft Defender for Business(月額約400円/ユーザー・最新価格は公式サイト参照)を導入することで:

  • デバイス全台のセキュリティ状態を一元可視化
  • 脅威検知時の自動隔離・修復
  • 脆弱性管理(パッチ適用状況の追跡)

が実現できます。

2. Microsoft Intune(MDM)によるポリシー管理

複数台のWindows 11デバイスを一元管理:

  • セキュリティポリシーの強制適用(BitLocker・Defender設定)
  • コンプライアンスチェック(条件付きアクセス)
  • アプリ配布・更新管理

3. VPN(テレワーク)

テレワーク環境では会社のVPNまたは業務用VPNを必ず使用してください。

特にパブリックWi-Fiでの業務は個人VPNを使用することで通信を暗号化できます。NordLayerは法人向けVPNとして、中小企業での導入実績が豊富です。

よくある質問(FAQ)

Q. Windows 11 Homeと Proでセキュリティ機能に差はありますか?
A. はい。ProはBitLocker(完全版)、グループポリシー、Windows Sandbox、Hyper-Vが利用できます。ビジネス用途ではProを強く推奨します。

Q. サードパーティのウイルス対策ソフトを入れるとDefenderはどうなりますか?
A. サードパーティのウイルス対策ソフトを導入すると、Defenderのリアルタイム保護は自動的に無効化されます(競合防止のため)。両方が同時に動作することは基本的にありません。

Q. BitLockerを有効にするとPCが遅くなりますか?
A. 最新のCPU(第8世代以降のIntel、Ryzen 3000以降)ではハードウェアアクセラレーションにより、パフォーマンスへの影響はほぼ感じられません。HDDのPCでは若干の遅延が生じる場合があります。

Q. Windows Defender以外のウイルス対策ソフトは必要ですか?
A. Windows 11を定期的にアップデートし、本ガイドの設定を完了していれば、一般的な個人用途ではDefenderで十分です。ただし、フィッシング対策の強化やMac混在環境では追加ソフトが有効です。

Q. Microsoftアカウントでサインインしない(ローカルアカウント)場合、BitLockerの回復キーはどこに保存されますか?
A. ローカルアカウントの場合、Microsoftアカウントへの自動保存はできません。USBドライブへの保存または印刷で物理的に保管してください。

Q. スマートフォンのセキュリティも同様に設定すべきですか?
A. はい。iPhoneはiOSアップデートの適用・パスコード設定、AndroidはGoogle Playプロテクトの有効化・定期的なアップデートが最低限必要です。

まとめ:Windows 11セキュリティ設定の優先順位

優先度 設定 対象
★★★ 必須 Windows Update適用 全員
★★★ 必須 Defender + ランサムウェア対策 全員
★★★ 必須 BitLocker有効化 ノートPCユーザー
★★☆ 推奨 Windows Hello設定 全員
★★☆ 推奨 UAC最適化 全員
★★☆ 推奨 プライバシー設定 プライバシー重視者
★☆☆ 上級 グループポリシー設定 Pro以上・IT担当者
★☆☆ 法人 Defender for Business / Intune 企業・テレワーク

Windows 11は適切に設定すれば非常に堅牢なセキュリティを実現できます。まず「Windows Update」と「Defender + ランサムウェア対策」から始め、段階的に設定を強化していきましょう。