windows 10の新機能であるサンドボックスは、インターネットからダウンロードしたプログラムやファイルを安全なコンテナで実行し、安全にテストすることを可能にします。使い方は簡単ですが、その設定はテキストベースの設定ファイルに隠されています。

ウィンドウズ・サンドボックスがあれば、簡単に利用できる

本機能は、Windows 10 May 2019 Updateに含まれます。また、更新プログラムをインストールした後は、Windows 10のProfessional、Enterprise、Educationのいずれかのエディションを使用する必要があります。Windows 10 Homeではご利用になれません。しかし、Sandboxを搭載している場合は、Sandbox機能を有効にしてから、スタートメニューから簡単に起動することができます。

関連：Windows 10の新機能「サンドボックス（セキュリティテストアプリ）」の使い方

Sandboxが起動し、現在のWindowsオペレーティングシステムのコピーを作成し、個人用フォルダへのアクセスを削除し、インターネットにアクセスできるクリーンなWindowsデスクトップを提供します。このプロファイルが追加されるまでは、サンドボックスをカスタマイズすることは一切できませんでした。インターネットにアクセスしたくない場合は、通常、起動直後に無効化する必要があります。ホストシステム上のファイルにアクセスする必要がある場合は、サンドボックス内にコピー＆ペーストする必要があります。また、特定のサードパーティ製プログラムをインストールする場合は、Sandboxを起動した後にインストールする必要があります。

WindowsSandboxは、終了時にインスタンスを完全に削除するため、起動するたびにカスタマイズ処理を行う必要があります。一方では、これによってシステムの安全性が高まります。何か問題が起きてサンドボックスが閉じられると、すべてのコンテンツが削除されます。一方、定期的に変更を加える必要がある場合、リリースのたびに変更しなければならないのは、すぐにフラストレーションが溜まってしまうでしょう。

この問題を軽減するために、マイクロソフトはWindowsサンドボックスの設定機能を導入しました。XMLファイルを使用し、設定したパラメータでWindowsサンドボックスを起動することができます。砂場の制限をきつくしたり、ゆるくしたりすることができます。例えば、インターネット接続を無効にしたり、Windows 10のホストコピーを使用して共有フォルダーを設定したり、アプリケーションをインストールするためのスクリプトを実行したりすることができます。これらのオプションは、サンドボックス機能の最初のバージョンではやや制限されていますが、Microsoftは将来のWindows 10アップデートでより多くのオプションを追加する可能性があります。

ウィンドウズ・サンドボックスの設定方法

このガイドでは、一般的な利用を目的としたサンドボックスを設定した場合を想定しています。まだの場合は、まずWindowsの機能ダイアログから有効にする必要があります。

まず、メモ帳やNotepad++などのテキストエディタと、空の新規ファイルを用意します。設定用のXMLファイルを作成します。XMLエンコーディング言語に精通していると便利ですが、これは必要ではありません。ファイルが配置されると、拡張子が.w**で保存されます（Windows Sandboxをイメージしてください）。ファイルをダブルクリックすると、指定された設定でサンドボックスが起動します。

マイクロソフトの説明によると、サンドボックスの設定にはいくつかのオプションがあるそうです。vGPU（仮想GPU）の有効化・無効化、ネットワークのオン・オフ、共有ホストフォルダーの指定、そのフォルダーの読み取り・書き込み権限の設定、起動時のスクリプト実行が可能です。

このプロファイルを使用すると、仮想GPUの無効化（デフォルトで有効）、ネットワークのオフ（デフォルトでオン）、共有ホストフォルダーの指定（サンドボックス化アプリケーションはデフォルトでどのフォルダーにもアクセスできません）、このフォルダーに対する読み取り/書き込み権限の設定および/または起動時のスクリプトの実行が可能です。

まず、メモ帳やお好みのテキストエディタを開いて、新しいテキストファイルを作成し、以下のテキストを追加します。

<Configuration> </Configuration>

追加したいオプションはすべて、この2つのパラメーターの間になければなりません。すべてのオプションを含めなくても、1つのオプションだけを追加することも、すべてのオプションを追加することもできます。オプションを指定しない場合は、デフォルトのオプションが使用されます。

仮想GPUやネットワークを無効化する方法

マイクロソフトが指摘するように、仮想GPUやネットワークを有効にすると、マルウェアがサンドボックスから侵入する方法が増える可能性があります。ですから、特に心配なものをテストする場合は、無効にしておくとよいでしょう。

デフォルトで有効になっている仮想GPUを無効にするには、設定ファイルに次のテキストを追加します。

<VGpu>Disable</VGpu>

デフォルトで有効になっているネットワークアクセスを無効にするには、次のテキストを追加します。

<Networking>Disable</Networking>

フォルダのマッピング方法

フォルダーをマッピングするには、共有するフォルダーを詳しく説明し、そのフォルダーを読み取り専用にするかどうかを指定する必要があります。

マッピングフォルダは以下のとおりです。

<MappedFolders> <MappedFolder> <HostFolder>C:\Users\Public\Downloads</HostFolder> <ReadOnly>true</ReadOnly> </MappedFolder> </MappedFolders>

HostFolderは、共有する特定のフォルダーをリストアップする場所です。readOnly は、サンドボックスがこのフォルダーに書き込むことができるかどうかを設定します。フォルダを読み取り専用にする場合はtrueを、書き込み可能にする場合はfalseを設定します。

ホストとWindowsサンドボックスの間でフォルダをリンクさせることは、実際にはシステムを危険にさらすことになりますので、ご注意ください。サンドボックスへの書き込み権限を与えると、このリスクが高まります。このオプションは、悪意があると思われるものをテストしている場合は使用しないでください。

起動時にスクリプトを実行する方法

最後に、カスタム作成されたスクリプトや基本的なコマンドを実行することができます。例えば、サンドボックスが起動時にマッピングフォルダを開くように強制することができます。以下のようにファイルを作成します。

<MappedFolders> <MappedFolder> <HostFolder>C:\Users\Public\Downloads</HostFolder> <ReadOnly>true</ReadOnly> </MappedFolder> </MappedFolders> <LogonCommand> <Command>explorer.exe C:\users\WDAGUtilityAccount\Desktop\Downloads</Command> </LogonCommand>

WDAGUtilityAccountはWindowsサンドボックスのデフォルトユーザーなので、コマンドの一部としてフォルダやファイルを開くときは常にこのアカウントを参照することになります。

残念ながら、今後リリースされるWindows 10の2019年5月アップデート版では、LogonCommandオプションが期待通りに動作しないようです。マイクロソフトのドキュメントでこの例を使っても、何もできなかった。マイクロソフトは、おそらくこのバグをすぐに修正するでしょう。

サンドボックスの起動に設定を利用する方法

終了したら、ファイルを保存し、拡張子を.w**にします。例えば、テキストエディタでsandbox.txtと保存した場合、sandbox.w**と保存します。設定した内容でWindows Sandboxを起動するには、.w**ファイルをダブルクリックします。デスクトップに置くか、スタートメニューにショートカットを作成することができます。

お客様の利便性を考慮し、この無効化されたウェブファイルをダウンロードすることで、いくつかのステップを省くことができます。ファイルの拡張子がtxtになっていますので、拡張子を.w**に変更していただければ、Windowsのサンドボックスが起動できるようになります。