関連する技術記事・ガイドを検索
Windows サンドボックス(Windows Sandbox)は、Windows 10/11 ProとEnterpriseに搭載された軽量な仮想環境機能で、信頼できないソフトウェアを安全に実行・テストできる隔離された使い捨てのWindows環境を提供します。
ホストOS(Windows 10/11)
↓
Hyper-V(ハイパーバイザー)
↓
Windows サンドボックス(隔離環境)
- クリーンなWindows
- ホストから完全分離
- 終了時に全て削除
| 項目 | 詳細 | |------|------| | 起動時間 | 約30秒 | | メモリ使用 | 最小100MB(動的) | | ディスク使用 | 最小25MB(差分) | | ネットワーク | vNIC経由 | | GPU | RemoteFXでパススルー |
必須:
- CPU: 仮想化対応(Intel VT-x/AMD-V)
- メモリ: 4GB以上(8GB推奨)
- ストレージ: 1GB以上の空き
- CPU: 2コア以上(4コア推奨)
BIOS設定:
- 仮想化: 有効
- Intel VT-d/AMD-Vi: 推奨
対応OS:
- Windows 10 Pro/Enterprise/Education(1903以降)
- Windows 11 Pro/Enterprise/Education
非対応:
- Windows Home エディション
- Windows 10 LTSC 2019以前
1. Windows機能の有効化
2. 「Windows サンドボックス」にチェック
3. 再起動
確認:
スタートメニュー → Windows Sandbox
# 管理者として実行
Enable-WindowsOptionalFeature -Online -FeatureName "Containers-DisposableClientVM"
# 状態確認
Get-WindowsOptionalFeature -Online -FeatureName "Containers-DisposableClientVM"
<Configuration>
<VGpu>Enable</VGpu>
<Networking>Enable</Networking>
<MappedFolders>
<MappedFolder>
<HostFolder>C:\\Shared</HostFolder>
<SandboxFolder>C:\\Users\\WDAGUtilityAccount\\Desktop\\Shared</SandboxFolder>
<ReadOnly>true</ReadOnly>
</MappedFolder>
</MappedFolders>
<LogonCommand>
<Command>C:\\Users\\WDAGUtilityAccount\\Desktop\\test.exe</Command>
</LogonCommand>
<MemoryInMB>4096</MemoryInMB>
</Configuration>
| 項目 | 値 | 説明 | |------|-----|------| | VGpu | Enable/Disable | GPU仮想化 | | Networking | Enable/Disable/Default | ネットワーク | | AudioInput | Enable/Disable | マイク | | VideoInput | Enable/Disable | カメラ | | MemoryInMB | 数値 | メモリ割当 |
安全な実行環境:
1. 疑わしいファイルをサンドボックスへ
2. 実行して挙動観察
3. Process Monitorで監視
4. 終了で完全削除
クリーンインストールテスト:
- レジストリ影響なし
- 既存環境を汚さない
- 依存関係の確認
- アンインストール不要
危険なサイト訪問:
- ブラウザエクスプロイト対策
- トラッキング完全リセット
- ダウンロード隔離
# サンドボックス起動スクリプト
$wsbConfig = @"
<Configuration>
<LogonCommand>
<Command>powershell.exe -ExecutionPolicy Bypass -File C:\\Users\\WDAGUtilityAccount\\Desktop\\setup.ps1</Command>
</LogonCommand>
<MappedFolders>
<MappedFolder>
<HostFolder>C:\\Scripts</HostFolder>
<SandboxFolder>C:\\Users\\WDAGUtilityAccount\\Desktop</SandboxFolder>
</MappedFolder>
</MappedFolders>
</Configuration>
"@
$wsbConfig | Out-File -FilePath "test.wsb"
Start-Process "test.wsb"
<!-- 開発用.wsb -->
<Configuration>
<MemoryInMB>8192</MemoryInMB>
<VGpu>Enable</VGpu>
<MappedFolders>
<MappedFolder>
<HostFolder>D:\\Projects</HostFolder>
<SandboxFolder>C:\\Projects</SandboxFolder>
<ReadOnly>false</ReadOnly>
</MappedFolder>
</MappedFolders>
<LogonCommand>
<Command>cmd /c "cd C:\\Projects && code ."</Command>
</LogonCommand>
</Configuration>
利用不可:
- Microsoft Store
- Windows Update
- ハードウェアデバイス直接アクセス
- 永続的な変更
- ドメイン参加
制限付き:
- プリンター(リダイレクト経由)
- クリップボード(テキストのみ)
- GPU(RemoteFX経由)
| 処理 | ホスト比 | 備考 | |------|---------|------| | CPU | 95-98% | ほぼネイティブ | | メモリ | 100% | 動的割当 | | ディスク | 60-80% | 差分ディスク | | GPU | 50-70% | 仮想化オーバーヘッド |
確認事項:
1. Hyper-V有効化
2. BIOS仮想化設定
3. Windows Defender無効化していない
4. グループポリシー制限
解決:
bcdedit /set hypervisorlaunchtype auto
対策:
- メモリ割当増加
- vGPU無効化(GPU不要時)
- ネットワーク無効化(不要時)
- ホストのリソース確保
強力な分離:
- カーネルレベル分離
- 別プロセス空間
- ネットワーク分離
限定的な保護:
- ゼロデイエクスプロイト
- カーネル脆弱性
- サイドチャネル攻撃
| ツール | 特徴 | 用途 | |--------|------|------| | VMware | 完全仮想化 | 長期利用 | | VirtualBox | 無料、多機能 | 開発環境 | | Docker | コンテナ型 | アプリ隔離 | | Sandboxie | アプリレベル | 軽量隔離 |
Windows サンドボックスは、手軽で安全なテスト環境として優れていますが、一時的な使用に限定されます。永続的な環境が必要な場合は、従来の仮想化ソリューションを検討してください。