Windows 11の「スマートアプリコントロール」とは？（アプリの追加とセキュリティ）

Windows 11のスマートアプリコントロールは、署名のない実行ファイルをクラウド評価と照合し、信頼できないソフトの起動を自動的にブロックします。
フリーソフトや個人開発ツールは署名を持たないケースが多く、安全なソフトでも弾かれることがあります。
また、一度オフにすると再有効化できない設計で、オフにした期間の状態が保証できないためです。
ただし、オフにしてもDefenderやSmartScreenは独立して動き続けるため、セキュリティが丸ごと失われるわけではありません。

1. スマートアプリコントロール

Windows 11には、知らないうちに動いているセキュリティ機能がいくつかあります。
その中でも「フリーソフトを入れようとしたらブロックされた」という体験につながりやすいのが、スマートアプリコントロールです。

この機能が何をしているのか、なぜ一度オフにすると戻せないのか、オフにしても安全と言える理由を順に説明します。

1.1. Windowsのセキュリティは複数の層で成り立っている

Windowsのセキュリティは「多層防御」という考え方で設計されています¹。

一つの機能で全ての攻撃を防ぐのではなく、「ダウンロードの段階」「実行する前の段階」「実行中の段階」とそれぞれに別の防御が働く仕組みです。

代表的な機能を挙げると、

SmartScreenはウェブからの危険なダウンロードを警告します²。
Microsoft Defenderはマルウェアをリアルタイムで検出します。
AMSIはスクリプトファイルの中身をアンチウイルスに渡して検査する仕組みです³。
スマートアプリコントロールは、実行ファイルを起動する直前の段階で動きます。

1.2. スマートアプリコントロールは何を見て判断しているか

スマートアプリコントロールは、実行ファイルを起動しようとしたとき、二つのことを確認します。

一つ目はコード署名の有無です。
コード署名とは、開発者がソフトウェアに付与するデジタルの印鑑のようなものです。封筒に印鑑で封をすると「中身は途中で誰にも触られていない」と保証できるように、コード署名によって「このソフトは誰が作ったか」「配布後に改ざんされていないか」が確認できます⁴。
二つ目はレピュテーション、つまりMicrosoftのクラウド上での安全評価です。
署名がなくても、多くのユーザーが使っていて安全と確認されているソフトは許可されます⁵。

フリーソフトや個人が開発したツール、GitHubで公開されているユーティリティは、有料ソフトと比べて署名を取得していないケースが多いです。
また、新しく公開されたソフトはクラウド評価がまだ積み上がっていないため、安全なソフトでもブロックされることがあります。

ちなみに、スマートアプリコントロールが対象にするのは、Windowsの実行ファイル形式であるPEファイルです。
つまり、.exe、.dll、.msiなどがこれにあたり、逆に言うとブラウザ拡張機能やVBScriptなどのスクリプトはスマートアプリコントロールの管轄外です。

2. 企業での管理方式機を簡略化したもの（ホワイトリスト方式）

この機能の設計思想を理解するには、企業のIT管理を知っておくと見通しがよくなります。

企業では情報システム部門が「このソフトは使ってよい、それ以外は使わせない」というホワイトリストを管理し、従業員が勝手にソフトをインストールできないよう制御しています。

Windowsにはこれを実現する企業向け機能としてApp Control for Businessがあります⁶。
管理者が個別に許可リストを作り、例外設定も細かく行えます。

2.1. どんなユーザーに向いているか

スマートアプリコントロールはこの考え方を個人向けに移植したものです。
管理者の代わりにMicrosoftのクラウド評価がホワイトリストを担います。

ただしユーザー側から例外を設定する手段は一切ありません。
許可するかブロックするかの二択のみで、個別に「このソフトだけ許可する」という操作ができない点が、企業向けApp Controlとの決定的な違いです。

スマートアプリコントロールの仕組みは、未知のプログラムの実行を防ぐという「ゼロ・トラスト（信頼前提を置かないセキュリティ思想）」の一部です。
しかし、これは、フリーソフト文化やGitHubなどでのソフト配布と相性が悪いです。

ストアアプリや有名ソフトを中心に使い、自分でソフトを追加する機会が少ないユーザーにとって、スマートアプリコントロールは誤操作によるマルウェア実行を防ぐ有効な層になります。
フリーソフト、個人開発ツール、GitHubのユーティリティ、開発環境を日常的に使うユーザーには、この機能はむしろ障害になります。

これは、Microsoftも認識していて、Smart App Controlには、「評価モード」が設けられています。
システムを利用開始してしばらくの間に、開発ツールの使用や未署名ソフトの実行など、開発者の利用だと評価された場合には自動的にオフになるのです⁷。
その場合はオフにしてDefenderとSmartScreenに任せる構成が現実的です。
セキュリティの水準を下げるというより、自分のPC利用スタイルに合った層の組み合わせに調整する、という判断になります。

2.2. Microsoft Storeが普及していれば……

どうも、Microsoftは、一般の個人ユーザーは、アプリは Microsoft Storeだけからインストールする、というスタイルを定着させたかったように思います。

Microsoft Storeは、スマートフォンと同じようなアプリストアの仕組みです。
これは、ビジネス的な理由と、このセキュリティの理由の両面があります。

しかし、Windows PCでは、自由にソフトを頒布する文化がすでにありました。
Microsoft Storeで従来使っていたソフトが利用できるなら、移行も進んだと思うのですが、実際にはそうはなりませんでした。
当初 Microsoft Storeで提供できるアプリがUWAという制約が強い設計を強いられたため、スマートフォンほどは普及しなかったのです。

そのため、現時点では必要なツールを自分で選択して利用したいユーザーの場合は、Microsoft Storeでは物足りず、スマートアプリコントロールをオフにする必要があるのです。

3. オフにする手順

設定アプリを開き、「プライバシーとセキュリティ」から「Windowsセキュリティ」を選びます。

次に「アプリとブラウザーの制御」を開くと、スマートアプリコントロールの項目が表示されます⁸。

「オフ」を選択すると確認ダイアログが出るので承認します。
ただし、この操作は取り消せないため、判断してから実行してください。

3.1. 一度オフにすると戻せない（2026年3月時点）

現時点⁹では、スマートアプリコントロールをオフにすると、かんたんには再びオンに戻せません¹⁰。

再び有効化するには、Windowsシステムをインストールからやり直す必要があります（クリーンインストール）。

このような設計は、「システム整合性ベースライン（system integrity baseline）」という考え方に基づいています。

スマートアプリコントロールが有効だった期間は「署名のないソフトは入っていない」という状態が保証されています。
しかし、一度オフにした時点でそのシステムの信頼状態（trusted baseline）は崩れます。
再びオンにしても「オフにしていた間に何が入ったかわからない」という状態は解消されないため、オンに戻す意味がない、という判断になるです。

ハードウェアで似た仕組みを挙げると、精密機器の外箱に貼られた開封確認シールがあります。
シールが破れていれば「誰かが開けた」とわかります。
これをtamper-evident sealと呼びます。
スマートアプリコントロールはこの考え方をソフトウェアで実装したもので、「一度でも信頼の状態が崩れたら、崩れたままとして扱う」という設計になっているのです。

つまり、スマートアプリコントロールは、「自己責任でフリーソフトを使う」と意図的に「開封」しないといけない仕組みだと捉えられます。

3.2. オフにしても残る防御

ただし、スマートアプリコントロールをオフにしても、Windowsのセキュリティが丸ごと消えるわけではありません。

Microsoft Defenderはマルウェアの検出と駆除を続けます。
SmartScreenは危険なダウンロードを引き続き警告します。
AMSIはスクリプトファイルの検査を行います。

これらは独立して動いており、スマートアプリコントロールの状態に左右されません¹¹。

スマートアプリコントロールが担っているのは「未知の実行ファイルをそもそも起動させない」という役割です。この層がなくても、実行後の検出と駆除はDefenderが行います。

多層防御（Defense in Depth）は、一つの防御が突破されても次の層が攻撃を止めるよう、複数の独立したセキュリティ機能を重ねる設計思想です。 – Windows のアプリケーション制御 | Microsoft Learn
SmartScreenはフィッシングサイトや既知のマルウェア配布サイトをブロックするほか、ダウンロードしたファイルのクラウド評価も行います。ユーザーが警告を無視して実行することは可能で、スマートアプリコントロールとは異なりブロックではなく警告にとどまります。 – スマートアプリコントロール – Smart App Control の概要 | Microsoft Learn
AMSIはPowerShell、Windows Script Host、VBScriptなどのスクリプト実行時に内容をアンチウイルスへ渡します。難読化されたスクリプトもデコード後に検査できます。ただしPythonやPerlには現時点で対応していません。 – マルウェア対策スキャンインターフェイス (AMSI) | Microsoft Learn
スマートアプリコントロールが認識するコード署名はRSAベースのデジタル証明書のみで、楕円曲線暗号（ECC）署名は現時点でサポートされていません。また、自己署名証明書は認められず、Microsoftの信頼されたルートプログラムに含まれる認証局が発行した証明書である必要があります。 – Smart App Control コンプライアンスのためにアプリに署名する | Microsoft Learn
このクラウド評価はインテリジェントセキュリティグラフ（ISG）と呼ばれるMicrosoftのサービスが担います。企業向けのWDACでも同じサービスを利用できます。 – Windows のアプリケーション制御 | Microsoft Learn
WDAC（Windows Defender Application Control）は2025年8月にApp Control for Businessへ名称変更されています。機能の実体は同一です。管理者がポリシーファイルを作成してデバイスに展開する形で運用し、IntuneやグループポリシーからのリモートデプロイにもWindowsには対応しています。 – ビジネス向けアプリコントロールのポリシールールとファイルルール | Microsoft Learn
企業ユーザーや開発者が日常的に行う作業の中には、スマートアプリコントロールの動作と相性が悪いものがある。そのようなユーザーと判定された場合、Microsoftは自動的にオフにする。またデバイスが企業管理下にある場合やデベロッパーモードが有効な場合も、オフになる理由として明示されている。 – Smart App Control Frequently Asked Questions – Microsoft Support
クリーンインストール直後は「評価モード」で起動します。評価モードでは、Windowsがユーザーの利用状況を学習し、スマートアプリコントロールが有効に機能すると判断した場合は自動的にオンへ、そうでない場合はオフへ切り替わります。評価モード中はアプリのブロックは行われません。 – スマートアプリコントロール – Smart App Control の概要 | Microsoft Learn
2025年12月時点のWindows InsiderビルドでMicrosoftは、クリーンインストールなしにスマートアプリコントロールのオンオフを切り替えられる変更をテスト中であることを確認しており、2026年中のロールアウトが予定されている。現時点では「一度オフにすると戻せない」仕様だが、将来変わる可能性がある。https://www.windowslatest.com/2025/12/16/microsoft-confirms-you-can-soon-disable-smart-app-control-without-reinstalling-windows-11/
Microsoftのサポートページによると、オフにした後に再度オンにするにはPCのリセット（アプリと設定の削除、個人ファイルは保持可）またはWindowsの再インストールが必要です。また、スマートアプリコントロールはWindows 11 22H2以降のクリーンインストール時にのみ有効化できる仕様のため、アップグレードでの更新では利用できません。 – スマートアプリコントロールに関するよく寄せられる質問 | Microsoft サポート
Microsoftの公式FAQも、スマートアプリコントロールはMicrosoft DefenderやMicrosoft以外のウイルス対策ツールと「共に動作し保護を強化する」ものと説明しています。オフにした場合でも、他のセキュリティ機能は引き続き機能します。 – スマートアプリコントロールに関するよく寄せられる質問 | Microsoft サポート