会社PCでZoomだけインストできた謎を調べたら、Windowsのセキュリティの仕組みが見えてきた

Sandy16L — Wed, 08 Apr 2026 10:49:39 +0000

① きっかけ：会社PCでZoomだけ入った謎

会社のPCはセキュリティポリシーでアプリのインストールが制限されている。試しに何かソフトを入れようとすると、すぐに「管理者パスワードを入力してください」というダイアログが表示されてブロックされる。

ところが、ある日Zoomをインストールしようとしたらそのダイアログがまったく出ずに、あっさりインストールが完了してしまった。

「あれ、これはなんで？セキュリティの設定が機能していないのでは？」と少し不安になったのがこの記事のきっかけだ。調べてみると、Windowsのセキュリティの仕組みそのものに行き着いた。

Windowsには UAC（ユーザーアカウント制御） という仕組みが備わっている。あの「このアプリがデバイスに変更を加えることを許可しますか？」というダイアログがそれだ。

Windowsはログイン時にユーザーへ アクセストークン というものを発行している。このトークンが「あなたは何ができるか」を定義している。

通常時　　：制限付きトークン（標準ユーザー相当）

UAC昇格後：完全トークン（管理者権限フル）

同じ管理者アカウントでログインしていても、UACを通過するまでは「制限付き」の状態で動いている。これはマルウェアが勝手に管理者権限を使えないようにするための設計だ。

アプリのインストーラーには マニフェスト という設定ファイルが内包されており、ここで「管理者権限を要求するかどうか」を宣言している。

【管理者権限を要求する設定】

level=”requireAdministrator”
【要求しない設定】

level=”asInvoker”

この宣言によってインストール先も変わってくる。

インストール先	必要な権限
C:\Program Files\	管理者権限が必要
C:\Users\ユーザー名\AppData\	標準ユーザーのままでOK

AppData はそのユーザーが所有するフォルダのため、管理者権限なしで自由に書き込める。Zoomがパスワードなしでインストールできたのは、最初からこのフォルダにインストールする設計になっているからだ。

UACを通さない設計には、アプリ配布者側の明確な戦略がある。企業環境での導入摩擦をなくすためだ。

Zoomを例にとると、商談相手が「Zoomを今すぐ入れたい」と思ったとき、IT管理者の許可を取りに行く必要がなく、その場でインストールして使い始められる。これはビジネスツールとしての普及速度に直結する。

SlackやGoogle Chromeも同じ考え方だ。「誰でも今すぐ使える」を実現するために、意図的に標準ユーザー権限内で完結する設計を選んでいる。

技術的な観点でも、必要以上の権限を要求しないことはセキュリティ上のベストプラクティスとされており、UACを通さない設計が必ずしも手抜きというわけではない。

ここが最も重要なポイントだ。UACダイアログが出ないと「何も聞いてこないから安全そう」と感じてしまいがちだが、これは逆だ。ダイアログが出ないということは、警告なしに静かに実行されるということでもある。

標準ユーザー権限だけでも、以下のことは十分できてしまう。

管理者権限なしで可能な操作

実際、近年のランサムウェアの多くが管理者権限を使わずにこの手口で被害を出している。自分のファイルは自分の権限で全部暗号化できてしまうからだ。

信頼できないプログラムがUAC不要の設計だった場合、ダイアログという「警告サイン」すら出ないため、気づかないまま被害が進行するというリスクがある。

今回の調査を整理するとこうなる。

	UACあり	UACなし
信頼できるアプリ	正当な理由で昇格	最小権限で安全に動く
信頼できないアプリ	ダイアログで気づける	気づかず静かに被害

UACはそもそも「インストール制限」ではなく、マルウェアがシステムの深い部分に勝手に触れることを防ぐのが本来の目的だ。

Zoom・Slackがパスワードなしで入れられるのは、信頼できる開発者が意図的にユーザー領域だけで完結する設計を選んでいるから。そしてUACが出ないことは「安全の証明」ではなく、むしろ出所不明のプログラムに対しては発見が遅れるリスクになりうる。

会社PCで「Zoomだけ入った」という小さな疑問から、Windowsのセキュリティ設計の考え方が見えてきた。日常的に使っているアプリが「なぜ動いているか」を少し深堀りするだけで、セキュリティへの意識もだいぶ変わってくると思う。