現行サーバOSであるWindows Server 2003は、セキュリティ/安定性の両面で一定の評価を得て、すでに多くの基幹業務システムで利用されている。しかし、今回取り上げるWindows Server 2008では、Windows Server 2003からさらにセキュリティや安定性の向上がなされている。
Windows Server 2008のベース・システムには、クライアント向けWindows OSとしてすでに2007年1月から出荷されているWindows Vistaと同じコード・ベースが利用されている。このことは、どちらのOSの開発コード名にも、“Longhorn”が含まれていることからも分かる(Windows Vistaの開発コード名も“Longhorn”だった)。従って以下で説明するWindows Server 2008のベース・システムの話題は、Windows Vistaから提供が開始されたものも多いことをお断りしておく。
Windows Server 2008を分析していくと、機能的にはWindows Server 2003を踏襲しつつも、ベース・システムを再考したことが分かる。例えば以下のような点である。
これらについて、1つずつ見ていこう。
Windows Server 2008では、ベース・セキュリティのさらなる向上を目的として、できる限り最小の権限でサービスを稼働させるよう各種サービスの実行権限が見直されている。例えば、カーネル・モードで動作させる必要のないドライバのユーザー・モードへの移行や、UAC(ユーザー・アカウント制御、詳細は関連記事参照)によって、管理者権限を持っていても無条件に処理を実行させないような仕組みなどだ。もっと簡単にいってしまえば、いままで当然のように与えていた権限をいったん縮小させたうえで、あらためて権限が必要なものだけを昇格させるという手順によって、最小権限実行を徹底させた。
通信時のセキュリティ向上については、OSに標準で組み込まれているWindows Firewallのセキュリティが強化されている。具体的には、ポート番号を開ける/開けないという単純なものだけでなく、コンピュータで送受信されるIPv4とIPv6のすべてのトラフィックをアプリケーション・レベルでフィルタリングすることも可能になっている。また、ドメイン/プライベート/パブリックという、通信しているコンピュータの場所に基づいて、動的に保護レベルを変更できる。
通信場所 | 内容 |
---|---|
ドメイン | コンピュータがドメインのメンバであり、ドメインのネットワークに現在接続されていると判断した場合 |
プライベート | ホームネットワークや小規模オフィスなどで、ドメインによる管理はされていないが、互いの通信が必要なプライベートなネットワークに接続している場合 |
パブリック | ホテルや店舗内で提供されるワイヤレス・ネットワークのように、通信可能な状態ではあるが、外部からの攻撃の可能性が否定できないネットワークに接続している場合 |
Windows Server 2008で動的保護を制御できる通信場所 |
さらにWindows Server 2008では、暗号化通信機能であるIPsecの管理構成とモニタリング・ツールがWindows Firewallのインターフェイスに統合され、トラフィックのフィルタリングとIPsecによる規制の組み合わせにおいて、管理者による規則設定の矛盾を低減できるよう配慮されている。これにより管理者は、正しいトラフィック保護が容易になるとともに、万一のトラブル時の原因究明も容易になるだろう。
情報保護という点では、BitLockerによるドライブ暗号化も見逃すことはできない。BitLockerは、「フルボリューム暗号化」と「セキュア・スタートアップ」という2つの大きな役割を担っている。1つ目のフルボリューム暗号化とは、OSやアプリケーションがインストールされているC:ドライブ全体を丸ごと暗号化する機能である。これにより、ディスクの盗難などによる情報漏えいのリスクを低減できる。2つ目のセキュア・スタートアップとは、サーバ起動時に、ハードウェア上のTPMモジュール(Trusted Platform Module)に保存されたキーによって、セキュアにOSを起動可能にする機能である。例えば、キーをUSBフラッシュ・メモリに保存すれば、物理的にそのUSBフラッシュ・メモリをサーバに差し込まなければ、サーバが起動しないようにできる。
この2つの機能を組み合わせることによって、セキュアなサーバ・ルームを持たない企業や、営業カウンターの下にサーバを置かざるを得ないようなブランチ・オフィスにおいても、サーバの物理的リスクを軽減できる。サーバの物理的リスクは日本では少ないようにも思えるが、リスク・マネジメントを考えると不測の事態も想定しなければならない。BitLockerによって、企業の情報保護のリスクを、さらに一段と低減させることが可能になるだろう。
Windows Server 2008は、完全な「多言語対応OS」となった。「シングル・バイナリ化された」といった方が分かりやすい人がいるかもしれない。少し分かりやすく説明すると、OSの機能そのものは、言語に関係なく1種類しかない。そして、ユーザー・インターフェイス(UI)やメッセージ、ヘルプなど、言語ごとに対応が必要となる部分は、独立した言語パックという形式で提供される。つまり英語環境なら「OS+英語パック」、日本語環境なら「OS+日本語パック」、英語も日本語も両方とも必要なら「OS+英語パック+日本語パック」と組み合わせることで、各国語版を容易に実現できる。
シングル・バイナリ化のメリットは、OS部分は1種類しかないため、修正プログラムの提供も言語にかかわりなくワールド・ワイドで1種類で済む。また、インストール時に複数の言語を導入しておくことで、基本的に文字化けを見ることがなくなる。世界に支社を持し、複数言語版OSを管理しなければならない企業なら、大きなメリットがあるだろう。今後は、システムの運用コスト削減のために、サーバ環境の自動展開のシナリオなども充実していくことになるだろうが、シングル・バイナリなら、この場合でも利用する言語ごとにイメージを準備する必要がない。環境にもよるが、場合によっては大きなTCO削減効果があるだろう。
言語の切り替えは非常に簡単である。コントロール・パネルの「地域と言語のオプション」から、次のように言語を選択するだけである。言語の切り替えは、OSの起動中に実行できる。
言語パックは、必要に応じて後から追加でインストールすることも、逆に不要なら、アンインストールすることもできる。インストールされている言語パックが、前出のドロップダウン・リストに表示される。
なお、前記のダイアログで選択した言語指定は、各ユーザー・プロファイルに登録されるため、ほかのユーザーでログオンしたとしても設定が引き継がれることはない(ユーザーごとに異なる言語を利用できる)。また、ユーザー・プロファイルの変更で表示言語が変わるため、設定変更後は、いったんログオフし再度ログオンし直すだけでよい。
Copyright© Digital Advantage Corp. All Rights Reserved.