第2回 Windows XP SP2の導入でセキュリティを向上


他力本願堂本舗
杉谷智宏
2004/10/23



 Windows XP SP2の登場

 Windows XP Home EditionおよびWindows XP Professional Editionのセキュリティ対策を大幅に改善し、機能強化を行うService Pack2(SP2)が公開されて2カ月がたつ。SP2を適用すると何が変わるのだろうか?

  SP2での大きな変更は、セキュリティ機能の大幅な改善と追加だ。特にウイルス対策やパーソナルファイアウォール機能の改善は影響が大きい。ハードウェアに直接アクセスするようなアプリケーションや、OS(オペレーティングシステム)の動作と深くかかわるウイルス対策ソフトの中には、SP2に対応したものに更新しないと機能が制限されてしまうこともある。これはシステムへのアクセス権を厳密に適用することで、悪意のプログラムが動作しにくい環境を作り出そうとしていることの影響だろう。

 このように書くと若干の使いづらさを感じるとは思う(実際に多くの企業や団体では導入を急がず、様子見の状態だ)。だが、OSの進化の方向としては妥当なものとも考えられる。

  特に昨今のクライアントPCへのウイルス感染による脅威に「何とか対策しよう」という意気込みには賛同できる。ユーザー教育によるセキュリティ対策が極めて脆弱(ぜいじゃく)な対処法でしかない(*1)ことを顧みても、コンピュータの機能としてセキュリティ機能を強化することは対策手法の1つとして十分選択する価値が高い。

(*1)
 前回、上野氏が書いたように、セキュリティ対策は最も弱い部分から切れる鎖のようなものだ。ユーザー教育による対策は、ただ1人が従わないだけで効果を大幅に低下させてしまう。例えば京都府警がWinnyウイルスに感染して捜査情報を漏えいさせた事例を考えてみればよい。常識的に考えても業務に使う情報が格納されたコンピュータを使ってWinnyに接続し、あまつさえ興味本位に開かなければ感染しないような偽装方法を施したウイルスに感染してしまうような行動を取るといったことは極めてセキュリティに対する意識が低いといえる。

 しかし、実際にそういった行動をただ1人が行うだけで、重要な情報が2度と削除できない可能性が極めて高いネットワークに流出してしまった。彼が高度なセキュリティ教育を受けていたとしても、果たして防げたかどうかは分からない。そもそも教育で平均レベルは上げられても、最低レベルを上げることは難しい。

 今回は、Windows XP SP1の環境とWindows XP SP2の環境におけるセキュリティ対策を比較することで、その違いを把握したい。まずは現状のSP1環境を復習してから、SP2で強化された部分を見ていこう。

  なお、本記事において単に「Windows XP」または「XP」と表記している場合、Service Packを適用していないWindows XP Professionalを指す。「Windows XP SP1」や単に「SP1」とした場合、同様にWindows XP ProfessionalにService Pack 1を適用したものを指す。「SP2」についても同様だ。

 Windows XP SP1環境でのセキュリティ対策

  Windows XP SP2を適用する前に、2004年10月1日現在、店頭で購入できるコンピュータで一般的なSP1環境について触れておこう。Windows XPを利用している環境ではすでに大部分でSP1が適用されていることと思う。。

  Windows XP SP1の環境でも、パーソナルファイアウォール機能が利用できる。しかし、デフォルトの設定では大半の接続を拒否することができるが、コンピュータからネットワークへの接続を拒否することができないため、機能としては不完全といえる。そのため、別途パーソナルファイアウォール製品を導入するケースもある。また、ウイルス対策製品の多くにも簡易版とはいえパーソナルファイアウォール機能が搭載されているため、そちらを利用しているケースもある。一般的に、Windows XP SP1標準のファイアウォール機能は使われていないようだ。

 Windows XP SP1のファイアウォール機能

  さて、Windows XP SP1で標準のファイアウォール機能を設定した場合はどのような効果があるのだろうか。全くファイアウォールを設定しない場合と、Nmapによるスキャン結果によって比較してみよう。

 まずはSP1導入直後のXPでファイアウォール設定なしの状態をスキャンした結果を見てみよう。

図1 XP SP1でファイアウォール設定なしのNmap

 特徴的なものは、Windows 2000から追加されたPort 445でのlistenだ。ユニバーサルプラグ&プレイに関係するポートも見える。また、NetBIOS over TCP/IPによるファイル共有のlistenがPort 139で行われている。

 もし、このままインターネットに接続したとしたら、さまざまなリスクが発生すると考えられる。2003年に発生したウイルスの感染経路として使われたDCOM RPCの接続が開かれているため、Blasterのようなワームに感染してしまう可能性がある。また、ファイル共有機能を使ってNull接続を行い、システムの情報を取り出されるかもしれない。

 それでは、標準のファイアウォール機能を設定してみることにしよう。設定はスタートメニューから「全てのプログラム」→「アクセサリ」→「通信」と選択し、ネットワーク接続を開いてローカルエリア接続のプロパティから「詳細設定」タブを選択する。ファイアウォールの使用にチェックを入れて、「詳細設定」ボタンを押すと次のダイアログが表示される。

図2 ファイアウォールの設定画面

 アクセスを許可するサービスにチェックを入れるようになっているので、このまま「OK」をクリックすればすべてのサービスについて外部からのアクセスを拒否できる。そこで、実際に上記画面で「OK」をクリックして設定を有効にしてから再度Nmapでスキャンしてみた。Nmapをデフォルトで使うと、あらかじめPingを打って対象が応答するかどうかを確認するため、Pingに反応しない端末にはスキャンを行わない。そこで、Pingを打たないようオプションをつけてスキャンした。

図3 XP SP1でファイアウォール設定ありのNmap

 図3からすべての接続が拒否されていることが分かる。このようにしてSP1環境では外部からの接続をコントロールすることが可能だ。詳細設定画面でチェックを入れることで、例えばファイル共有だけを許可することもできる。

 ただし、SP1のファイアウォールは、既知のサービスをすべて停止することで成り立っている。そのため、例えばFTPのPassive接続においてクライアントがポートを開いても、これを検出してブロックするといった動作はなかった。

 SP1におけるセキュリティ機能は基本的にはこれだけといっても過言ではない。これに対してSP2では、よりきめ細やかな設定が可能となったファイアウォールだけでなく、ウイルスに対抗する機能も盛り込まれている。

第1回」へ
1/3


Index
Windows XP SP2の導入でセキュリティを向上
Page1
Windows XP SP2の登場
Windows XP SP1環境でのセキュリティ対策
Windows XP SP1のファイアウォール機能
  Page2
Windows XP SP2のファイアウォール機能
未知なる通信をブロック
  Page3
ウイルス対策ソフトとの連携
Windows Updateの自動更新機能
セキュリティセンターからアクセスできる保護機能
導入すべきか、見送るべきか


関連記事
クライアントセキュリティチャンネル
管理者のためのウイルス対策の基礎
Windows XP SP2のセキュリティ機能 (Windows Server Insider)
ノートPCからの情報漏えいを防ぐ便利グッズ (System Insider)

Security&Trust記事一覧


Security&Trust フォーラム 新着記事
@ITメールマガジン 新着情報やスタッフのコラムがメールで届きます(無料)

注目のテーマ

Security & Trust 記事ランキング

本日 月間