Insider's Eye

Windows XP SP2にまつわる不運な逆説

―― 強化・改良が大幅なために適用が困難になるというパラドックス ――

Michael Cherry
2004/06/02
Copyright (C) 2004, Redmond Communications Inc. and Mediaselect Inc.


本記事は、(株)メディアセレクトが発行する月刊誌『Directions on Microsoft日本語版』 2004年6月15日号 p.24の「XP Service Pack 2でも懸念されるパッチ/セキュリティ導入の遅れ」を、許可を得て転載したものです。同誌に関する詳しい情報は、本記事の最後に掲載しています。

 Microsoftは、Windows XP Service Pack 2(SP2)にTrustworthy Computing(信頼できるコンピューティング)フレームワークを適用することにより、Windows XPのセキュリティをWindows Server 2003の水準まで高めようとしている。これまでのWindowsのサービスパックと同様、SP2も統合テスト済みのアップデートやパッチのセットを提供しており、Windows XPシステムの新たな基準を確立している。しかしSP2は、システムを大幅に変更するため、導入する組織は、新しいWindowsリリースと同様のテストを実施しなければならない。

 Windows XP SP2は、大きな変化を示す製品といえる。というのも、Microsoftは、テスト済みのパッチを集めてリリースするだけではなく、Windows XPのシステムと構成を変更し、全般的なセキュリティを高めようとしているからだ。

重点はセキュリティ

Windows XP SP2の機能詳細

 Windows XPは、MicrosoftがTrustworthy Computing構想に基づくWindowsコードの見直し作業を実施する前に出荷されたため、セキュリティに関係する部分を根本的に変更する必要がある。この見直し作業は、Windows Server 2003の全般的なセキュリティと信頼性を大幅に向上させており、Windows Server 2003は、コードの見直し後に出荷されたWindowsの最初のバージョンとなった。Trustworthy Computingの原則と見直し作業の結果、Windowsに加えられた各種の変更は、以下のような形でWindows XP SP2へと結実した。

●設計段階でのセキュリティの確保
 セキュリティは、各種機能を設計する際の基本的な要素とならなければならない。Windows XP SP2に関してMicrosoftは、リモート・プロシージャ・コール(RPC)やDCOMなどのサービスを再設計し、そのセキュリティを強化しようとしている。

●出荷時設定におけるセキュリティの確保
 インストールと構成作業の間も、セキュリティは確保しなければならない。通常、このステップでは、管理者が有効にして構成が済むまで、あまり使われないサービスを使用不可にすることが多いが、Windows XP SP2では、デフォルトでWindowsファイアウォールを有効にし、セキュリティを強化している。

●展開時のセキュリティの確保
 新たな脅威や新たに発見された脆弱性に対して効果的に対応することにより、製品のライフサイクルを通じてセキュリティを確保する必要がある。Windows XP SP2には、Windowsシステム・トレイの新しいアイテムとしてセキュリティ・センターが追加されており、ユーザーは、ここからすべてのセキュリティ設定をチェックすることができる。またWindows XP SP2は、展開後もWindows XPのセキュリティを維持するため、重要なパッチを自動的にダウンロードしてインストールするためのサービス「AutoUpdate(自動更新)」を使うよう促している。

●情報の伝達
 セキュリティ面の脆弱性、エクスプロイト(実証コード)、パッチ、事前の対応策についての情報、および製品を安全に構成し、使用する方法に関する情報は、適時、オープンかつ誠意あるやり方で顧客やパートナーに伝えられなければならない。開発者と管理者の両方に対し、Windows XP SP2の変更内容が完全に伝えられているという点は、この分野で改善が進んでいることを示すものといえる。

パッチ提供体制の強化

 現在Microsoftは、「展開時のセキュリティの確保」に貢献できるよう、自社製品に対するパッチ提供体制も強化しようとしている。現在同社は、以下のような作業を行っている。

  • 8種類以上あるパッチ提供技術の数を2種類に減らす

  • Software Update Service(SUS)のアップデート版をWindows Update Service(WUS)に改称し、組織内でパッチやアップデートの展開状況を容易に管理できるようにする

  • Windows UpdateやOffice Updateなど、これまで分かれていたパッチ情報やダウンロード・サイトをMicrosoft Updateサイトに一本化する

 当初、こうしたパッチ提供体制の改善は、Windows XP SP2のリリースに合わせて行われることになるようだ。いまのところ、SP2がまず出荷され、その後2004年下半期に投入されるWUSの次期バージョンに合わせてほかの変更がリリースされる見通しだ。

企業ユーザーにはテストが大きな課題に

 SP2におけるセキュリティ関係の変更は、基本的なセキュリティ・インフラストラクチャ(ファイアウォールやアンチウイルス・ソフトウェアなど)を持たないことが多く、構成やセキュリティを管理するための技量やITリソースを持たず、自分たちのコンピュータを最新あるいは安全な状態に保つのが難しいユーザーにとって大きなプラスとなる。

 しかし、すでに十分なセキュリティを確保していることが多い企業ユーザーは、さまざまな問題に直面する可能性もある。例えば、SP2では、AutoUpdateを有効にするよう強く促しており、Windowsファイアウォールもデフォルトで有効になる。これらの機能は、Windows XP Home Editionでは合理的な設定といえるが、すでにきちんと構成され、管理されているファイアウォールがあり、管理者がアップデートのインストールを管理したいという意向を持っていたり、WUSとSystems Management Serverなどのツールを使ってアップデートの展開を制御・管理したりしているような組織では、歓迎されないのではないか。

 そのうえMicrosoftは、SP2の「パッチのみ」のバージョン(システム構成を変更しないバージョン)を提供していない。このため、統合テスト済みのパッチ集を導入する際には、システム構成の変更も行わなければならない。構成の変更は、例えばWindowsファイアウォール(これまでインターネット接続ファイアウォール(ICF)と呼ばれていた)がデフォルトで有効になるといった形でWindowsの動作方法に影響するため、ユーザーが普段使っているアプリケーションが停止してしまうような事態も考えられる。このため、SP2を導入する際には、Windowsの完全な新バージョンを導入する前に行うのと同程度のテストを実施しなければならない。

 Microsoftは、新しい機能と設定を企業の環境で管理できるようにしている。例えば、Windowsファイアウォールの構成は、グループ・ポリシー(GP)により管理できる。しかしこれによって、SP2のロールアウト前に行わなければならないテストと計画立案作業がさらにもう1段階増えることになる。GPを使ってファイアウォールを管理する前に、管理者の側でGPに管理させる構成オプションをチェックし、自分たちの組織にとって適正な設定を決定し、SPとポリシーの展開をテストしなければならないからだ(以下の図「グループ・ポリシーが管理するファイアウォールの設定」を参照)。

グループ・ポリシーが管理するファイアウォールの設定
管理者は、グループ・ポリシーを使ってWindows XP SP2に内蔵されている機能を管理することができる。例えば、Windowsファイアウォール設定の構成は、グループ・ポリシーを使って設定し、変更することができる。しかし、この機能を使うには、組織内でActive Directoryを使う必要があるうえ、サービスパックを導入するのに必要なテストを拡大しなければならなくなる可能性もある。

 Microsoftは、最終リリースに先立ち、テスト用のSP2を多くのユーザーに提供しているが、いますぐテストに着手できるだけのリソースがなかったり、最終バージョンがリリースされるまでにこれほど多くの変更をテストすることはできないと考えていたりする顧客もいるはずだ。このため、不運な逆説が生じている。すなわち、Windows XP SP2に盛り込まれたパッチとセキュリティの変更は有益なものだが、これらを1本のサービスパックにパッケージしたことで、パッチも、セキュリティも導入が遅れてしまうという逆説だ。

参考資料

Directions on Microsoft日本語版
本記事は、(株)メディアセレクトが発行するマイクロソフト技術戦略情報誌「Directions on Microsoft日本語版」から、同社の許可を得て内容を転載したものです。『Directions on Microsoft 日本語版』は、同社のWebサイトより定期購読の申し込みができます。
 
 「Insider's Eye」


Windows Server Insider フォーラム 新着記事
@ITメールマガジン 新着情報やスタッフのコラムがメールで届きます(無料)

注目のテーマ

Windows Server Insider 記事ランキング

本日 月間