Vistaの地平
第3回 カーネルの改良とフォント、セキュリティ機能の強化

3.Vistaのセキュリティ機能

デジタルアドバンテージ 小川 誉久
2006/12/08

OSレベルから抜本的に強化されたセキュリティ機能

 Microsoft UpdateやWSUS(Windows Server Update Service)のような修正プログラム適用サービスや、Windowsファイアウォールの標準搭載など、安全にインターネットを利用できるようにするセキュリティの強化は、XP開発の重点ポイントでもあった。しかしそれらほとんどの対策は、既存OS上に追加された新機能だった。これに対しVistaでは、OSカーネルのレベルでコードの見直しを実施し、従来改善できなかった抜本的なセキュリティ対策を実施している。その1つが前回(第2回)でも述べたユーザー・アカウント制御(User Account Control:以下UAC)である。

重要な操作に明示的な許可を要求するUAC

 ウイルスやワームなどの不正プログラムから攻撃を受けた際の問題の1つは、ユーザーが管理者権限でコンピュータを使っていると、不正プログラムも管理者権限で実行され、コンピュータが完全に制御されてしまうことだ。これを回避する効果的な方法は、通常利用では管理者権限は使わず、より制限の強い(権限の弱い)「通常ユーザー権限」を使うようにすることだ。

 建前上これは正しい。しかし現実には、「通常ユーザー」ではソフトウェアをインストールしたり、システムの構成を変化させるような設定変更を実行したりできない。具体的にいえば、管理者権限がなければ、システムの時計を合わせることもできない。Visual Studioのような開発ツールはもとより、Officeのようなビジネス・アプリケーションにおいても、通常ユーザーではさまざまな場面で利用が制限され、かなり不便なのが現実だ。現実には、管理コストやサポート・コストの増大や、ユーザーの反対などから、「通常ユーザー」の使用を強制できない場合も多いだろう。

 これに対しVistaのUACでは、たとえユーザーが管理者としてログオンしている場合でも、通常はより制限の強い権限レベルで処理を実行させ、システム構成の変更を伴う処理など、管理者権限が必要な場合だけ権限レベルを昇格させて、処理を実行する。この際VistaのUACは、次のような確認ダイアログを表示する。

VistaのUACが表示するダイアログ
より高い権限レベルが必要な処理を実行すると、このような確認ダイアログが表示される。ここで明示的に[続行]をクリックしなければ、処理を続行できない(画面は第2回から再掲)。

 つまりウイルスがコンピュータの脆弱性を悪用し、ユーザーに知られないようにシステムに重大な変更を及ぼそうとしても、Vistaではこのダイアログがユーザーに表示されるので、攻撃を水際で防止できる可能性が高まるわけだ(もちろん、不注意にせよ、無理解にせよ、ユーザーが明示的に許可を与えてしまえば、攻撃被害を受けることになる)。

スパイウェア対策ソフト、Windows Defenderを標準装備

 マイクロソフトは、GIANT Company Software社から買収したスパイウェア対策ソフトを改修し、Windows Defenderという名称でVistaに標準搭載した。Windows Defenderは、デフォルトで有効になっており、毎晩深夜(AM 2:00)にハードディスクを走査し、スパイウェアがインストールされていないかチェックする。またIEによるファイルのダウンロードもリアルタイムにモニタしており、スパイウェアを検出すると、インストールをブロックしてくれる。

インバウンドだけでなく、アウトバウンドもブロック可能になったWindowsファイアウォール

Windows Defenderでスパイウェアを検出/削除する(Windows TIPS)

 XPのWindowsファイアウォールでブロックできるのは、外部からコンピュータに入ってくる通信(インバウンドの通信)のみだった。外部からの攻撃をブロックすることは可能だが、コンピュータから外部に向かう通信(アウトバウンドの通信)はブロックできなかった。このため例えば、コンピュータがウイルスに感染した場合に、ほかのコンピュータに感染を広げるような不正な通信(アウトバウンドの通信)をXPのWindowsファイアウォールではブロックできない。

 しかしVistaのWindowsファイアウォールでは、インバウンドとアウトバウンドの双方の通信を監視し、必要に応じて双方をブロックできるようになった。これにより、万一コンピュータがウイルスなどに感染した場合でも、外部に対して「みっともない」攻撃パケットを垂れ流すことをブロックできるようになる。

システム・ドライブを丸ごと暗号化するBitLocker

 個人情報の漏えいなど、情報漏えいが企業にもたらすインパクトは年々大きくなっている。現在では、多くの情報をコンピュータで扱えるようになったが、それはつまり、コンピュータを経由した情報漏えいの危険が増したということでもある。

 特に注意が必要なのは、持ち運んで使うノートPCだ。機密情報が保存されたノートPCを紛失したり、盗難にあったりする事件が後を絶たない。PCを持ち出さなければよいのだが、それではノートPCの大きな特長である機動性を生かすことができなくなってしまう。

 次善の策として、情報の暗号化がある。XPのNTFSファイル・システムには、EFS(Encrypted File System=暗号化ファイル・システム)と呼ばれるファイル暗号化機能がある。EFSによりファイルやフォルダを暗号化すれば、万一PCを紛失した場合でも、正しくログオンできないユーザーは情報を復号化できない(読み出せない)。

 一見すると、ハードディスク全体をEFSで暗号化してしまえばよいように思えるが、EFSではWindows OSが使用するシステム・ファイルは暗号化できない。システム・ファイル以外の文書ファイルを含むマイ ドキュメント・フォルダを暗号化するのが一般的だが、実際にはレジストリや仮想メモリ・ファイルなどといったシステム・ファイルにも機密情報がコピーされるケースがあり、情報保護は完全ではなかった。VistaのBitLockerは、この問題を解消し、Windowsのシステム・ドライブ全体を暗号化して使えるようにする。これにより、より完全な情報保護が可能になる。

 BitLockerは、より確実な情報保護を実現するため、ハードウェア機能を利用する。具体的には、Trusted Computing Group(ホームページ)と呼ばれる業界団体が開発したTPM 1.2(Trusted Platform Module)というハードウェア・チップの機能を使う。TPMは暗号化で利用されるRSA、SHA-1、RNGなどの処理アルゴリズムをサポートし、暗号鍵の生成や保持、管理を行うチップで、ビジネス向けPCの一部の機種では、すでにこれをマザーボードに搭載したものも販売されている。基本的にBitLockerを利用するには、コンピュータにTPM 1.2チップが搭載されている必要があるが、マイクロソフトは、TPM 1.2チップを搭載しないコンピュータでは、外付けUSBメモリに鍵情報を保存して、BitLockerを使えるようにした。ただしこの場合には、コンピュータを起動するたびに、USBメモリを装着しなければならない。

 なお第1回で説明したとおり、BitLockerの機能がサポートされるのは、Vista EnterpriseまたはVista Ultimateのみだ。ビジネス用エントリ・エディションのVista Businessではサポートされていない。End of Article


 INDEX
  Vistaの地平
  第3回 カーネルの改良とフォント、セキュリティ機能の強化
    1.カーネルの改良による性能とスケーラビリティの向上
    2.新フォント「メイリオ」と新JIS標準対応
  3.Vistaのセキュリティ機能
 
 「 Vistaの地平 」


Windows Server Insider フォーラム 新着記事
@ITメールマガジン 新着情報やスタッフのコラムがメールで届きます(無料)

注目のテーマ

Windows Server Insider 記事ランキング

本日 月間