2006年末,企業システムを変貌させる新しいツールが登場した。その核はインテルの「vPro」,マイクロソフト「Windows Vista」といった,クライアントの次世代プラットフォーム。企業ネットのセキュリティ・モデルが根底から変わろうとしている。今回からWindows Vistaを解説。

 ウイルス対策ソフト,スパイウエア対策ソフト,パーソナル・ファイアウォール,フィッシング対策ソフト,データ暗号化ソフト,検疫ネットワーク──。企業にとって必要なセキュリティ対策製品は増える一方だ。これに伴って,企業のセキュリティ投資も増大し続けている。

 Windows Vistaは,サードパーティが提供しているセキュリティ機能のほとんどを標準搭載する。もはやウイルス対策ソフト以外の機能は購入する必要がなくなる。企業ユーザーのセキュリティ事情が一変するのだ。

セキュリティ強化の目玉は5種類

 Vistaは,ボットやスパイウエアの感染予防,発見,被害拡大防止,復旧といった多段のフェーズで機能強化を図ってある(図3-1)。

図3-1●Windows Vistaで強化されたセキュリティ機能
図3-1●Windows Vistaで強化されたセキュリティ機能
赤字は特に注目の新機能。

 目玉と言える新機能は5種類。(1)検疫ネットワーク機能「NAP(ネットワーク・アクセス防御)」,(2)ウイルスやスパイウエア,ボットのインストールに際してユーザーに気付きを与える「ユーザー・アカウント制御」,(3)スパイウエア対策機能「Windows Defender」,(4)Internet Explorer 7(IE7)に実装されている「フィッシング詐欺検知機能」,(5)パソコンの紛失や盗難時の情報漏えいを防ぐハード・ディスク・ロック・ツール「BitLocker」──である。

 これらの機能を活用すれば,対策製品を個別に導入する必要はほとんどなくなる。しかもActive Directory環境を構築していれば,リモートから同じ設定を全クライアントに展開可能。単機能製品を個別に利用するよりも,統一的に管理できる点が強みだ。

 Vistaが備えるセキュリティ機能の一部は,vProのそれと重複する。必ずしもユーザーが両方を併用するとは限らないが,多くの場合はvPro対応パソコンを購入すれば,OSにはVistaが搭載されることになる。この際には,どちらを使うべきか迷うかもしれない。ただ,特徴を考えると,すみ分けはできる。

 例えば,詳細は後述するが,Vistaのファイアウォール機能はアプリケーション・レベルの制御が可能。一方,vProの仮想アプライアンスで動くファイアウォールはIP以下のレイヤーを対象としたフィルタリング。これらは,併用することでセキュリティ強度を高められる。紛失・盗難時の漏えい対策も補完関係にある。VistaのBitLockerでハード・ディスクにロックをかけた上で,リモートからデータを消去できる仕組みを持たせれば,強力なガードになる。

数百万円の投資をほぼゼロに

 Vistaに新たに搭載されたセキュリティ機能のうち,ベータ版の評価を進めるシステム・インテグレータが特に注目しているのが,(1)の検疫ネットワーク(NAP)機能である。理由は簡単。Vistaなら「ほぼ無料」で構築できるうえ,展開が容易だからだ。

 同様の機能を持つ検疫ネットワーク製品はサードパーティも提供しているが,これらは総じて高価。端末1000台規模で導入費用は500万円を下らない。さらにサポート費用として年額料金が別途必要になる。

 Vistaを使えば,こうしたサードパーティ製品を購入せずに済むうえ,NAPエージェントのインストール作業も不要である。検疫サーバーとして, 2007年に登場予定のマイクロソフトの新サーバーOS「Longhorn」が必要になるものの,サードパーティ製品より格段に安くなることは間違いない。

 ただしNAPには課題がある。ユーザーがクライアントの設定を変えると,検疫ネットを回避してLANに接続できる点だ。このため,より高いセキュリティ・レベルを求めるユーザーは,依然としてサードベンダーの製品を利用する必要に迫られる。

 NAPは,いわゆるDHCP型の検疫ネットワーク・システムである(図3-2)。クライアントがIPアドレスを得るために送るDHCP要求パケットに,自分の状態(セキュリティ・パッチやウイルス定義ファイルのバージョン)を格納して送る。これを受け取ったDHCPサーバーは,クライアントの状態がポリシーに合っているかをチェック。問題がなければ正規のIPアドレスを割り当てる。

図3-2●NAPの動作モデル
図3-2●NAPの動作モデル
Windows Vistaに標準搭載されるNAPエージェントがネットワークへの接続を制御する。
[画像のクリックで拡大表示]

 課題というのは,DHCPサーバーを利用しない端末を排除できないことだ。クライアントのネットワーク設定画面で勝手にIPアドレスを設定すると, DHCPサーバーにアクセスすることなくネットワークに接続できる。こうしたクライアントは検疫に引っかからない。このためマイクロソフトは,「NAPは簡易に検疫システムを入れたいというユーザーのためのもの」(Windows本部ビジネスWindows製品部永妻恭彦シニアプロダクトマネージャ)と位置付ける。サードベンダーからは,「NAPより市販の製品の方が細かい設定が可能。手軽に導入したいならVista,より細かい設定を求めるならサードベンダー製品というようにすみ分けが進むのではないか」(NTTデータ基盤システム事業本部システム方式技術ビジネスユニットの高橋基信シニアエキスパート)という指摘もある。