Windows Vistaというと,どうしてもWindows Aeroやフリップ3Dといった華麗なグラフィック機能に関心が向きがちですが,Windows Vistaの最大の強化点は,Windows XPから大幅に向上したセキュリティ機能です。Windows Vistaでは数えられないほどの新機能によって(ユーザーアカウント制御と Windows Defenderなど目で見ることのできる新機能もありますが、目で確認できない内部においても多くの点が改善されています)、コンピュータを攻撃しようとする悪意ある人物に対するセキュリティレベルが大きく向上されています。

 この連載では、危害を加えようとする人物からコンピュータを確実に守るために、ファイアウォールの利用、更新プログラムの適用、ウイルスのブロック、スパイウェアのブロックによる 4つの重要なセキュリティ対策を 1つずつ詳しく説明します。

増大するセキュリティの脅威

 近年、人々がセキュリティの脅威を話題にするとき、それは一般にウイルス、ワーム、スパイウェアのことを指しています。これらのプログラムのしくみを理解することは、コンピュータとネットワークを守るために必要不可欠なことです。以下に、ウイルス、ワーム、スパイウェアの定義について説明します。

ウイルス
 別のオブジェクトに取り付いて自己複製するコード。ウイルスは、独立型プログラムである必要はない。むしろ、一見、新型ウイルスの大発生のように思われても、実際には、これまでのウイルスコードの書き直しや再パッケージ化したものが含まれている。ウイルスは Windowsが動作しているコンピュータに感染すると、レジストリを攻撃し、システムファイルを置き換え、自己複製するために電子メールプログラムを乗っ取る。ウイルスはデータファイルを破壊したり、インストールされているプログラムを消去したり、オペレーティングシステムそのものに損害を与えたりするために作成されている。

ワーム
 一般には、ネットワークや電子メールの添付ファイルを介して、あるコンピュータから別のコンピュータへコピーを行って自己複製する独立型プログラムである。また、現在の多くのワームには、データに損害を与えたり、オペレーティングシステムを使用不能にするといったシステムリソースの多くを占有するようなウイルスコードが含まれている。

スパイウェア
 ユーザーが気づかないうち、または同意なしにインターネット接続を使用するソフトウェアのこと。「アドウェア」もスパイウェアと呼ばれるようになった。アドウェアは広告主が作成したソフトウェアで、通常はユーザーのWebサーフィンの動向を追跡し、その結果を広告主に報告する。現在では、スパイウェアという言葉は、迷惑だと考えられている多くのソフトウェアの総称として、広範囲に使用されている。スパイウェアの中にはポップアップ広告を表示するものもあれば、ユーザーが指定したものとは異なる検索エンジンやホームページにInternet Explorerを転送するプログラムもある。さらに、ユーザーがアクセスした Webページ内の広告を自社の広告に置き換えるプログラムさえある。本書でのスパイウェアの定義は、「ユーザーによる明示的な同意を得ることなく、多くの場合は不正な方法でインストールされ、ユーザーの許可を得ずに、広告の表示、個人情報の記録、コンピュータの構成の変更を行うプログラム」とする。

Vistaにおける改良点

 Windows Vistaは新機能であふれています。ユーザーアカウント制御や保護者による制限などのいくつかのセキュリティ機能は、Windows Vistaで初めて搭載されたものであり、Windowsの初期のバージョンでは利用できませんでした。Windowsファイアウォールや Windows Updateなどのよく名前を聞く一部の機能でさえも、Windows Vistaで完全に見直されています。主な改良点を、以下に示します。

ユーザーアカウント制御(UAC)
 UACは、アプリケーションがシステムで何かを処理する必要があるときにユーザーの同意を求めることで、日常業務での管理者アカウントの使用に潜在する危険を減らす。これは広範囲にわたって効果があり、実質的にすべての管理作業を含む。さらに、UACの導入によってもたらされた構造上の変更により、ほとんどのユーザーは日常業務でコンピュータを利用する際に標準アカウントを使用することができる。

Windowsファイアウォール
 Windowsファイアウォールは Windows XPのバージョンから大幅に変更された。今回大幅に変更された点は、送信トラフィックと受信トラフィックを監視する「双方向」ファイアウォールになった点である。高度な構成コンソールを使用すれば、管理者はファイアウォールのルールと他の設定を自在に制御することができる。

Windows Defender
 スパイウェア対策プログラムの Windows Defenderは、既知のスパイウェアのインストールを防止したり、スパイウェアのような活動があった場合にユーザーに警告するため、常に監視を行う。

Internet Explorer
 Internet Explorerを「保護モード」で使用すると、悪質なコードをインストールする可能性が低くなる。ユーザーが保護された領域の外側で処理する権限を与えなければ、一時ファイル用のフォルダでのみデータを作成することができる、権限の少ない「サンドボックス」に隔離して使用するのが効果的である。Internet Explorerに対する他のセキュリティの改良点には、フィッシングフィルタと ActiveXコントロールによる制限がある。

データリダイレクト
 標準ユーザーアカウントでの動作中は、保護されたシステムフォルダ([%ProgramFiles%]や[%SystemRoot%]など)に書き込もうとするアプリケーションは、何もしなくてもユーザーのプロファイル内にある仮想ファイルストアにリダイレクトされる。同様に、アプリケーションがレジストリのシステム領域(HKEY_LOCAL_MACHINEキーなど)に書き込もうとすると、レジストリのユーザーセクション内にある仮想キーにリダイレクトされる。これらの保護されたファイルとレジストリの場所から読み込もうとするアプリケーションは、最初に仮想ストアを調べる。ファイルとレジストリを仮想化すると、標準ユーザーはこれまでのアプリケーション(管理者が Windows XPで実行する必要がある多くのアプリケーションを含む)を動作させることができるだけでなく、悪質なアプリケーションがシステム全体に損害を与える領域に書き込みを行うのを防ぐこともできる。

バッファオーバーラン保護
 ASLR(Address Space Layout Randomization)は、Windows Vistaに新たに搭載された、バッファオーバーランの悪用を防止する、いくつかある基本技術の1つである。ASLRを搭載しているため、ユーザーが Windows Vistaを起動するたびに、システムコードがメモリの異なる領域に読み込まれる。この単純に見える変更により、悪質なコードが既存の領域からシステム機能を呼び出そうとする、既知の攻撃を防ぐことができる。ASLRと他の高度なプログラミング上のさまざまな変更は、Microsoftがプログラムコードのセキュリティバグを最小限にするプロセスであるセキュリティ開発ライフサイクルを採用した結果によるものである。

64ビットコンピュータへの追加セキュリティ
 64ビット版の Windows Vistaは、デジタル署名されたデバイスドライバのみをインストールすることができる。PatchGuardと呼ばれるこの機能は、カーネルレベルのコードが既知のソースで作成され、変更されていないことを保証するものである。また、ルートキットのインストールを防ぐための方法としても機能する。

データの暗号化
 BitLockerドライブ暗号化(EnterpriseとUltimateエディションのみ利用可能)は、ハードドライブ全体を暗号化する。つまり、コンピュータが盗まれたとしても絶対にハードドライブにアクセスすることができないデータを作成する。EFS(Encrypting File System:暗号化ファイルシステム)は、WindowsVistaでスマートカード対応、ページファイル暗号化、および追加グループポリシーオプションを備えたものに改良されている。

リムーバブルドライブの制限
 管理者は、グループポリシーを使用し、USBフラッシュドライブや外付けハードドライブなどの取り外し可能なストレージデバイスの使用を制限することができる(図1)。これらの制限により、機密データやプロプライエタリデータの盗難を防ぐことができる。さらに、ウイルスや自宅から持ち込まれた、他のマルウェアの侵入ポイントを閉じるのにも使用することができる。

図1:グループポリシーを使用したリムーバブルドライブの制限

注意
 Windows Vista の基本的なアーキテクチャとセキュリティの新機能の詳細については、Windows Vista セキュリティガイドを参照してください。

コンピュータを守るための4 つの重要な対策

1. ファイアウォールを有効にする
 Windows Vista に搭載されているWindowsファイアウォール、または他社から入手したファイアウォールを使用する。
2. Windows Vista を最新の状態に保つ
 Windows Update により、自動的に最新の状態に保たれる。
3. ウイルス対策プログラムを使用する
 Windows Vista には搭載されていないため、別途入手する必要がある。
4. スパイウェア対策プログラムを使用する
 Windows Vista に搭載されているWindows Defender が、この機能を提供する。

 Windows セキュリティセンターは、確実にユーザーが保護されるように、これらの4つの領域をそれぞれ監視し、注意が必要な場合は警告を表示します(図2)。

図2:Windowsセキュリティセンター

 以上の重要な対策以外に、危険性の高いソフトウェアをインストールしないようにすることが大切です。この点で、ユーザーアカウント制御(UAC)は、知識の少ないユーザーが実行する管理作業(「管理者」が必ずしも実行する必要がなくなった、すべて種類のプログラムのインストールは管理作業にあたります)を制限するのに役立ちます。さらに、Internet Explorer は、以前のバージョンよりもトラブルが発生しにくくなっています。また、Windows セキュリティセンターは、ユーザーのUAC とインターネットのセキュリティ設定も監視しています。