• BPnet
  • ビジネス
  • IT
  • テクノロジー
  • 医療
  • 建設・不動産
  • TRENDY
  • WOMAN
  • ショッピング
  • 転職
  • ナショジオ
  • 日経電子版
  • PR

  • PR

  • PR

  • PR

  • PR

ニュース

「たたかれて鍛え直された」、MSがVistaのセキュリティ機能をアピール

八木 玲子=日経パソコン 2006/08/07 日経パソコン
BitLockerでハードディスクを暗号化したパソコンで、Windowsを起動しようとしたところ。この場合はUSBメモリーに暗号鍵を格納しているので、USBメモリーを挿入するよう求められる
BitLockerでハードディスクを暗号化したパソコンで、Windowsを起動しようとしたところ。この場合はUSBメモリーに暗号鍵を格納しているので、USBメモリーを挿入するよう求められる
[画像のクリックで拡大表示]
BitLockerは、さまざまなデバイスの組み合わせで利用できる。必要なセキュリティレベルと利便性を考慮して、適切なものを選ぶ
BitLockerは、さまざまなデバイスの組み合わせで利用できる。必要なセキュリティレベルと利便性を考慮して、適切なものを選ぶ
[画像のクリックで拡大表示]
BitLockerの動作の仕組み。ブートローダーなどOSの起動時に最低限必要なファイルは暗号化できないため、これらを格納しておくパーティションを作成しておく必要がある
BitLockerの動作の仕組み。ブートローダーなどOSの起動時に最低限必要なファイルは暗号化できないため、これらを格納しておくパーティションを作成しておく必要がある
[画像のクリックで拡大表示]
Vistaにおけるユーザー権限管理。管理者でログオンしていたとしても、重要な操作の実行時には明示的な確認作業が必要
Vistaにおけるユーザー権限管理。管理者でログオンしていたとしても、重要な操作の実行時には明示的な確認作業が必要
[画像のクリックで拡大表示]
Vistaでは、OSのサービスとアプリケーションのセッションを分離する。悪意あるソフトがサービスを乗っ取り、システム全体に被害をもたらすのを防ぐ
Vistaでは、OSのサービスとアプリケーションのセッションを分離する。悪意あるソフトがサービスを乗っ取り、システム全体に被害をもたらすのを防ぐ
[画像のクリックで拡大表示]
Windowsファイアウォールには、パソコンの内から外に対する通信を遮断する機能が加わる
Windowsファイアウォールには、パソコンの内から外に対する通信を遮断する機能が加わる
[画像のクリックで拡大表示]

 マイクロソフトは2006年8月7日、次期OS「Windows Vista」のセキュリティ関連機能についてのプレス向けセミナーを開催した。冒頭に、Windows本部 ビジネスWindows製品部の中川哲マネージャが「Vistaのセキュリティは、Windows史上最強」とアピール。セキュリティに関する機能が豊富なことに加え、過去に指摘されてきた数々の脆弱性(ぜいじゃく)をふまえ、アーキテクチャーの部分からセキュリティを意識して開発されているという。「社内では、Windows Vistaは“たたかれて鍛え直されたOS”と言われている」(中川氏)。

 まず基本となるのが、OSのカーネルそのものの安全性。Windows Vistaは、セキュリティを重視した同社のソフトウエア開発手順が適用された初めてのクライアント向けOSだ。例えばソースコードのレビューの責任者である「セキュリティアドバイザ」を設置したり、「社内ハッカー」と呼ばれるセキュリティの専門チームによる攻撃テストを施した。また過去の攻撃などから学んだ脆弱性のパターンを1400以上洗い出して検証し、安全性を高めたという。

 セキュリティ機能も多数紹介した。代表的なのが、ハードディスクの暗号化機能「Windows BitLocker」。Windows XPにもディスクの暗号化機能はあったが、今回はTPM(Trusted Platform Module)チップやUSBメモリーなどと連携し、ハードディスクが物理的に盗難された場合にも情報漏えいを防ぐことができるようになった。TPMやUSBメモリーなどに格納された暗号キーがないと、Windowsを起動できない。またスワップやハイバネーションなどによって一時的に保存されているデータが暗号化の対象になったことも新しい点だ。

 ユーザー権限の管理方法も変更する。管理者としてログオンしても通常は標準ユーザーの権限しか与えず、システムに大きな影響を与える操作をしようとしたときに明示的に確認を求める。これによって、スクリプトなどによって重要なコマンドが自動実行されるのを防ぐ。

 ただ、ベータ版を使用したユーザーの間からは、この機能によって頻繁に確認ダイアログが表示され、煩わしいという声が上がっているのも事実。この点については同社も見直しを進めており、「ベータ2で煩わしいと言われた部分は、RC(リリース候補)版で一部変更予定」(Windows本部 ビジネスWindows製品部の永妻恭彦シニアプロダクトマネージャ)。例えば、ベータ2版で管理者権限が必要だった「スタートアッププログラムの変更」は、RC版では標準ユーザー権限で実行できるようになる。またこの機能が不要な場合、セキュリティポリシーを使って無効にできることも紹介した。

 OSのサービスとアプリケーションの概念的な動作空間(セッション)を隔離し、攻撃プログラムによるサービスの乗っ取りを防止するのもWindows Vistaの特徴だ。これまでOSのサービスは、最初にWindowsを起動してログオンした人のセッション(セッション0)で動いていた。セッション0にはサービスとアプリケーションが共存するため、アプリケーションからの攻撃を受けやすかった。そこでVistaでは、サービスを独立したセッションで動作させることで危険を低減させる。またユーザー権限管理と同様のアクセス管理をサービスに対しても実行し、たとえサービスが攻撃者に乗っ取られたとしても、システム全体に与える影響を少なくする工夫も盛り込んでいるという。

 これ以外には、スパイウエア検知などの機能を持つ「Windows Defender」や、イメージファイルを使ったWindowsのインストール機能なども新規搭載する。またバックアップ機能や、Windows XP SP2から導入された「Windowsファイアウォール」も改良する。例えばWindowsファイアウォールでは、パソコンから外に出て行こうとする通信も遮断できるようになる。スパイウエアやファイル交換ソフトが重要な情報を外部に送信するのを防げるという。

あなたにお薦め

連載新着

連載目次を見る

今のおすすめ記事

ITpro SPECIALPR

What’s New!

経営

アプリケーション/DB/ミドルウエア

クラウド

設計/開発

サーバー/ストレージ

ネットワーク/通信サービス

セキュリティ

もっと見る