説明を担当したWindows本部ビジネスWindows製品部シニアプロダクトマネージャの永妻恭彦氏
説明を担当したWindows本部ビジネスWindows製品部シニアプロダクトマネージャの永妻恭彦氏
[画像のクリックで拡大表示]
Administrators権限でログオンしていても,すべて自由に操作できるわけではない。管理者レベルの操作をしようとすると,確認のダイアログが出る
Administrators権限でログオンしていても,すべて自由に操作できるわけではない。管理者レベルの操作をしようとすると,確認のダイアログが出る
[画像のクリックで拡大表示]
一般ユーザーとしてログオンしていても,Administratorsアカウントのパスワードを入力すれば,一時的にAdministrators権限を利用できる
一般ユーザーとしてログオンしていても,Administratorsアカウントのパスワードを入力すれば,一時的にAdministrators権限を利用できる
[画像のクリックで拡大表示]
 マイクロソフトは2006年8月7日,2007年に登場予定の新OS「Windows Vista」(以下,Vista)が備えるセキュリティ対策機能について報道関係者向けのセミナーを開催した。冒頭で概要を説明したWindows本部ビジネスWindows製品部マネージャの中川哲氏は「Vistaはとりわけセキュリティ対策強化に注力しており,その結果VistaはWindows史上で最もセキュリティ強度が高いOSに仕上がった」とVistaの安全性についてアピールした。

 続いて,永妻恭彦氏(Windows本部ビジネスWindows製品部シニアプロダクトマネージャ)がVistaに新たに導入されたセキュリティ機能について説明した。例えば,Vistaでは,Windows起動ドライブ全体を暗号化する「BitLocker」や,スパイウエアなどを検知,削除する「Windows Defender」といった新しいツールが搭載される。

 またVistaでは,セキュリティ強度向上のために,設定や権限などを従来のWindowsから変更した。中でもAdministrators(管理者)権限の扱いが変わった点は,従来のWindowsに慣れたユーザーには混乱を招きそうだ。Vistaでは,Administrators権限を持つユーザーでログオンしても,通常はUsers(スタンダード・ユーザー)と同じレベルの権限しか与えられない。ただし,デバイス・ドライバの追加やアプリケーションのインストールなど,Users権限を超える操作を希望すると,確認のダイアログ・ボックスが表示され,「続行」ボタンを押すことにより希望の操作が可能になる。

 これは,ユーザーが意識しないところで悪意のあるプログラムがOSに変更を加えることを防ぐためだ。通常の操作を行っているときに突然ダイアログが現れたら,それは悪意のあるソフトウエアが活動しようとしていることを示している。こうした場合は「キャンセル」ボタンで活動を止めることができる。

 一方,Users権限のユーザーが一時的にAdministratorsとして振る舞える機能も用意した。Usersでログオンしているときに,アプリケーションのインストールなどAdministrators権限が必要な操作を行うとダイアログが現れる。ここで,Administrators権限を持つユーザーのパスワードを入力すれば,一時的にAdministratorsレベルの操作が可能になる。

 権限の扱いが変わることは,ソフトウエア開発者にも影響を与える。既存のWindowsアプリケーションはプログラムの修正が必要になる可能性が高いからだ。例えば,設定情報などを保存するためにレジストリを利用していたアプリケーションは,頻繁に警告のダイアログが現れることになる。マイクロソフトによると,Vistaでは,レジストリの中でシステムの動作にかかわる部分,例えば「HKEY_LOCAL_MACHINE」などを操作しようとすると警告が出るという。アプリケーションからレジストリを利用したい場合は,ログオン・ユーザーの情報を格納する「HKEY_CURRENT_USER」を利用するように変更する必要があるという。

 Vistaでの権限の変更は,UNIXにおけるユーザー・アカウントの扱いに習っている部分がある。UNIXでは,通常は権限の低いアカウントでログインし,必要な時だけ「sudo」コマンドなどで一時的にスーパー・ユーザーとして操作するのが一般的だ。これまでのWindowsでは,Users権限があるにもかかわらず,このアカウントを利用する人は少なかった。それは,UNIXにおける「sudo」のように,一時的に管理者として振る舞える機能がなかったことも一因だ。永妻氏は「これまでもマイクロソフトは権限を適切に使い分けることの大切さを訴えてきた。しかし,ほとんどのWindowsユーザーは何でもできる利便性を求めてAdministrators権限でパソコンを動かしてしまっている。Vistaではこの流れを止めたい」と語った。

 そのほか,バックグラウンドで動作するサービスの扱いも変更した。従来のWindowsでは,最初にログオンしたユーザーのセッション(メモリー領域)で各サービスを動作させている。Vistaでは,サービス専用のセッション領域を用意し,通常のアプリケーションとは異なるセッションで動作させる。これにより,ユーザー・セッションが乗っ取られたとしても,サービスに影響が及ぶ可能性は非常に小さくなるという。

 また,それぞれのサービスには,セキュリティ識別子(SID)を付けられるようになった。これにより,サービスをアクセス制御リスト(ACL)で制御できるようになる。例えば,ファイアウォールのポリシーを操作して,特定のサービスには通信を禁ずるということが可能になる。

 さらに,Windowsファイアウォールも改良した。現状ではパソコンに入ってくる通信(インバウンドの通信)だけを監視対象としているが,Vistaではパソコンから出ていく通信(アウトバウンドの通信)も監視する。これは,Peer-to-Peerアプリケーションやスパイウエアなどによる情報漏洩を防ぐために実装した機能だ。

 ほかにも,万が一被害を受けたときにいち早く復旧できるバックアップ機能や,ファイル・システムの暗号化機能を強化したという。同社の試算では,Windows XP(SP2)と比べて,Vistaの管理コストは1台あたり2万4860円ほど安くなるとしている。今後は,この点をアピールして,企業への早期導入を働きかけていく構えだ。