マイクロソフトは8月7日、Windows Vistaに搭載するセキュリティ対策機能についての説明会を開催した。「マイクロソフトはWindows XP SP2から、セキュリティ対策を強化した開発プロセスを採用している。Windows Vistaは、この開発プロセスを一から導入して開発する初めてのOS」と、ビジネスWindows製品部の中川哲マネージャは説明する。

　新たなセキュリティ対策機能は大きく六つ。（1）コンピュータの物理的保護、（2）安全なインストール作業、（3）不正プログラム対策、（4）ユーザー・アカウント構成の変更、（5）サービスとユーザー・プロセスの分離、（6）データ保護、である。Windows XPではサードパーティ製品を導入しなければ実現できない機能を、Vistaは標準で搭載している。

　（1）コンピュータの物理的保護の中核になるのは、「Windows BitLocker」と呼ばれるハードディスク暗号化機能である。パソコンに電源を投入した際、暗号鍵がないとWindows Vistaを起動できないようにする。暗号鍵は、TPM（トラステッド・プラットフォーム・モジュール）と呼ばれる、パソコンに組み込まれたセキュリティ・チップか、USBメモリーなどの外部デバイスに保存できる。TPMとUSBメモリーを併用することも可能だ。ただし、TPMに暗号鍵を保存した場合は、ハードディスクの盗難防止にしか効果がない。パソコンごと盗まれるとVistaを起動できて、ハードディスクの内容が読めてしまう。

　（2）は、OSをインストールした直後はセキュリティ対策が甘いという弱点を補うものだ。Windows Vistaをインストールしたクライアントのディスク・イメージを作成し、それを使って複数のクライアントにVistaをインストールすることができる。ウイルス対策や不正アクセス対策を施したOSのイメージを使えば、リスクを軽減できるわけだ。イメージを作成したクライアントと異なる機種にインストールする場合は、別途提供される「Business Desktop Deployment」と呼ばれるツールを利用すると、ドライバだけを追加してインストールできる。

　（3）の不正プログラム対策は、二つある。一つは、Internet Explorer7で搭載される「保護モード」。ActiveXコントロールを使ってプログラムをインストールする際、そのユーザーの権限に応じて格納するフォルダを制限できる。もう一つは、無償のスパイウエア対策ソフト「Windows Defender」である。

　（4）ユーザー・アカウントの構成・管理では、管理者権限（administrator）でログインしていても、プログラムのインストールやセキュリティ上重要な設定を変更する際に、必ずユーザーの同意を求めるようになる。不正なソフトウエアが自動的にスパイウエアなどを組み込むのを防ぐためのものだ。

　（5）のサービスとユーザー・プロセスの分離とは、Windows Vistaが動かしているサービス・アプリケーションを、ユーザーが起動したアプリケーションから見えなくすること。これにより、ユーザーが不用意にインストールしたプログラムが、サービスを攻撃するのを防ぐ。またサービスには、個別にセキュリティ識別子が割り当てられる。ユーザーが起動するアプリケーション同様、アクセス制御リストで操作を制御できるようにする。Windows XPまでのサービスは、「LocalSystem」と呼ばれる特別な権限で動かしていた。

　（6）データ保護機能ではファイルの暗号化機能を取り込む。Windows XPにも暗号化機能があったが、使い勝手が悪かった。暗号化操作をしたクライアント上でしか閲覧できず、ファイル・サーバーにファイルを移すと自動的に復号化されてしまっていた。Windows Vistaでは、暗号化したファイルをファイル・サーバー上で暗号化したまま、複数クライアントで共有できるようにする。暗号鍵をスマートカードに入れて使えば、別のクライアントでも閲覧できる。

　これらのほかに、通信に関するセキュリティ機能として、ファイアウォール機能の強化や、検疫ネットを構築する機能の追加が予定されている。万が一ウイルスなどに感染した場合のシステム復旧のために、定期的にバックアップを作成する機能なども追加される。