米Microsoftが米国時間12月19日,64ビット版「Windows Vista」のカーネル・パッチ保護機能を損なうことなくWindowsカーネルの一部機能にアクセス可能とするAPIセットを発表した。

 カーネル・パッチ保護機能は,Windowsカーネルに対するパッチ適用を制限してシステム改変を防ぎ,セキュリティ向上を図る機能。「Microsoft Windows XP Professional」および「Windows Server 2003 Service Pack 1」の64ビット版に導入済みで,「Windows Vista」や次期サーバーOS「Windows Server“Longhorn”」(開発コード名)に標準搭載する。

 カーネルへのパッチ適用に制限を加えることで,Windows自体のセキュリティは高まる。しかしこの保護機能により,OSの低レベル層にフックを設けるサード・パーティ製セキュリティ・ソフトウエアは使えなくなる(関連記事その1その2)。

 Microsoftは独立系ソフトウエア・ベンダー(ISV)と協力し,どのようなカーネルAPIを公開するべきかなどを検討してきた。その結果,第一弾として,「プロセスとスレッドの生成/制御」「セキュリティ・ソフトウエアの自己防御」「メモリー操作に対する保護」「イメージ読み込み操作」という4分野のAPIセットの提供を決めた。公開するAPIの選択基準などを説明する文書「Kernel Patch Protection Criteria Evaluation Document」も公開した。

 同APIセットを利用すると,カーネル・パッチ保護機能を無効にしたり弱めたりせず,Windowsカーネルを活用してソフトウエアの機能を拡張できるという。

 Microsoftは,Windows Vista用修正プログラム「Service Pack 1(SP1)」の32ビット版および64ビット版に含める形で同APIセットを提供する予定。ISVに対しては,各社がSP1リリースに合わせてソフトウエアを同APIセットに対応できるようにするため,早い段階で試験版APIを利用可能とする。

 米メディア(CNET News.com)によると,調査会社の米Gartnerは,Windows Vista SP1のリリース次期を2008年初頭とみているという。また同メディアは,米SymantecがMicrosoftから同APIセットに関する情報を受け取ったと認め,米McAfeeが同APIセットを歓迎したと報道している。

[発表資料へ]