Windowsがセキュアになる日は来るか

中道理

2003.12.05

　Windowsセキュリティの最近の状況には本当にうんざりさせられる。ルーズであることが一切許されないからだ。セキュリティ・パッチが出たら，すぐに当てなければならないし，ウイルス対策ソフトのパターン・ファイルの更新にも気を付けなければならない。WindowsやWebブラウザ，メーラーの設定もセキュアにしておくように注意が必要である。さもなければ，どこからかウイルスが侵入するかもしれない。

　パソコンを使うだけなのに，できればこんな苦労はしたくない。とはいえ，インターネットなしの利用は考えられない。Windowsがセキュアになりさえすれば，この状況から抜けられる。

“使い勝手の良さ”が危険を生む

　では今なぜここまでWindowsは危険になってしまったのだろうか。よく言われているように，その最大の原因は，Windowsの“使い勝手の良さ”にある。

　米Microsoft社はWindows 95の発表以来，OSにMicrosoftが便利だと思う機能を「これでもか」と盛り込んできた。しかも，ほぼすべての機能をデフォルトでオンにしてである。これはユーザーの使い勝手を上げるためである。わざわざ設定して使わなければならないようなら使い勝手が悪い。また，デフォルト・オンは開発者にとっても使いやすい。ユーザーの環境でそのサービスが必ず利用できると考えられれば，ソフトウエアの開発が容易である。

　これは半面，ウイルス作者にとっても使いやすい環境と言える。デフォルト・オンされた各種機能をフル活用してウイルスを作れるからだ。例えば，Windowsにはほとんどのユーザーに使われていないWSH（Windows Scripting Host）というスクリプト実行環境があるが，デフォルトで利用可能になっているので，WSHがあるという前提でウイルスを作れる。加えて，いずれかの機能に，バッファ・オーバーフローなどの穴が見つかった場合，多くのユーザーがこれらの機能を利用しているという前提でウイルスを作れる。

　また，WindowsではOSカーネルやデフォルトで搭載されるプログラムを利用しながらアプリケーションが動くようになっている。このため，いずれかのプログラムに穴があれば，そこから別のプログラムが呼ばれ悪用されてしまう。このような仕組みになっているのも，“使い勝手の良さ”を最優先にしたためだ。

真面目に取り組み始めたMicrosoft

　もちろん，Microsoftもこの状況はまずいと思っている。これ以上セキュリティ崩壊が進めば，同社の製品が見向きもされなくなってしまうからだ。短期的と長期的に分けて，取り組みを行っている。

　短期的には，現在のOS/アプリケーションになるべくセキュリティ・ホールが無いように作り，不必要なサービスを停止するように動いている。例えば，最新のサーバーOSであるWindows Server 2003では，コードを見直すとともに，多くのユーザーにとって必要性の低い機能をデフォルト・オフにした。

　クライアントOSでも方向性は同じだ。Windows XPでは2004年前半に投入予定のService Pack 2（SP2）からセキュリティ機能に本腰を入れる。ネットワーク経由の攻撃に備え，XP標準のファイアウオール機能ICF（Internet Connection Firewall）をデフォルトでオンにする。また，ウイルスの入り口になりやすいInternet ExplorerやOutlook Expressの新バージョンを投入し，なるべくウイルスに感染しないような設定/機能を搭載するという。

　長期的には，Next-Generation Secure Computing Base（NGSCB）と呼ぶ構想に基づいてOSとハードウエアに新しいセキュリティの仕組みを追加する。OSとハードウエアが連携し，実行するプログラムを認証することで，悪意あるプログラムがOS/アプリケーションの機能を不正に利用することを禁止できるようにする。これは，2006年に投入する予定のクライアントOS「Longhorn」から搭載する予定である。

NGSCBは福音にならない

　このように，次々と手を打ち出しているものの，今の状況がそう簡単に改善するかと言えば，筆者にはそうは思えない。まず，Windows 2000やWindows MeなどWindows XP以外のマシンは多数ある。また，Windows XPのセキュリティ・モデルはSP2が来たとしても根本的には変わらない。パッチを当て続けなければならないという環境は依然続く。

　たとえNGSCBがやって来ても，現在の環境を劇的に変えることはできなさそうだ。Longhornでは過去との互換性を維持するために，現在のWindowsの環境が残るからである。この環境ではウイルスは制限されずに動く。実際Microsoft自身も「NGSCBはウイルスやスパイウエアの脅威を低減させることができるが，脅威がなくなるわけではない」としている。
　
　また，技術ではヒューマン・エラーは回避できない。ユーザー・インターフェースが複雑な内部構造を隠蔽する方向に進んでいることを考えれば，ソーシャル・エンジニアリングを使ってユーザーを欺くことはさらに容易になっていく。

　Longhorn以後，Microsoftがどのように動くかは見えていないが，当分の間，状況が急激に好転することはなさそうだ。