マイクロソフトは今月中にも,Windows XPの最新サービス・パックであるService Pack 2(SP2)をリリースする予定だ。企業ユーザーは,Windows XP SP2にどう対処 すればいいのだろうか。
Windows XP SP2はこれまでのサービス・パックのようなOSの修正モジュールを集めただけの存在ではない。同社が名称にわざわざ「Windows XP Service Pack 2 セキュリティ強化機能搭載」と付け加えるように,セキュリティを強化するための仕様変更が随所に盛り込まれている。
例えばWindows XP SP2では,ネットワーク攻撃からマシンを守る「Windowsファイアウオール」がデフォルトで有効になる。Windows XPには元から「インターネット接続ファイアウオール(ICF)」というパーソナル・ファイアウオールが搭載されていたが,これは機能が乏しい上にデフォルトで有効ではなかった。Windowsファイアウオールは,機能を大幅に増強した上で,デフォルトでも有効になったのである。
もっとも,Windowsファイアウオールがデフォルトで有効になることを初めて知った際に記者は,「Windows XP SP2は企業内ネットワークを大混乱に陥れそうだ」と思ったものだ。Windowsファイアウオールが有効になると,ファイル/プリンタ共有が利用できなくなったり,クライアント/サーバー型のアプリケーションが使えなくなったりすることが想像されたからだ。
これでは,Windows XP SP2のリリース直後は,企業のシステム管理者の元に「突然共有サーバーやアプリケーションが使えなくなった」という苦情が殺到する――記者はそう懸念していた。
しかし,実際に出荷候補版(RC)でWindows XP SP2を試してみたり,仕様を詳細に追ってみたりすると,こういった懸念は小さくなった。結論から先に言うと,ファイル/プリント・サーバーや一般的なクライアント/サーバー型アプリケーションを利用しているだけの環境では,Windowsファイアウオールが与える影響はごく軽微だと思われる。むしろ,クライアント管理ソフトを利用するような厳格なクライアント管理を実施しているユーザーほど,「Windowsファイアウオールに関連する負担」が大きくなることが分かってきた。
ファイル/プリンタ共有に影響は出ない
まず,「ファイル/プリント・サーバーや一般的なクライアント/サーバー型アプリケーションを利用しているだけの環境では影響はごく軽微」と考えた根拠を示そう。
例えば記者は,フォルダやプリンタを公開している(ファイル・サーバーやプリント・サーバーとして動作している)Windows XPマシンにSP2を適用すると,共有フォルダや共有プリンタが他のマシンから使えなくなると思っていた。Windowsファイアウオールがこれらの通信をすべて遮断してしまうからである。
ところがこの予想は外れた。実は,フォルダやプリンタを公開しているマシンにWindows XP SP2を適用した場合,Windowsファイアウオールはフォルダやプリンタの公開を妨げないよう自動的に“緩く”設定される(必要なポートがオープンされる)。
またWindows XP SP2を適用した後にフォルダやプリンタの公開作業を実行した場合でも,同様にWindowsファイアウオールの設定は自動的に緩くなる。一般のパーソナル・ファイアウオールでフォルダやプリンタを公開するためには,パーソナル・ファイアウオールを停止するか,手動で設定を変更しなくてはならないのだが,Windowsファイアウオールはその手間が省かれているのだ。
それでも記者は,Windowsファイアウオールが有効になるとWindowsファイル共有の根本を支える「ブラウザ・サービス」が使えなくなるはずだから,「いずれにせよファイル/プリンタ共有は制限される」と考えていた。ブラウザ・サービスとは,大まかにいうとWindowsの[マイネットワーク]の画面でコンピュータの一覧を表示させる機能である。これが使えないとクライアント・マシンはサーバーを探し出せなくなる。
しかしこれも予想は外れた。詳細は日経Windowsプロ8月号の特集「緊急報告!Windows XP SP2の全貌」を見てほしいが,Windowsファイアウオールには「ブロードキャスト・パケットの送信後3秒間は,同一のサブネットにあるすべてのアドレスからの応答を許可する」という「例外」が設けられていた。この例外があるおかげで,Windowsファイアウオールでどれだけ厳しい制限をしていたとしても,ブラウザ・サービスだけは有効化される。
Windows標準機能を「大目に見る」Windowsファイアウオール
このようにWindowsファイアウオールが有効であっても,ファイル/プリンタ共有にほとんど影響を与えないことが分かった。
そもそもWindowsファイアウオールは,外からやってくる通信(インバウンド)は原則としてすべて規制する一方で,内から出て行く通信(アウトバウンド)とそれに対する応答は全く制限しない。Windowsファイアウオールの警告が出るのは,サーバーのような動作をするアプリケーションが通信を開始したときだけである。
よって,Webの閲覧や電子メール,共有フォルダ,一般的な作りをしたクライアント/サーバー型アプリケーションだけを使うユーザーに対して,Windowsファイアウオールはほとんど影響を与えない。もしWindowsファイアウオールの警告が表示されたとしても,マシンの「管理者権限」を持つユーザーは,その警告画面からWindowsファイアウオールの設定を変更できる。
Windowsファイアウオールが負担になるケースもある
その一方で,Windowsファイアウオールが負担になる企業ユーザーも出てくる。例えば,ソフトウエア配布やインベントリ収集などを実施するクライアント管理ツールを利用する企業だ。これらのツールを利用するためには,Windowsファイアウオールを無効にするか,そのツールの実行ファイルまたは利用するポートをWindowsファイアウオールに設定してやる必要がある。
しかし,複数マシン上のWindowsファイアウオールを一元管理するには,Active Directoryのグループ・ポリシー機能を利用するか,ログオン・スクリプトとしてWindowsファイアウオールの設定を変更するバッチ・ファイルを読み込ませるかしなくてはならない。Active Directory環境がないユーザーだと,「クライアント管理作業を自動化するために存在するツールを利用するために手作業が必要になる」という事態が発生しかねないのだ。
またWindows XP SP2は,マイクロソフトがWindows Serverユーザーに対して無償で提供しているパッチ配布ツール「Software Update Services(SUS)」で配布できない。マイクロソフトの「Systems Management Server」といった,ソフトウエア配布機能をうたうクライアント管理ツールでWindows XP SP2が配布できるかどうかも,現時点で不明である。
【追記 204-08-16】記事執筆時点ではマイクロソフトの説明に基づき,「Software Update ServicesではWindows XP SP2を配布できない」としたが,同社はその後,Windows XP SP2がSUSで配布できることを明らかにした。
企業ユーザーはWindows XP SP2をどう展開する?
では企業ユーザーは,Windows XP SP2にどう対処すればいいのだろうか。セキュリティを大幅に強化したWindows XP SP2が,ユーザーに与えるメリットは確かに大きい。ウイルス・メールやワームのまん延に何度も悩まされたユーザーは,Windows XP SP2の展開を是非とも進めてほしい。
しかし,既にある程度のセキュリティ対策やクライアント管理を実施している企業ユーザーにとっては,Windows XP SP2はありがた迷惑な存在である。そこで,Windows XP SP2の適用を悩んでいるユーザーは,まず「待つ」ことをおすすめしたい。
実はWindows XP SP2がリリースされた後でも,最低2年間はWindows XP SP1向けの修正パッチが提供されることが決まっている。この2年間の「猶予期間」を利用して,Windows XP SP2の評価をじっくり行ってから,Windows XP SP2を展開するかどうかを決めてほしい。
なお,一度インストールしてしまったWindows XP SP2を改めてアンインストールする際には,従来とはアンインストール方法が異なることに注意してほしい。これまでのサービス・パックは,[コントロールパネル]-[プログラムの追加と削除]で表示されるリストから削除ができた。しかしWindows XP SP2はこのリストに載っていない。[プログラムの追加と削除]の画面の右上にある[更新プログラムの表示]というボックスにチェックを入れないと,リストに表示されないのだ。これを知らないとアンインストールできなくて非常に焦ることになる。
(中田 敦=日経Windowsプロ)
