企業はWindows XP SP2をどう導入すべきか

PaulThurrott

2004.08.25

（Paul Thurrott）

　8月6日金曜日，米Microsoftはついに長い間待ち望まれたWindows XP Service Pack 2（XP SP2）を完成させた。名前はサービス・パックだが，XP SP2は単なる修正モジュールの集合ではない。多くの広範なセキュリティ機能が追加されており，新しいメジャーなバージョンのWindowsとして扱うべきである。ライセンス費用は不要だが，企業はこのサービス・パックを評価・導入するときに本当のコストを実感するはずだ。Microsoftはシステムをより安全なものにするため，特定の技術を壊すという通常と違う手順を踏んだ。XP SP2で行われた仕様変更はカスタム・アプリケーションやサービスで大きな問題を引き起こしかねず，そこが負担になる可能性がある。

　XP SP2による機能の変更点は多い。その詳細は，SuperSite for Windowsにある解説「Windows XP Service Pack 2 with Advanced Security Technologies Review」を見てほしい。この解説は個人ユーザー向けだが，企業ユーザーにも参考になるはずだ。同様にここではXP SP2に関してMicrosoftが計画した公開方法の詳細も省略する。この点についてはWinInfo Daily UPDATEの私の記事「Microsoft Releases Windows XP SP2; Public To Get Update Over Time」から情報が得られる。

　ここでは，企業がXP SP2を導入する場合に絞って，できるだけ早くこのサービス・パックを導入するための実践的な戦略を提案する。仕様変更による非互換性の問題を別にすれば，企業はできるだけ早くXP SP2を導入するべきだろう。XP SP2は以前のサービス・パックに比べずっとセキュリティが高く，より設定しやすい。XP SP2では600以上の新しいグループ・ポリシー・オブジェクト（GPO）が追加されている。これによりGPOの数は，従来のWindows XPの倍ぐらいになった。さらに，Microsoftはいくつかの導入ツールの新しいバージョンも提供している。

XP SP2が引き起こす問題の多くは非互換性が原因
　まず企業は，XP SP2の互換性について厳しいテストを実施してほしい。XP SP2が引き起こす問題の多くは非互換性が原因である。非互換性はいくつかのパターンに分けられる。大抵の商用ソフトウエアはXP SP2と一緒にうまく動くはずだ。しかし，ネットワーク・アプリケーションはWindowsファイアウオールという新しいパーソナル・ファイアウオール機能で警告が出る可能性がある。また，XP SP2ではInternet Explorerなどの機能がロックダウンされている。そのロックダウンされた機能を使うカスタム・アプリケーションやイントラネットやWebサイトは警告が出て不便になる場合がある。ロックダウンされた機能に関するより詳しい情報は，XP SP2に関するMSDN（Microsoft Developer Network）の資料「Windows XP Service Pack 2 - Security Information for Developers」を参照してほしい。

　セキュリティ関係の機能はより厳しく稼働状況がチェックされる。ユーザーが自分のシステムのウイルス対策ソフトを止めたり，最新のセキュリティ・パッチを自動適用する設定にしていなかったり，Windowsファイアウオールを無効にしたりすると，XP SP2は警告を出す。最初はちょっと面倒だと思うだろう。Windowsファイアウオールを有効にしていても，パソコンの外から中に進む方向の通信を検知すると，XP SP2はダイアログ・ボックスを出す。これは慣れるしかない。

　企業ネットワークでは，XP SP2は現在のXPとあまり変わらないように振る舞いつつ，何種類かのネットワーク攻撃を防げるようになっている。しかし，これまで指摘したようにXP SP2のWindowsファイアウオールは，コンピュータの外から中に入る（インバウンドの）通信はチェックするが，中から外に向かう（アウトバウンドの）通信はチェックしない。そのため，なんらかの方法でワームに感染したPCが，ほかのPCに対して攻撃を仕掛ける可能性がある。これを防ぐにはインバウンドの通信に加えアウトバウンドの通信をチェックするサード・パーティ製のパーソナル・ファイアウオール・ソフトを使ってXPのWindowsファイアウオールを補完すべきだ。

　繰り返しになるが，要するに，XP SP2は次のようなものだ。大抵の会社にとって圧倒的にプラスになるアップデートだが，互換性に関してはいつもより厳しいテストをする必要がある。

XP SP2の大量導入にはSP2対応のツールを使う
　XP SP2には一度にまとめて導入する方法も用意されている。まず統合インストールまたはスリップストリーム・インストールと呼ばれるXPとSPを同時にインストールする方法がある。共有フォルダを使う場合とCD-ROMを使う場合があるが，基本的にこれまでのサービス・パックと手順は同じだ。私は先週末に両方を実験して，いずれもうまくいくことを確認した。XPの無人インストールを行うためのGUI（グラフィカル・ユーザー・インターフェース）ツールであるセットアップ・マネージャは，これまでと同じように動く。より規模の大きな導入作業を行うときは，Active Directory（AD）のソフトウエア配布機能やRIS（リモート・インストレーション・サービス）が利用可能だ。テストはしていないが，私が理解している限りでは，XP SP2はどちらでも配布できるはずだ。

　一方，Sysprepというツールは変わった。SysprepはカスタマイズしたWindowsのインストール・イメージの作成を支援するツールである。XP SP2では最新のXPに加え，Windows Server 2003にも対応するSysprepの新版が提供された（もっと新しいバージョンのSysprepも2005年にWindows Server 2003 SP1と一緒に提供されると私は聞いている）。XP SP2のインストール・イメージを作成する場合は，XP SP2のCD-ROMに付属するバージョンのSysprepを使わなくてはならない。

　さらに，ご存じのようにWindows UpdateやMicrosoft Systems Management Server（SMS）経由でもXP SP2を配布できる。MicrosoftはSMSによる配布に関するシンプルな解説「Systems Management Serverを使用してWindows XP Service Pack 2 (SP2) をインストールする方法」をWebサイトで公開している。

十分確認してできるだけすぐに導入しよう
　XP SP2は技術的には完成しているが，公開されてあまり時間がたっていない。きっとみなさんはその変更点や導入方法の選択に私自身と同じように悩んでいると思う。だが私はこう強調しておく。できるだけ早くXP SP2を導入すべきだ（導入してもミッション・クリティカルなソフトウエアやサービスの実行を妨げないことを十分確認してできるだけすぐにである）。この夏，テストを行ったら，どうか私に情報を提供してほしい。みなさんが得た経験に非常に興味がある。