■米Microsoftの「Windows Server 2003 Service Pack 1(SP1)」のリリースに合わせて,MicrosoftのClyde Rodriguez氏(SP1と64ビットWindowsのリリースを担当するグループのプログラム・マネージャ兼プロジェクト・マネージャ),Samm DiStasio氏(Windows Server部門のマーケティング・ディレクタ),Jeff Price氏(Windows Server部門のマーケティング・シニア・ディレクタ)の3名にインタビューすることになった。
■後編では,もう1つのセキュリティ新機能PSSUと,いかに互換性が信頼できるレベルかを語ってくれた。


(聞き手 Karen Forster=米Penton Media社 Windows IT Pro誌)


左からClyde Rodriguez氏,Samm DiStasio氏,Jeff Price氏
OSインストール時の無防備な状態も保護
――――SP1でのもう1つのセキュリティ機能といえば「セットアップ後のセキュリティ更新(PSSU:Post-Setup Security Update)」ですね。これを説明していただけますか?

[Clyde Rodriguez氏]PSSUは,ユーザーがマシンへOSのインストールを終え,再起動してから「Windows Update」を通じて最新の修正プログラムを適用するまでのあいだ,サーバーをウイルスなどの感染から保護するように設計されています。サーバーを保護するため,サービス・パックの適用中やWindows Server 2003の新規インストール中にも,「Windowsファイアウオール」が使用できるようにしました。

 Windowsファイアウオールが有効になっている状態で,システム管理者が無人セットアップ・スクリプトやグループ・ポリシーを使い,このファイアウオールを明確に有効化しなかった場合,管理者が初めてログオンしたときにPSSUが表示されます。管理者がPSSUダイアログ画面の[終了]ボタンをクリックするまで,サーバーへの外部からの接続はブロックされます。ただし,アドミニストレータがグループ・ポリシーを使うか,インストール中に「リモート・デスクトップ」を有効にして,ファイアウオールに例外を設定した場合にはオープンな状態になります。

―――― 一部のユーザーにとっては,PSSUを[スタート]メニューから探しても見つけられないようですが…。

[Clyde Rodriguez氏]PSSUは[スタート]メニューから選べないようになっています。私が今お話しした特定の条件下でないと,PSSUを選択できません。PSSUが一度表示されると,PSSUを閉じたあとに[Manage Your System]が開くようになっています。

――――SP1を含んだWindows Server 2003の新規インストール中に,Windowsファイアウオールが有効化されるとおっしゃいました。Windows XP SP2のように,Windowsファイアウオールがデフォルトで有効になるのでは,と混乱しているユーザーもいると思います。

[Jeff Price氏]SP1の適用でWindowsファイアウオールはインストールされますが,1つのシナリオを除いて有効にはなりません。そのシナリオというのは,ユーザーがWindows Server 2003を新規インストールして,そのインストールCD-ROMにSP1が組み込まれている場合です。このシナリオでは,サーバーがアップデートされ,その役割にあった設定が完了するまでは,保護重視のアプローチを取ることになるのです。

[Samm DiStasio氏]私たちは,クライアント側とサーバー側の世界は明確に違うものなのだという認識をしています。Windows Serverでファイアウオールがオフになっているのは,これ以上ステップを増やさないでくれという要望がユーザーからのフィードバックであったからです。システム管理者の要望は「われわれがコントロールできない,あらかじめ規定されたものを入れるのはやめてくれ」ということでした。

アプリケーションの互換性に問題なし
――――Windows XP SP2では,より強力なセキュリティ機能がアプリケーションの互換性問題を引き起こしましたね。このSP1でアプリケーションの互換性は問題になるのでしょうか?

[Jeff Price氏]SP1の開発では,アプリケーションの互換性を確保するということに焦点を合わせました。また,ISV(Independent Software Vendor)パートナとはSP1についてのやりとりを続けています。ユーザーは,アプリケーションがRPC(リモート・プロシージャ・コール)やDCOM(分散コンポーネント・オブジェクト・モデル)依存であるかを確認する必要があります。しかし,全般的にアプリケーションの互換性は,Windows 2000 ServerとWindows Server 2003の出荷バージョンのコードを比較したものに比べて同程度か,より安定したものになっています。

[Clyde Rodriguez氏]もちろんユーザーには,アプリケーションをチェックして,いろいろとテストしてもらいたいと考えています。SP1の開発では外部でのベータ・テストも数多く実施して,その結果は最低限の互換性の問題が出たのみに留まっています。とはいっても,例えばセキュリティ関連でアプリケーション・ベンダーによるアップデータを適用しなければならないという,特殊ケースと呼べるものはありました。

 上手く折り合いをつけるのは難しいものです。もちろん私たちは,互換性を損ないたくないと考えています。ユーザーがSP1をインストールした際,ほとんどのユーザー環境で全部のアプリケーションが動作するはずです。特定のケースでは,Windows XP SP2であった互換性問題を起こすようなセキュリティ変更が必要なものもありました。しかし,サーバー側では,この影響は大きいものではありません。というのも,XP SP2に含まれていた変更の多くは非常に広範囲にわたるセキュリティ向上の結果であって,これに関してはWindows Server 2003をリリースしたときに,既に対応済みとなっていたからです。

 Windows XPではこのプロセスを初めに踏まなかったのですが,XP SP2でのセキュリティ検討の際に確実に対応したということです。ですから,Windows Server 2003のリリース時には,XP SP2に含まれたセキュリティ変更の多くが適用済みだったと言えます。こういった経緯で,SP1ではアプリケーションの互換性に大きな変化はないと考えています。

――――予想できなかったアプリケーションの互換性問題は何かありましたか?

[Clyde Rodriguez氏]サーバー製品で,予想していなかったバグが発生したことがありました。このバグは「クマのプーさん」というアプリケーションが走らない,というものでした……だれかが「このアプリケーションをサーバーで走らす人はいないと思うけど,どこかにバグがあるってことだ」と言いました。そこでアプリケーション互換性チームがこの問題を調査したのですが,やはりWindows Server 2003 SP1のコードにバグがありました。「なんでこんなアプリケーションをサーバーで走らそうと思ったんだ?」と聞いたのですが,その答えは「実際に動いたら面白そうだからやってみた」というものでした。その結果,バグを1つ発見したのです。
(次のページへ続く)