米Microsoft社は,Windows XPの修正プログラムであるService Pack2(SP2)について,出荷候補版(Release Candidate1:RC1)を公開した。製品候補版は,製品として出荷する前に,ソフトウェア開発者などに実際にテストしてもらいフィードバックを得るためのバージョンである。Microsoftによると6月には製品版を発表したい考えだ。
かねてからSP2ではセキュリティが強化されるといわれていたが,なかでもファイアウォールがデフォルト・オンになるという大きな変化がある。ほかにもファイアウォール機能がどう変わるのか,RC1をダウンロードして実際に試してみた。
設定方法が分かりやすくなった
まず,Windows XPのファイアウォールの名称が変更になっている。「ICF(Internet Connection Firewall)」から「Windowsファイアウォール」へと変わった。Windowsファイアウォールの画面を開くと,確かにデフォルトで「オン」がチェックされていた(図1[拡大表示])。
Windowsファイアウォールの基本的な動作はICFと変わらない。マシンから外部へ送るパケットや,内部からのパケットに対する応答パケットは遮断しない。ただ,マシンからのブロードキャストに対する応答パケット(ユニキャスト)を受け取る時間が変わった。Microsoftのドキュメントによると,ICFでは1分間だったのが3秒間に短縮される。
大きく変わったこととしては,(1)設定方法が簡易になったこと,(2)フィルタリング条件が増えたこと,がある。ICFでは,機能を有効にしたときにファイル/プリンタ共有ができなくなり,関連する四つのポート(137/udp,138/udp,139/tcp,445/tcp)を開ける必要があった。この場合,IPアドレスやポート番号などを一つひとつ入力していかなければならなかった。Windowsファイアウォールでは,あらかじめ四つのサービスがリストアップされており,関連するポートも対応付けられている。四つのサービスの中にファイル/プリンタ共有も挙げられているので,このチェックボックスに印を付ければ四つのポートが自動的に開く。
第二の変更点であるフィルタリングの条件については,ポートを開けたときに受け取るパケットを細かく指定できるようになった。具体的には各ポートを開ける操作をするときに,「スコープ」という設定が加わった。スコープには三つの選択肢がある。(1)ポートに送られてきたすべてのパケットを受け取る,(2)ユーザーが所属するサブネットのマシンから送られたパケットのみを受け取る,(3)特定のIPアドレスから送られたパケットのみを受け取る──である。SP2をインストールしたマシンがファイル/プリンタ共有のサーバー側になる場合,スコープを設定することによりサブネット内のマシンだけにサービスを提供させたり,特定のマシンだけにサービスを提供できるようになる。
より強力なファイアウォール設定として,「例外を許可しない」という項目もある。この項目は,公共の場で利用するような場面において,例外として開けたポートの設定も無効にしたいときに使うよう推奨している。
ユーザーの注意を喚起する仕組みも
ファイアウォール機能以外にも,セキュリティ関連の設定が簡易になるような仕組みが施されている。例えば,セキュリティ関連の設定を一覧できる「Windowsセキュリティセンター」が新たに加わった(図2[拡大表示])。セキュリティセンターの画面を開くと,Windows XPに搭載されているファイアウォールやWindows Updateの自動更新,ウイルス対策ソフトの有無が表示される。あちこちに分散していた設定画面がこのセキュリティセンターで一括管理できる。その上,セキュリティ対策が完全でないことが視覚的に表示されるので,あまりコンピュータに詳しくないユーザーの注意をひく。
Windows Updateの自動更新についても,なるべく自動更新をオンにするように推奨するようになった。SP2をインストールしたときに,まず初めに選択画面が表示され自動更新をオンにするかどうかを選ぶ。
このほか,ポップアップ・ウィンドウを遮断する機能がデフォルトでオンになるなど,IE(Internet Explore)に関しても機能追加とデフォルト設定変更が施された(表[拡大表示])。Windows XPは,デフォルトでは多くの機能を使えない状態にしておき,必要な機能をユーザーが明示的に指定して利用環境を整える方法に変わるようだ。