WinHEC 2004報告---NGSCBの基本設計を見直し
揺れるLonghornの全体像

［次世代OS］

高橋秀和

2004.06.25

米Microsoft社が2006年に出荷を予定する次期Windows「Longhorn（開発コード名）」。
当初の出荷予定時期だった2004年半ばに入っても，仕様の詳細は固まっていない。
2005年に出荷予定のベータ第1版の出来次第では，出荷が2007年にずれ込む可能性が出てきた。

写真1●基調講演の壇上に立つWilliam H. Gates氏
米Microsoft社の会長兼チーフ・ソフトウェア・アーキテクトである。

図1●主なWindowsのロードマップ

写真2●PnP-Xに対応するネットワーク・プリンタの操作画面
写真はWinHEC 2004のセッションでデモされたキヤノン製のプリンタが備える操作パネル。

図2●NGSCBの設計思想
米Microsoft社がLonghornで実装を予定するセキュリティ機構「Next-Generation Secure Computing Base（NGSCB）」の設計思想。WinHEC 2004の資料を基に作成。既存のアプリケーションとハードウェアでもNGSCBの機能をなるべく利用できるようにする。

　ワシントン州シアトルで2004年5月4～7日に開催されたWinHEC 2004。次期Windows「Longhorn（開発コード名）」に向けたハードウェアとそのデバイス・ドライバ開発を促すのが目的の開発者会議だ。Longhornのベータ第1版の出荷時期は「2005年」（米Microsoft社上級副社長のJim Allchin氏）。そのスケジュールから判断すると，2006年から2007年にかけての正式出荷が見込まれる。

　Longhornの出荷が2年以上先になることもあって，同社会長兼チーフ・ソフトウェア・アーキテクトのWilliam H. Gates氏が基調講演で強調したのは64ビット版Windows対応デバイス・ドライバ開発の意義だった（写真1）。「64ビット・コンピューティングがWindowsのパフォーマンス向上において立役者となる。アンチウイルス・ソフトを含むシステム・コンポーネントの64ビット対応状況が普及の鍵になる」。MicrosoftはLonghornが開発途上にある2005年と2006年を，64ビット版x86互換CPUで動作する64ビット版Windows XPとWindows Server 2003，Windows Media Center EditionとWindows XP Tablet PC Editionの新版など，Windows XPの派生製品の投入で乗り切る（図1[拡大表示]）。

　逆に言えばLonghornの出荷までまだ2年以上あるため，全体を通してWinHEC 2004のセッションは目新しさに欠けたものだった。その中で今回初めて発表された製品計画は大きく二つ。(1)ローカルの周辺機器と，ネットワーク経由で接続する周辺機器のプラグアンドプレイ機構の統一仕様「PnP-X」の搭載，(2)セキュリティ機構「Next-Generation Secure Computing Base（NGSCB）」の設計思想の変更である。

ネットとローカルのPnP機構を統一

　Longhornのプラグアンドプレイ機構PnP-Xでは，ネットワーク経由で接続したプリンタやスキャナをUSBやIEEE1394に接続した際と同じ手順で導入できるようになる。ローカルとネットワークの区別をユーザーに意識させない。現在のWindowsにも，ネットワーク接続の周辺機器を自動認識する「ユニバーサル・プラグアンドプレイ（UPnP）」が組み込まれている。しかしUPnPのユーザー・インタフェースはローカル接続の周辺機器のそれとは異なる。またネットワーク経由でデバイス・ドライバをインストールする機能を周辺機器に持たせる必要がある。PnP-Xはこれらの欠点の解消を目指したものだ。

　ネットワークに接続した周辺機器の検出のプロトコルとして，従来のUPnPが使用する「SSDP（Simple Service Discovery Protocol）」に加えて，トランスポート層にSOAPを使ったSSDPのサブセットを追加する。Microsoftは米BEA Systems社，米Intel社，キヤノンと共同で機器の検出用に「WS-Discovery」プロトコルを2004年2月に策定済み。ハードウェア資源に制約のある周辺機器でも実装しやすいという（写真2）。

　現状のプラグアンドプレイ機構を使ってネットワーク接続とローカル接続のユーザー・インタフェースを統合すると，ネットワークにあるすべての機器がユーザーに通知され，インストールされてしまう。そこでMicrosoftはLonghornに組み込むプラグアンドプレイのユーザー・インタフェースとして，(1)検出した機器をユーザーに通知してインストール作業を促す，(2)ユーザーが明示的にハードウェアの追加を指示する，(3)CD-ROMの自動起動を使って周辺機器のデバイス・ドライバをインストールする，の大きく三つの実装を検討しているという。

方針変わるNGSCB

　プラグアンドプレイ機構の正常進化と言えるPnP-Xとは対照的に，方針転換を余儀なくされた構想が「Next-Generation Secure Computing Base（NGSCB）」だ。「アプリケーションの書き換えをなるべく減らす構造に変える」（Microsoft Security Business Unit Product Unit ManagerのPeter Biddle氏）という。

　以前のNGSCBでは，従来のOSが動作するモードとは違う動作モード「Nexus」が組み込まれる。NexusとCPUの新動作モードと組み合わせることで，従来の実行環境と機密性を持たせたいアプリケーションの実行環境を分離することを目指していた。Nexusモードで取り扱うデータは「Trusted Platform Module（TPM）」と呼ぶチップに収めた暗号鍵によって暗号化し，アプリケーションやメモリー，ハードディスク，周辺機器を流れるデータを暗号化する。TPMに収めた暗号鍵が物理的に盗まれない限り，セキュアなアプリケーション実行環境を実現できるというのが売りだった。

　ただNGSCBが目指す動作モデルでは，すべてのハードウェアをNexusモードに対応させたうえで，Nexusモード用のアプリケーションを一から開発しなくてはならない。このためNGSCBは金融関係や官公庁など，機密性のあるデータを扱う限定的なユーザーを想定していた。Microsoftはユーザーの声を反映した結果，Longhornに実装するNGSCBの設計思想をより幅広いユーザーが利用できるものに変えたという（図2[拡大表示]）。既存のアプリケーション実行環境とNexusモードを「隔離から分離」（Biddle氏）の動作モデルに作り直す。これらから想像されるのは仮想マシンの考え方だが，まだ具体的な話はない。Nexusモードと既存のWindowsアプリケーションの実行環境との差を少なくして連携を取りやすくすることで，NGSCBによるデータの保護機能を利用できる場面を増やすのが目的かもしれないが，場合によっては本末転倒に陥る危険がありそうだ。