■前回公開した「作り直されたWindows XP SP2ベータ」(該当サイト)から,新しく分かった事実を続報としてお伝えする。今回は,無線LANに関する改良点,そして米国家安全保障局のガイドラインの補足である。

(Paul Thurrott)

 以前私は,「Windows XP Service Pack 2」(以下,XP SP2)を試した感想と,安全にXPを設定するための米国家安全保障局(NSA:National Security Agency)のガイドラインについて書いた(該当記事)。どちらも,多くの管理者が重大に思っている話題だったと思う。今回は追加情報を入手したので紹介しよう。

XP SP2を現場で試した
 XP SP2のプレビュー記事を書いた後,私はXP SP2を適用したノート・パソコンを「2004 International Consumer Electronics Show(CES)」が開かれているネバダ州ラスベガスへと持っていった。現実の世界で新しいサービス・パックをテストするには持ってこいのところだ。

 SP2では安定性の問題は全くなかった。私のパソコン1台に限った話だから全く科学的なテストではない。しかし,その出張の間,XP SP2の新しい無線LANの特徴と,インターネット接続ファイアウオール(ICF:Internet Connection Firewall。Microsoftは2004年半ばのSP2の出荷時には単に「Windows Firewall」と改称する予定)を実際に試してみた。

無線LANの機能が大幅に改良された
 米Microsoftが2001年10月にXPを出荷した当初,同社は無線LAN機能をその製品に統合して,安全な無線LANと安全でないネットワークに接続するために,かなりシンプルな方法をユーザーに提供していた。初期バージョンのWindows XPは,「IEEE 802.11b」と「Wireless Equivalency Protocol(WEP)」によるセキュリティの仕組みはサポートしていなかった。2001年における無線LANのセキュリティの状況を思い出せば,ほとんどの無線LANはオープンになっていて安全でなかったのだ。

 こういうネットワークにおいて,Windows XPはうまく動いており,無線LANの有効範囲内でWindows XP搭載のノート・パソコンを起動すれば,自動的に接続されてちゃんと仕事ができるようになっていた。もちろん,セキュリティ機能が低いため,ユーザーのマシンを侵入の危険にさらすことになった。

(訳注:WEPの欠陥は2000年には指摘されていて,すぐにWi-Fi AllianceによるWPA:Wi-Fi Protected Accessの標準化が始まったが,Wi-Fi AllianceによるWPA対応機器の基準策定と認証開始は2003年にずれこんだ。Windows XP用にWPA対応の追加モジュールが提供されたのは,2003年春のことである。)

 Microsoftは2002年秋に出荷されたXP SP1に,安全性の低いネットワークに接続するたびにいちいちユーザーの承諾を要求するブロックを追加した。このセキュリティ機能の拡張は,ほとんどのビジネス現場では適切なものだ。しかし,大抵の家庭内の無線LANは安全性が低いままなので,一般消費者の多くは何度も承諾を求めてくるのにはちょっと閉口したと思う。

 XP SP2でMicrosoftは無線LANの機能を再度見直した。まず最初の変更は,UI(ユーザー・インターフェース)だ。無線LANの管理と接続操作のために新しく親しみやすくしている。新しいUIは,従来の無線LANのダイアログ画面に比べて,はるかに使いやすくなった。特にユーザーが多数の無線LANがあるエリア内にいる場合に,格段に使いやすくなっている。

 新しいUIでは,各無線LANに「セキュリティのないワイヤレス・ネットワーク」とか「セキュリティの有効なワイヤレス・ネットワーク」といったラベルをつけて表示する。セキュリティを備えた無線LAN上では,あなたのパソコンにネットワーク・キーが必要だというメッセージが表示される。このキーは要求されたときに入力する。さらに,無線LANの接続処理や,優先する無線LANを変更するのに要する詳細な情報を得るためのタスク・リストを提供する。

 このリリースでの最大の変更は,無線LAN接続の設定が以前よりうまく組み込まれていることだ。安全でない無線LANに接続するため,一度OKを出すと,そのあとに同じネットワークに接続する場合,それ以上の承諾を求められなくなった。私の経験では,この機能はXP SP1では時々しか働かなかった。無線LAN全体のリストも,有効範囲にないネットワークまで表示することもなくなった。これは以前のバージョンにあったおかしな点だった。

Windows Firewallのマニュアル操作が便利
 もし,あなたが米Zone Labsの「Zone Alarm」などのファイアウオール製品を使用したことがあるなら,あなたのマシンに対して(または,あなたのマシンから),アプリケーションやサービスが勝手に情報を送らないように設定するため,時間を取られたことがあるだろう。XP SP2で新しくなったWindows Firewallも同じである。閉じられたポートに,初めてアプリケーションやサービスがアクセスしようとすると,ダイアログ・ボックスが表示される。その画面で,アプリケーションやサービスがファイアウオールをバイパスできるようにしたり,[Cancel]をクリックするだけでそのアクセスを以後許可しないように設定できる。

 新しいWindows Firewallは,従来のICFよりもいくつか優れた点を備えており,ユーザーはそのファイアウオールを以前よりも,もっと使うようになるだろう。Windows Firewallは最初のバージョンにあったICFよりも,カスタマイズがはるかに容易になっている。また,商用のファイアウオール製品と同様に,あなたはどのアプリケーションがホームを呼び出しているのかを調べてから,どれを許すか決められる。企業から見てこの機能は集中管理しやすく非常に歓迎されるものだ。

 もし,Windows Firewallの設定をマニュアルで行いたいなら,例外リストを使用する。例外リストは,外側からの接続を許すアプリケーションとサービスを定義しているものだ。

 数日間使用したところ,[File and Print Sharing]や[ActiveSync]などのシステム・サービスのほかに,「Microsoft Virtual PC」「Windows Messenger」,米RealNetworksの「RealPlayer」といったプログラムについて警告を受け取った。便利なことに,あなたは手作業でリストにプログラムを追加でき,これらの設定が適用されるネットワーク接続を決められる。全般的に以前のバージョンに比べて目を見張るような改良が施されている。

NSAとセキュリティとXP
 私は前回のレポートで,NSAが出したWindows XP用のセキュリティ・ガイダンスについて簡単に触れた。私はこれらのガイドラインが新しいものだと書いたのだが,これは間違いだった。実際にはそれらは2002年にリリースされたもので,最後に更新されたのは2003年4月だった。

 読者の何人かは,この記述の矛盾のほか,NSAのガイドラインに従うとセキュリティに関連するソフトウエアに互換性がなくなる可能性があることを指摘してくれた。なぜなら,多くのアプリケーションとサービスではうまく動くために,あえて特定の安全でない設定に依存しているからで,これはMicrosoftがTrustworthy Computingの改造の最中に取り組んでいた問題でもある。

 前回,私がコンタクトしたMicrosoftの担当者は,同社が自社のセキュリティ・ガイド(下記参照)を策定するに当たり,「National Institute of Standards and Technology(NIST)」や「SANS Institute's Center for Internet Security(CIS)」と同様に,NSAとも密接に協力して作業を進めたことを強調している。

■関連するWebサイトのURL
●Windows Server 2003 Security Guide
http://go.microsoft.com/fwlink/?linkid=14845
●Threats and Countermeasures Guide
http://go.microsoft.com/fwlink/?linkid=15159
●Microsoft Windows XP Security Guide Overview
http://go.microsoft.com/fwlink/?linkid=14839
●Guide to Securing Windows XP in Small and Medium Businesses
http://go.microsoft.com/fwlink/?linkid=19453