■マイクロソフトは9月2日,Windows XPの最新サービス・パック「Windows XP Service Pack 2 セキュリティ強化機能搭載」をリリースする。名前が示すように,このサービス・パックは単なる修正パッチの集合ではない。セキュリティに関して大幅な改善が実施される。 ■例えば,パーソナル・ファイアウオールである「Windowsファイアウオール」がデフォルトで動作するようになる。多くのユーザーが使うInternet ExplorerやOutlook Expressの挙動は大きく変化する。新機能の「データ実行防止機能」では,悪名高いバッファ・オーバーフローも防止できる。 ■これらの変更で,Windows XPはどのくらい“安全”になるのだろう。また,大幅な仕様変更がどのような影響を与えるのか,既存のユーザーやシステム管理者にとっては気になるところだ。Windows XP SP2の全貌を,いち早く紹介する。 (本連載は『日経Windowsプロ』2004年8月号に掲載された特集「緊急報告!Windows XP SP2の全貌」に最新の情報を反映させたものです) (中田 敦)
|
・第1回 総論:OSの基本からセキュリティを強化するWindows XP SP2
・第2回 Windowsファイアウオール編
・第3回 Internet Explorer/Outlook Express編
・第4回 データ実行防止編
・第5回 展開編
マイクロソフトは9月2日,「Windows XP Service Pack 2 セキュリティ強化機能搭載」(以下XP SP2)をリリースする。XP SP2は,通常のサービス・パックのような不具合を修正するモジュールだけの集合体ではない。名称にわざわざ「セキュリティ強化機能搭載」とあるように,セキュリティを強化する大幅な改良をWindows XPに実施するものだ。 マイクロソフトは当初,修正モジュールをまとめた従来通りのXP SP2を2003年内にリリースする予定だった。しかし,2003年に入ってWindowsのぜい弱性を突いたワームが大流行し社会的問題になったことから,2003年8月に方針を転換。計画を大幅に変更しリリース時期を当初の予定から半年以上も遅らせてまでして,セキュリティ強化の新機能をXP SP2によって追加することにした(図1)。
根本的な部分からセキュリティを改善 しかし,XP SP2で実施されるセキュリティ強化の本質は,実はこのようなすぐに実感できる表面的な部分ではない。悪意を持った攻撃を防ぐために,「多層防御」の考えに基づいてOSの基本的な部分に対する改善をいくつも実施している(表1)。
例えば,外部からのネットワークを介した直接的な攻撃に対しては,「Windowsファイアウオール」を使って外部からのアクセスを原則禁止することで防止する。これまでネットワーク攻撃の入り口として悪用されることが多かったいくつかのサービスに関しては,標準で停止するようにしたり,ユーザー認証を必須としたりするといった変更を実施する。 ユーザーがWebサイトや電子メール経由で危険なファイルを誤ってダウンロードしたり実行したりしてしまう問題に対しては,Internet Explorer(IE)やOutlook Express(OE)のセキュリティをさらに強化することで対応する。ユーザーが危険なサイトを見てしまったり,問題のあるプログラムを誤ってインストールしてしまったりすることがまずあり得ないようにIE/OEの動作を厳しく制限して,Webサイトや電子メールを安全に閲覧できるようにする。 正しいプログラムに存在するバグを悪用する「バッファ・オーバーフロー攻撃」に対しては,ハードウエアと連携した根本的な対策を実施した。Athlon 64などAMD64アーキテクチャのプロセッサが用意する機能を利用して「データ実行防止(DEP)機能」を使えるようにする。 DEPとは,バッファ・オーバーフローの疑いのあるプログラムを強制的に終了させるというもの。これにより,バッファ・オーバーフローを利用してOSやアプリケーションを乗っ取るBlasterのようなワームの多くは,そもそも動作さえできなくなる。
XP SP2は「もろ刃の剣」 その半面,OSの基本的な仕様に大きな変更を加えたことで,これまで使っていたアプリケーションやシステム全体に影響を与えそうだ。 もちろん,マイクロソフトでは既存環境との互換性や相互運用性を保つために様々な工夫を実施している。しかし,それでもXP上で特にサーバーのような動作をするソフトを実行しようとすると「Windowsファイアウオール」が邪魔をすることがある。またIEの仕様変更の影響でマイクロソフト製のアプリケーションでも正常に動作しなくなったりする。 Windows XP SP2は,セキュリティが大幅に強化される一方で,既存システムに悪影響を及ぼすかもしれない「もろ刃の剣」なのである。 本特集では,XP SP2に追加されるセキュリティ機能の中核を詳しく解説する。XP SP2によってどうやってセキュリティ・リスクが減り,逆にどのような副作用が生じるのか,編集部で検証した結果を掲載している。また第6回では特に企業ユーザーが注意すべき点をまとめているので,XP SP2への対応策を考える際の参考にしてほしい。
【用語解説】
*バッファ・オーバーフロー |
あなたにお薦め
今日のピックアップ
-
NECが受注したe-Govのガバクラ移行が大幅遅延、構築手法の途中変更が影響か
-
生成AIを悪用して拡散するワームが登場する恐れ、セキュリティー研究者が警鐘
-
Javaはなぜかっこ悪いと思われているのか、ChatGPTと共に原因を探ってみた
-
PayPayと三井住友カードが取引履歴で資金繰り支援、加盟店取り込みへ高まる熱
-
有名人になりすまして投資広告を掲載、SNSで接触してみた結果
-
「四重苦」で伸び悩む日本市場、なぜ海外スマホメーカーが開拓に本腰を入れるのか
-
IIJ公式サイトのPVがある日突然13倍に、バズったわけでも炎上したわけでもない裏側
-
JavaScriptの文末のセミコロン、付けない場合はいったい何が起こるのか
-
ミッドレンジスマホのお薦めランキング、「値下げ」でコスパに変化
-
M3搭載「MacBook Air」とM2搭載モデルを比較、外付けディスプレー2台接続も試す
-
画面デザインが激変したAcrobat Reader、慣れるまでは旧UIとの併用も
-
縦長のWebページ全体を画像で保存、メニューから選べるEdgeがChromeより便利
注目記事
おすすめのセミナー
-
DX時代のベーシックスキル
わかりやすい構成のeラーニングで、DX時代の働き方の基本となるビジネススキルを、先人の知見、先進...
-
1級建築施工管理技士 第1次検定対策(オンラインサービス)
本サービスは、1次検定突破に向けて不可欠な知識を学べる「動画講義」と、実力と知識の定着を測るため...
-
2024年度 技術士 建設部門 第二次試験対策「個別指導」講座
本講座は、効率的な勉強を通じて、2023年度 技術士 建設部門 第二次試験合格を目指される方向け...
-
技術士 建設部門 第二次試験対策 動画速修コース(オンラインサービス)
本コースは、“点が取れる論文の書き方”に絞った講義となっており、各問題の特徴から基本的な文章の書...
-
1級土木施工管理技士 第1次検定試験対策(オンラインサービス)
本サービスは、オンラインで1次検定突破に向けて不可欠な基本知識を学べる「動画講義」と過去問を繰り...
-
生成AIモデル学習を実現するチップレットパッケージ
スケーラブルなチップレットパッケージの傾向と課題を解説。光電融合技術に基づくCPOによるシステム...
-
自動車未来サミット2024
100年に1度といわれる変革期にある自動車業界。最近は電動化トレンドに変化が見られます。自動車業...
-
「仮説立案」実践講座
例えば「必要な人材育成ができていない」といった課題に、あなたならどう取り組みますか? このセミナ...
注目のイベント
-
日経クロステックNEXT 関西 2024
2024年5月16日(木)~5月17日(金)
-
日経ビジネスCEOカウンシル
2024年5月16日(木)17:00~19:50
-
VUCA時代に勝ち残る戦略的サプライチェーン構築に向けて
2024年 5月 24 日(金) 10:00~16:20
-
人手不足を乗り越える 日本の産業界成長のシナリオ2024
2024年5月30日(木)10:20~17:45
-
キャリア・オーナーシップが社会を変える
2024年6月3日(月)~6月5日(水)
-
DX Insight 2024 Summer
2024年6月4日(火)、5日(水)
-
WOMAN EXPO 2024
2024年6月8日(土)10:00~17:30
-
デジタル立国ジャパン2024
2024年6月10日(月)、11日(火)
-
DIGITAL Foresight 2024 Summer
2024年6月13日(木)~8月8日(木)16:00~17:00 ※毎週火・木曜開催予定
-
成長戦略への次の一手、製品・サービス強化に効くDXの本質(仮)
2024年 6月 14日(金)
おすすめの書籍
-
図解 木造住宅トラブルワースト20+3 「雨漏り事故」「構造事故」の事例から学ぶ原因と対策
木造住宅のトラブルを「雨漏りワースト20」と「構造ワースト3」として類型化。原因と対策と損害額が...
-
東京大改造2030 都心の景色を変える100の巨大プロジェクト
建築や土木の専門記者が取材した、一歩踏み込んだ東京の再開発プロジェクトを豊富な写真や図面で紹介し...
-
一級建築士矩子と考える危ないデザイン
住宅や建築物で起こる身近な事故と背景、効果的な防止策を人気建築漫画「一級建築士矩子の設計思考」の...
-
ソフトバンク もう一つの顔 成長をけん引する課題解決のプロ集団
ソフトバンクにはモバイルキャリア事業以外のもう一つの顔が存在する。本書ではキーパーソンへのインタ...
-
検証 能登半島地震 首都直下・南海トラフ 巨大地震が今起こったら
地震発生直後に現地で撮影した被害写真を多数掲載。専門家や施設関係者への取材から見えてきた建築・土...
-
次世代自動車2024
【4月30日まで早割実施中!】日経Automotiveが、激動する自動車業界の1年を振り返り、今...
日経BOOKプラスの新着記事
-
「お前、もう帰れ!」東大卒の開発者が料亭で叱られた
-
はじめに:『金利 「時間の価格」の物語』
-
話題の本 書店別・週間ランキング(2024年4月第3週)
-
マッキンゼー調査で判明 日本企業のM&Aに求められる戦略
-
新社会人が読んでおくべきおすすめのビジネス書 記事まとめ
-
『「キーエンス思考」×ChatGPT時代の付加価値仕事術』を著者田尻望が熱弁
-
はじめに:『図解 木造住宅トラブルワースト20+3 「雨漏り事故」「構造事故」の事例から学ぶ原因と対策』
-
はじめに:『美術館に行く前3時間で学べる 一気読み西洋美術史』
-
はじめに:『ジオストラテジクス マンガで読む地政学 世界の紛争・対立・協調がわかる』
-
東京・吉祥寺 街々書林 旅心を刺激する魅惑の本屋さん
日経クロステック Special
What's New
総合
- Webサイト運営の新手法「サイト群管理」
- AI活用を加速するストレージの要件は
- 経営の見える化を目指すマイナビの挑戦
- PayPay銀行、新時代の銀行インフラ
- 生成AIとサイバー攻撃/重要な4つの観点
- “新しい働き方”にふさわしいPCとは?
- システム運用を劇的に効率化するには?
- デザイナー、技術者必見のものづくり技術展
- 【生成AI事例】デジタルで現場をDX化
- 「クラウド時代のあるべき運用」を熱く議論
- 業務や役割に応じた「社員に最適なPC」
- 生成AI活用へ「待ったなし」成功の秘訣
- 目指すは相互に行き来できるマルチクラウド
- 「稼ぐ力」を劇的に高めるROIC経営
- デルタ電子とロームが語る次世代電源戦略
- 大企業にもキントーンの導入が進む理由
- 医療セキュリティ対策の鍵はSaaS化?
- 「サーバ―」部門満足度トップ企業に訊く
- 製造業DX「データドリブン経営成功のシナリオとは」
- NTTドコモ支援の実践型教育プログラム
- 大教大とマウスパソコン教室の在り方を研究
- ジェイテクトエレクトロニクスのDX事例
- 欧州トップ企業語る日本のセキュリティー
- ビジネスPC、ITデバイス購買DXを推進
- 生成AIの活用の鍵は「内製とアジャイル」
- AIと自動化でエンジニアの能力を解き放て
- NTTデータに優秀なデジタル人財が集まる理由
- ゼロトラスト成功の秘訣を神田れいみと探る
- 神田れいみと学ぶ「ネットワーク活用白書」
- 専門家が斬る日本の意識と対策の現状は?
- オリックス銀行×富士通時田社長 特別鼎談
- マネージドサービスが安価に利用できる理由
- 脱レガシー案件≫SIerに必要な人財像は
- DXや生成AI活用に挑む大阪府
- 3段階で考える、DXで企業力を高める方法
- イノベーションの起爆剤
- 大規模プロジェクトでPMが注意すべき点は
- 守りながら攻める“製造DX”の方法論とは
- ランサムウエアから診療データはこう守る
- 最新サーバーに学ぶ熱設計の最前線
- PC管理の課題を課題をまるごと解決
- 日本語に強い「和製生成AIモデル」が誕生
- 動画解説>生成AIからDX変革まで
- 大阪・名古屋エリアのDXが注目される理由
- 最適なネットワークを早く安く簡単に実現!
- 木質建築空間デザインコンテスト受付開始
- セキュリティ×スキルUP≫JSOLの提案
- 力点は「未来予測」へ:データ利活用の勘所
- 生成AI活用でSAP BTPの価値が進化
- ServiceNowでDXを加速≫方法は