■マイクロソフトは9月2日，Windows XPの最新サービス・パック「Windows XP Service Pack 2 セキュリティ強化機能搭載」をリリースする。名前が示すように，このサービス・パックは単なる修正パッチの集合ではない。セキュリティに関して大幅な改善が実施される。

■例えば，パーソナル・ファイアウオールである「Windowsファイアウオール」がデフォルトで動作するようになる。多くのユーザーが使うInternet ExplorerやOutlook Expressの挙動は大きく変化する。新機能の「データ実行防止機能」では，悪名高いバッファ・オーバーフローも防止できる。

■これらの変更で，Windows XPはどのくらい“安全”になるのだろう。また，大幅な仕様変更がどのような影響を与えるのか，既存のユーザーやシステム管理者にとっては気になるところだ。Windows XP SP2の全貌を，いち早く紹介する。

（本連載は『日経Windowsプロ』2004年8月号に掲載された特集「緊急報告！Windows XP SP2の全貌」に最新の情報を反映させたものです）

　マイクロソフトは9月2日，「Windows XP Service Pack 2 セキュリティ強化機能搭載」（以下XP SP2）をリリースする。XP SP2は，通常のサービス・パックのような不具合を修正するモジュールだけの集合体ではない。名称にわざわざ「セキュリティ強化機能搭載」とあるように，セキュリティを強化する大幅な改良をWindows XPに実施するものだ。

　マイクロソフトは当初，修正モジュールをまとめた従来通りのXP SP2を2003年内にリリースする予定だった。しかし，2003年に入ってWindowsのぜい弱性を突いたワームが大流行し社会的問題になったことから，2003年8月に方針を転換。計画を大幅に変更しリリース時期を当初の予定から半年以上も遅らせてまでして，セキュリティ強化の新機能をXP SP2によって追加することにした（図1）。

△　図をクリックすると拡大されます 図1●Windows XP SP2が登場するまでの道のり Windows XP Service Pack 2（SP2）は，Windows XPにとってほぼ2年ぶりのサービス・パックとなる。当初は2003年内にリリースされる予定だったが，度重なる深刻なウイルス/ワームの登場に対応するため，マイクロソフトは2004年8月にXP SP2のリリースを延期した。

△　図をクリックすると拡大されます 図2●Windows XP SP2を導入すると，利用している随所でOSの操作性が変化しているのが分かる

根本的な部分からセキュリティを改善
　XP SP2を実際にインストールすると，随所でセキュリティの強化が実感できるようになる（図2）。自動更新機能を有効にするようインストール直後の再起動時に警告を表示するし，修正プログラムを適用しないまま終了しようとしても警告メッセージを表示する。コントロール・パネルにはセキュリティの状態を集中的に監視する［セキュリティセンター］という項目が追加され，簡単にマシンの設定をセキュアに保てるようになっている。

　しかし，XP SP2で実施されるセキュリティ強化の本質は，実はこのようなすぐに実感できる表面的な部分ではない。悪意を持った攻撃を防ぐために，「多層防御」の考えに基づいてOSの基本的な部分に対する改善をいくつも実施している（表1）。

表1●Windows XP SP2の主要な変更点 Windows XP SP2では，セキュリティ機能を大幅に強化し，様々な種類の攻撃からOSを保護できるようにした。また修正パッチの適用を容易にする新しいWindowsインストーラなど，セキュリティ以外の新機能も備えている。

　例えば，外部からのネットワークを介した直接的な攻撃に対しては，「Windowsファイアウオール」を使って外部からのアクセスを原則禁止することで防止する。これまでネットワーク攻撃の入り口として悪用されることが多かったいくつかのサービスに関しては，標準で停止するようにしたり，ユーザー認証を必須としたりするといった変更を実施する。

　ユーザーがWebサイトや電子メール経由で危険なファイルを誤ってダウンロードしたり実行したりしてしまう問題に対しては，Internet Explorer（IE）やOutlook Express（OE）のセキュリティをさらに強化することで対応する。ユーザーが危険なサイトを見てしまったり，問題のあるプログラムを誤ってインストールしてしまったりすることがまずあり得ないようにIE/OEの動作を厳しく制限して，Webサイトや電子メールを安全に閲覧できるようにする。

　正しいプログラムに存在するバグを悪用する「バッファ・オーバーフロー攻撃」に対しては，ハードウエアと連携した根本的な対策を実施した。Athlon 64などAMD64アーキテクチャのプロセッサが用意する機能を利用して「データ実行防止（DEP）機能」を使えるようにする。

　DEPとは，バッファ・オーバーフローの疑いのあるプログラムを強制的に終了させるというもの。これにより，バッファ・オーバーフローを利用してOSやアプリケーションを乗っ取るBlasterのようなワームの多くは，そもそも動作さえできなくなる。

XP SP2は「もろ刃の剣」
　このように，XP SP2はOSの基本部分に2重3重の保護策を追加することで，ある保護策が破られても別の保護策がカバーするようになっている。ウイルスに感染したりマシンを乗っ取られたりする最悪の事態の可能性は確実に低くなるといえるだろう。

　その半面，OSの基本的な仕様に大きな変更を加えたことで，これまで使っていたアプリケーションやシステム全体に影響を与えそうだ。

　もちろん，マイクロソフトでは既存環境との互換性や相互運用性を保つために様々な工夫を実施している。しかし，それでもXP上で特にサーバーのような動作をするソフトを実行しようとすると「Windowsファイアウオール」が邪魔をすることがある。またIEの仕様変更の影響でマイクロソフト製のアプリケーションでも正常に動作しなくなったりする。

　Windows XP SP2は，セキュリティが大幅に強化される一方で，既存システムに悪影響を及ぼすかもしれない「もろ刃の剣」なのである。

　本特集では，XP SP2に追加されるセキュリティ機能の中核を詳しく解説する。XP SP2によってどうやってセキュリティ・リスクが減り，逆にどのような副作用が生じるのか，編集部で検証した結果を掲載している。また第6回では特に企業ユーザーが注意すべき点をまとめているので，XP SP2への対応策を考える際の参考にしてほしい。

【用語解説】
＊バッファ・オーバーフロー
ソフトへのデータ入力が，処理用の保管領域（バッファ）より大きいときにデータがあふれる現象。切り捨て処理のないバッファに対して，悪意をもったプログラムを上書きして攻撃させる。Back