■連載の最終回は，企業ユーザーがXP SP2を展開するに当たって，検討すべき戦略的側面を議論する。（1）クライアント管理ツールを利用した展開，（2）ネットワーク関連の変更に伴うWebアプリケーションの不具合の可能性，（3）サービス・パックに対するパッチ提供の方針，（4）SP2で新しく追加されたグループ・ポリシーでできること――などである。

（本連載は『日経Windowsプロ』2004年8月号に掲載された特集「緊急報告！Windows XP SP2の全貌」に最新の情報を反映させたものです）

　これまで見てきたように，Windows XP SP2には数多くのセキュリティ強化機能が搭載される一方で，OSやアプリケーションの振る舞いにかなりの変化が生じる。これでは，Windows XP SP2の導入をためらう企業ユーザーは多いだろう。

　XP SP2で特に注意しなくてはいけないのは，(1)WindowsファイアウオールやRPC/DCOMの制限などのネットワーク保護機能，(2)Internet Explorerの挙動変更――といったネットワーク関連の変更である。

　第3回で書いたように一般ユーザーがWebブラウザや電子メール，ファイル/プリンタ共有などを使っている分には，WindowsファイアウオールやRPC/DCOMの制限はほとんど受けない。

クライアント管理ツールに影響
　しかし，クライアント管理ソフトなど，企業ユーザーが利用するネットワーク・アプリケーションの中には，Windowsファイアウオールの影響を受けるものがありそうだ。

　マイクロソフトのクライアント管理製品「Systems Management Server（SMS） 2003」にも影響が出る。同社のWebサイトには，Windows XP SP2ベータ版の段階で，SMS 2003にどのような影響が生じるかを検証した資料が掲載されている。これによれば，XP SP2環境では，SMSの修正パッチを適用する必要があることや，Windowsファイアウオールで特定のポートを開いたり，ファイルとプリンタ共有用のポートを開いたりしなければ，SMS 2003の一部機能が使えなくなると記されている。

　「HFNetChkPro」（販売はネットワールド）や「UpdateEXPERT」（販売はアップデートテクノロジー）といった修正パッチ管理ソフトを使う場合も，Windowsファイアウオールでポートを例外リストに登録するといった対策が必要になる。

　HFNetChkProやUpdateEXPERTの特徴は，エージェント・ソフトが無くてもクライアント・パソコンに修正パッチをプッシュ配信できる点だ。それを実現するために両製品は，Windows が外部に対してRPCで公開している特殊なサービスを利用している。そのためXP SP2でこれらツールを利用するためには，ツールが使用するRPCサービスのポートを常時オープンしてやらなくてはいけない。

Webアプリは動作検証必須
　企業ユーザーがサービス・パックを適用する場合，事前に自社で利用するアプリケーションの動作検証をするのは常識である。XP SP2の場合，OSの仕様変更が多いので，普段よりも念入りなチェックが必要だ。

　特にWebアプリケーションは確実にチェックしたい。XP SP2はIEのウインドウの自動ポップアップを禁止するなど，IEのセキュリティが設定が厳しくなっている。

　イントラネットのWebサイト向けには，ポップアップが許可されるなどセキュリティ設定がゆるめになっており，あまり問題にならない。しかし，インターネットで公開するWebアプリケーションをイントラネットでテストしていると，テストが不十分になる可能性があるので注意しよう。IEは，ホスト名に「.」（ピリオド）を含まないサイトにアクセスすると，そこがイントラネットと判断される。

XP SP2を焦って導入しなくてもいい
　実際にXP SP2を検証する時間は十分ある。当面はWindows XP SP1のままでも大きな問題が生じない。

　Windows XP SP1は，XP SP2がリリースされてからも，少なくとも2年間は修正パッチが提供され続ける。実は，2004年5月までは，1つ前のSPに対して修正パッチが提供される期間は「1年または次の次のSPがリリースされるまでの短い方」だった。それが現在は「1年または2年」となり，XP SP2については2年が採用された（図21）。アプリケーションの互換性に問題が生じても，当面はXP SP1のままにしておけばよい。

図21●サービス・パックに対するパッチ提供のポリシー Windows XP SP1は，Windows XP SP2のリリース後も2年間はサポート（修正パッチの提供）が継続される予定だ。もし2年以内にSP3がリリースされたとしても，SP1に対するサポート・ポリシーに変化はない。

　WindowsファイアウオールやIEのセキュリティ強化機能などXP SP2の新機能は評価できるけれども，機能が増えるとその分管理が大変になりそう――。そう考える管理者は，XP SP2でグループ・ポリシーの設定項目が増えていることに注目してほしい。

表2●Windows XP SP2で増加したグループ・ポリシーの設定項目数 Windows XP SP2では，グループ・ポリシーの設定項目数が大きく増えた。Internet Explorerに関する設定やWindowsファイアウオールなどの新機能の設定がグループ・ポリシーで管理可能になったためだ。

　例えば，「IEのセキュリティ設定の［信頼済みサイト］に，自社のアプリケーションが稼働するインターネット上のWebサイトのURLを登録する」といった設定を，ドメインに参加する全マシンに一括して適用できる。

　XP SP2に搭載されるグループ・ポリシーの一覧は米MicrosoftがWebで公開する「Group Policy Settings Reference for Windows XP Professional Service Pack 2 Release Candidate 2」というExcelの文書に記されている。英語版ではあるが，詳細はそちらを確認してほしい。

　企業ユーザーにとって，XP SP2をどうクライアントにインストールするかも悩みの種である。XP SP2は，大容量である。OSの変更点も多いので，XP SP2の展開をすべてユーザーに任せることは難しいだろう。

　管理者がまとめて展開することも難しそうだ。マイクロソフトの「Software Update Serives（SUS）」などの修正バッチ管理ツールを使ってネットワーク経由で配布するには，あまりにも容量が大きいからだ。

　このため，大多数のユーザーの場合，XP SP2を，(1)Windows UpdateなどマイクロソフトのWebサイト，(2)マイクロソフトが配布するCD-ROM，(3)雑誌などに添付されるCD-ROM ――で入手して，手作業で展開する必要があるだろう。

　Windows XP SP1は，米Microsoftの方針変更により，CD-ROMを雑誌に添付できなかったが，XP SP2では再び可能になった。

【用語解説】
＊Systems Management Server 2003
マイクロソフトのクライアント管理ソフト。文中の資料は下記のURLで公開されている。
http://www.microsoft.com/japan/technet/prodtechnol/
sms/sms2003/plan/techfaq/tfaq03.asp
Back

＊グループ・ポリシー
Active Directoryで管理しているユーザーやコンピュータの操作環境をまとめて整備・管理する設定。XP SP2に搭載されるグループ・ポリシーの一覧は下記URLで入手できる。
http://www.microsoft.com/downloads/details.aspx?FamilyID=
ef3a35c0-19b9-4acc-b5be-9b7dab13108e&DisplayLang=en
Back