Windows XP Professional および Windows XP Home Edition のセキュリティ最新情報

Windows XP Professional および Windows...

概要

この文書では、Windows XP のセキュリティおよびプライバシーサービスの最新技術情報の概要を説明します。Windows XP は、家庭用の Windows XP Home Edition とビジネス用の Windows XP Professional という 2 つのエディションが利用できます。

トピック

はじめに
 Windows XP Home Edition のセキュリティ最新情報
 Windows XP Professional のセキュリティ最新情報
 まとめ
 関連リンク

はじめに

Windows XP は、これまでの Windows の中でもセキュリティとプライバシー機能が最も充実した非常に信頼性のあるバージョンの Windows です。全般的にみて Windows XP のセキュリティは、安全で機密保護され、プライバシーの保護されたコンピューティングを体験できるように改善されました。Windows XP は、家庭用の Windows XP Home Edition とビジネス用の Windows XP Professional という 2 つのエディションが利用できます。

Windows XP Home Edition のセキュリティ機能を利用すれば、インターネットでの買物や参照もより安全です。Windows XP Home Edition にはインターネット接続ファイアウォール (Internet Connection Firewall) ソフトウェアが内蔵されています。このソフトウェアはインターネット接続時、特にケーブルモデムや DSL など常時接続時に、セキュリティ上の脅威に対する弾力性のある防御を提供します。

Windows XP Professional には、Windows XP Home Edition のセキュリティ機能ならびに追加セキュリティ管理機能が実装されています。この新しい重要なセキュリティ機能は IT 費用を減少させ、ビジネスシステムのセキュリティを向上させます。

Windows XP Home Edition のセキュリティ最新情報

パーソナライズログオン
マルチユーザーコンピュータでのユーザーの簡易切り替え
パーソナルプライバシー
インターネット接続の共有 (ICS)
インターネット接続ファイアウォール
共有ドキュメントフォルダ

Windows XP Professional のセキュリティ最新情報

企業セキュリティ
ネットワークアクセスの制御
単純共有
空白パスワードの制限
暗号化ファイルシステム
証明書サービス
資格証明管理
ユーザーの簡易切り替え
パーソナルプライバシー
インターネット接続の共有 (ICS)
インターネット接続ファイアウォール
ソフトウェア制限ポリシー
IP セキュリティ (IPSec)
スマートカードのサポート
Kerberos V5 認証プロトコル

ページのトップへ

Windows XP Home Edition のセキュリティ最新情報

Windows XP Home Edition のセキュリティサービスは柔軟性および、ホームユーザーが直面する広範囲のセキュリティとプライバシー状況に配慮して設計されました。Microsoft Windows NT version 4.0 と Microsoft Windows 2000 のセキュリティモデルに習熟したユーザーなら、Windows XP Home Edition の多数のセキュリティ機能を評価できるはずです。また同時に、従来の機能から大幅に変更された機能やシステムセキュリティの管理機能を改善させる新機能も多数あります。

たとえばインターネットでオンラインチャットや電子メールの送受信を利用する時は、ハッカーに攻撃されやすくなります。このような脅威から身を守るため Windows XP には、オンライン経験を安全にする拡張セキュリティ機能が組み込まれています。

これまでで最も生産的なユーザー経験をもたらす Windows として、利用者とその情報のセキュリティを保護する Windows XP Home Edition の重要なセキュリティ機能およびプライバシー機能を説明します。

備考 : ワークグループのメンバとして、またはスタンドアロン環境で Windows XP Home Edition を使用していて、そのコンピュータに管理者権限を有する場合、オペレーティングシステムの全セキュリティ機能にアクセスできます。Windows XP Home Edition を実装しているコンピュータがネットワークの一部の場合、セキュリティオプションはネットワーク管理者が決定します。

パーソナライズログオン

Windows XP では家族の全員が独自のインターフェイスやログイン名、パスワードを持つことができます。この追加されたセキュリティレベルにより、どのユーザーも自分の重要なドキュメントにアクセスされたり、間違って削除されるということがありません。

家庭に子供がいる場合、不適切なインターネットサイトを排除するセキュリティ制限を持ったプロファイルを設定できます。

マルチユーザーコンピュータでのユーザーの簡易切り替え

家庭向けに設計された簡易ユーザー切り替え機能によって、家族の全員が 1 台のコンピュータを自分だけのものとして使用できます。ほかの人をログオフさせて、ほかのユーザーが編集中のファイルを保存するかどうか判断させる必要はなくなりました。Windows XP はターミナルサービステクノロジを利用して固有のユーザーセッションを実行するので、各ユーザーデータを完全に区別できます。ユーザーパスワードを指定してセッションを開始すると、セッションはほかのユーザーから機密保護されます。

Windows XP Home Edition または Windows XP Professional をスタンドアロンコンピュータまたはワークグループに接続したコンピュータにインストールした場合、ユーザーの簡易切り替えはデフォルトで有効です。マルチユーザーコンピュータでの簡易ユーザー切り替えを起動させているコンピュータでドメインに参加している場合、簡易ユーザー切り替えは利用できません。

ユーザーの簡易切り替えにより、家族全員が 1 台のコンピュータを共有できます。たとえば母親が家計にコンピュータを使用していて少しの間だけコンピュータから離れる場合、息子は自分のアカウントに切り替えてゲームで遊べます。財務アプリケーションは実行されたままですから、母親のアカウントで開けます。これらすべてはログオフしないで実行できます。ユーザー切り替えは簡単です。図 1 のように、コンピュータにログオンするユーザー毎に新しい起動画面を、画像を使って簡単にカスタマイズできるからです。

xpsec_01

図 1: パーソナル ログオンとユーザーの簡易切り替えの歓迎画面

パーソナルプライバシー

Microsoft Internet Explorer version 6.0 を使用すると、World Wide Web Consortium (W3C) の Platform for Privacy Preferences (P3P) 規格をサポートすることによって、Web サイトにアクセスする際に個人情報が管理しやすくなります。Microsoft は W3C の一員として Web サイトのプライバシーポリシー規格の開発を支援したので、ユーザーはオンラインで共有する情報の量と種類について通知を受けることができます。Internet Explorer 6.0 はユーザーがアクセスした Web サイトが W3C 規格に準拠しているか判断して、個人情報を提供する前にそのステータスをユーザーに知らせます。

ユーザーが Internet Explorer 6.0 で個人情報を公開するプライバシー設定を定義すると、ブラウザはアクセスしたサイトが P3P に準拠しているか判断します。ブラウザは、P3P 準拠サイトでユーザーのプライバシー設定とサイトのプライバシーポリシーを比較します。Internet Explorer は、ポリシー情報の交換手段として HTTP プロトコルを使用します。ブラウザはユーザーのプライバシー設定に基いて、個人情報を Web サイトに公開するか判断します。

クッキー管理

また P3P 規格は、Internet Explorer 6.0 のクッキー管理機能もサポートしています。クッキーは、カスタマイズ機能を提供するため各 Web サイトがコンピュータに保存する小さいファイルです。たとえば MSN のカスタム設定を実装する際には、情報はユーザーのコンピュータのクッキーファイルに保存されます。次回にユーザーがサイトにアクセスすると MSN はクッキーを読み込んで、ユーザーが選択したオプションを表示します。

プライバシーポリシーの一部として P3P に準拠した Web サイトは、クッキーに対するポリシー情報を提供できます。ユーザーがプライバシー設定を指定すると、ユーザーは Internet Explorer を設定して次の方法でクッキーを処理できます。

クッキーをユーザーのコンピュータに全く保存しないようにします。
サードパーティクッキーを拒否しますが (アクセスした Web サイトとは違うドメインからのクッキーで、そのため Web サイトのプライバシーポリシーの適用を受けないクッキー)、それ以外のクッキーはユーザーのコンピュータに保存することを許可します。
通知なしに全クッキーをユーザーのコンピュータに保存することを許可します。
クッキーの追加管理オプションについては、図 2 と図 3 を参照してください。

xpsec_02

図 2: クッキー管理サイト毎のプライバシー操作

xpsec_03

図 3: クッキー管理 : プライバシーの詳細設定

P3P について詳しくは、http://www.w3.org/ leave-ms (英語) の W3C Web サイトを参照してください。

インターネット接続の共有 (ICS)

インターネット接続の共有 (ICS) は、1 つのインターネット接続を使用して複数のコンピュータをインターネットに接続させます。ICS を使用すると、複数コンピュータ間の DSL やケーブルモデム、電話回線接続を安全に共有できます。

ICS の動作方法

ICS ホストと呼ばれる 1 台のコンピュータは直接インターネットに接続し、そして接続をネットワーク上のほかのコンピュータと共有できます。クライアントコンピュータは、ICS ホストコンピュータを仲介してインターネットにアクセスします。ICS が有効な場合セキュリティは向上します、インターネットから見えるのは ICS ホストコンピュータだけだからです。クライアントコンピュータからインターネットへの通信は ICS ホストを通過する必要があるので、クライアントコンピュータのアドレスはインターネットから隠されます。クライアントコンピュータは、ネットワークの外部から見えないので、保護されます。パブリック側から見えるのは ICS を実行しているコンピュータだけです。さらに ICS ホストコンピュータはネットワークアドレッシングを管理します。ICS ホストコンピュータは恒久アドレスの割り当てを受けて、ICS クライアントに Dynamic Host Configuration Protocol (DHCP) を提供します。ICS ホストコンピュータは固有のアドレスをそれぞれの ICS クライアントに割り当てることにより、コンピュータがネットワーク上のほかのコンピュータと通信する方法を提供します。

Windows XP は ICS 機能によって、単一のインターネット接続を家庭やスモールビジネスネットワーク上の複数コンピュータで共有する機能を提供します。この機能は当初 Windows 2000 Professional と Windows 98 SE に搭載され、Windows XP で改良されました。

ネットワーク プロトコルの使用

Windows XP では ICS 機能は、ネットワークアドレス変換 (NAT)、DHCP、ドメイン名サービス (DNS) を、ホームネットワークに提供するので、利用者がクライアントを設定する必要はありません。

Windows XP の DNS 機能は、ホームネットワーク上の全クライアントに名前解決を提供するため、ローカル DNS リゾルバを加えるように改善されました。DNS リゾルバによって Windows ベースでないネットワークデバイスも、ネットワーククライアントのために名前解決を実行できます。名前解決を必要とするインターネット名は、解決のためインターネットサービスプロバイダ (ISP) の DNS サーバーに転送されます。

リモート ディスカバリおよびリモート制御機能

また ICS にはリモートディスカバリおよびリモート制御機能が含まれています。ネットワーククライアントはユニバーサルプラグアンドプレイ機能を使用して ICS ホストを検出し、インターネット接続状態を照会して判断します。

家庭内の別のパソコンでインターネットを参照したい場合、インターネットに接続していなければ ICS ホストの Windows XP パソコンが自動的にインターネットに接続してくれます。あるいは家庭内の別のクライアントコンピュータにログオンしているユーザーはインターネットに接続中かどうか知ることができ、通常の音声通信で電話するために接続を切断できます。これは、ダイヤルアップ接続料金を分単位で請求されたり、使用しないときにインターネット接続を切りたい場合に便利です。

図 4 では ICS を設定するオプションを説明します。

xpsec_04

図 4 : ICS のセットアップ

インターネット接続ファイアウォール

Windows XP は、インターネットセキュリティをインターネット接続ファイアウォール (ICF) として提供しています。長年に渡ってビジネスネットワークは、外部からの攻撃にファイアウォールを利用して防御してきました。Windows XP は、ICF 保護機能により同じセキュリティをお客様に提供します。これは、Windows XP を起動させると情報やコンピュータ、家族データを侵入者から安全に保護してくれるという意味です。

セキュリティへのニーズの増大

ブロードバンドによるインターネットアクセスが家庭やビジネスに浸透すれば、ネットワークに接続されているパソコンその他のデバイス、コンテンツを保護するため、セキュリティへのニーズは増大します。ダイアルアップモデムを使用してインターネットに接続しているコンピュータも、攻撃を受けないわけではありません。

ICF は家庭やスモールビジネスでの使用を想定して設計されているので、インターネットに直接接続されている Windows XP パーソナルコンピュータや、ICFが動作する「インターネット接続の共有 (ICS)」ホスト経由で接続するパーソナルコンピュータや機器を保護します。

インターネット接続ファイアウォールの動作方法

Windows XP ICF は、アクティブパケットフィルタリングを使用します。この結果ファイアウォール上のポートは、興味のあるサービスにアクセスするニーズが存在する限り、動的に開かれます。この種のファイアウォールテクノロジは通常、より高機能の企業ファイアウォール向けのものですが、ハッカーによるコンピュータポートとファイル/プリンタ共有などのリソースのスキャンを防止します。これは外部からの攻撃という脅威を大いに減少させます。ICF は接続ごとに有効になります。

このファイアウォール機能は、ローカルエリアネットワーク (LAN)、PPPoE、VPN、ダイヤルアップ接続で利用できます。PPPoE は新しい IETF ドラフト規格です。ケーブルモデムまたは加入者回線を通して、ダイアルアップモデム接続と同じように簡単にブロードバンド接続を確立できます。Windows XP はネイティブで PPPoE をサポートする最初の Windows オペレーティングシステムです。

ポータブルコンピュータを持参して外出し、ダイヤルアップ接続その他の手段を通してインターネットにアクセスする際には、セキュリティのため ICF 機能が自動的に有効となります。

簡単なファイアウォール保護設定

[ネットワークセットアップウィザード] を実行すると、検出されたすべてのアクティブなインターネット接続で自動的に ICF を有効にします。以下の操作で、接続が ICF を使用しているか二重チェックできます:

[コントロールパネル] を開きます。
[ ネットワークとインターネット接続 ] をクリックします。
[ ネットワーク接続 ] をクリックします。
インターネット接続を右クリックしてから次に [ プロパティ ] をクリックします。
接続の [ プロパティ ] ダイアログボックスで [詳細設定] タブをクリックします。

ICF を有効にする方法については、図 5 を参照してください。

xpsec_05

図 5 : ICF をオンにする

ポート マッピング

ICF はデフォルトで、一方的なトラフィックが領域内に入るのを許可しません。たとえば Web サイトやコンピュータゲームのインターネットセッションをホストしている場合など、インターネットを通してほかの人をユーザーのコンピュータにアクセスさせる必要があれば、Windows XP は特定のポートでトラフィックを許可する通路をファイアウォールに開きます。これは「ポートマッピング」と呼ばれます。

共有ドキュメントフォルダ

共有フォルダは、個人フォルダの [マイドキュメント]、[マイピクチャ]、[マイミュージック] に対応しています。[共有ドキュメント]、[共有ピクチャ]、[共有ミュージック] はユーザーのコンピュータ上の全員がアクセス可能なファイルや画像、音楽ファイルを保存する場所です。たとえば Billy が宿題を [共有ドキュメント] フォルダに置けば、母親はそれをチェックできます。そして父親が家族休暇のデジタル画像を [共有ピクチャ] に置けば、家族全体に見せることができます。

一般にホームコンピュータは信頼された環境ですから、デフォルトで Windows XP のホームユーザー各人のファイル保存領域にアクセス可能で、オプションとしてパスワードによる保護を実行できます。このアプローチにより家族は、簡単にドキュメントや画像、音楽、ビデオをホームネットワークの 1 台または複数のコンピュータで共有できます。

ただしユーザーがパスワードを作成すると、[マイドキュメント] とそのサブフォルダをロックできます。パスワードを設定してプライバシーを高めると、コンピュータの管理者以外のユーザーから身を守ることができます。

注 : これは、ハードドライブが NTFS でフォーマットされた場合だけ有効です。この機能は FAT または FAT32 でフォーマットされている場合は無効です。

ページのトップへ

Windows XP Professional のセキュリティ最新情報

Windows XP Professional は、あらゆる規模のビジネスにとってこれまでにないオペレーティングシステムであり、ビジネスコンピューティングにとって信頼性の高いセキュリティサービスを提供します。Windows XP Professional にはビジネスネットワークとセキュリティに必要なセキュリティ機能があります。このセキュリティ機能は、IT 費用を削減してビジネスサービス/ソリューションの構築に費やす時間を増加させる新しい管理機能を提供します。

Microsoft Windows NT 4.0 と Microsoft Windows 2000 のセキュリティモデルに習熟したユーザーなら、Windows XP Professional の多数のセキュリティ機能を評価できます。また同時に、従来の機能を大幅に変更した機能やシステムセキュリティの管理機能を改善する新機能も多数あります。

備考: ワークグループのメンバとして、またはスタンドアロン環境で Windows XP Professional を使用していて、そのコンピュータに管理者権限を有する場合、オペレーティングシステムの全セキュリティ機能にアクセスできます。Windows XP Professional を装備しているコンピュータがドメインの一部の場合、オプションは IT 管理者が決定します。

企業セキュリティ

Windows XP Professional は、ビジネスによる機密データ保護とネットワーク上のユーザー管理をサポートするため、信頼性の高いセキュリティ機能を提供します。Windows XP Professional で利用可能な優れた機能の 1 つは、グループポリシーオブジェクト (GPO) の利用です。GPO ではシステム管理者は、多数のコンピュータに対して単一のセキュリティプロファイルを適用でき、オプションとしてスマートカードに保存された情報を利用してユーザーを認証するスマートカードテクノロジを使用できます。

セキュリティの強化

Windows XP Professional には、ファイルやアプリケーションその他のリソースを保護するために企業で利用できる多数の機能が含まれています。この機能としてセキュリティ諸機能を設定、管理するツールの他、アクセス制御リスト (ACL)、セキュリティグループ、グループポリシーがあります。同時にそれらは、企業ネットワークに強力で柔軟性のあるアクセス制御インフラストラクチャを提供します。

Windows XP には、それぞれ個別に実装可能な多数のセキュリティ関連設定があります。また Windows XP オペレーティングシステムには設定済みのセキュリティテンプレートが含まれていて、企業はそれを無修正で実装するか、あるいはセキュリティ設定をカスタマイズする基礎として使用できます。企業では以下のケースで、このセキュリティテンプレートを適用できます:

共有フォルダや共有ファイルなどのリソースを作成して、デフォルトのアクセス制御リスト設定を受け入れるか、カスタムアクセス制御リスト設定を実装します。
ユーザーを Users や Power Users、Administrators など標準セキュリティグループの一員にして、セキュリティグループに適用するデフォルトの ACL 設定を受け入れます。
オペレーティングシステムが提供する Basic/Compatible/Secure/Highly Secure のグループポリシーテンプレートを使用します。

ACLS やセキュリティグループ、グループポリシーなど Windows XP の各セキュリティ機能にはデフォルト設定がありますが、これは個々の組織に合せて修正できます。また企業は、アクセスコントロールを実装して変更するためのツールを利用できます。Microsoft Management Console スナップインなどこのツールの多くは、Windows XP Professional のコンポーネントです。そのほかのツールは Windows XP Professional Resource Kit に含まれています。

ネットワークアクセスの制御

Windows XP は侵入者の侵入を防ぐため、内蔵セキュリティ機能を用意しています。これは、ネットワークからコンピュータに「ゲスト」レベルの権限でアクセスするユーザーを制限することによって行なわれます。侵入者がコンピュータに侵入して権限のないままパスワードを推測して権限を獲得しようとしても、失敗するか限定的なゲストレベルのアクセス権限しか取得できません。

ネットワーク認証の管理

ドメインに代わってインターネットに直接接続している Windows XP Professional ベースのシステムの数は、益々増加しています。このため強力なパスワードとアカウント別のアクセス権限を含むアクセス制御の適切な管理は、これまでにも増して重要です。セキュリティを確保するため、オープンインターネット環境に関連した相対的匿名アクセスによる制御の設定は、削除する必要があります。

その結果 Windows XP Professional のデフォルトでは、ネットワーク経由でログオンする全ユーザーは Guest アカウントを使用します。この変更は、ハッカーがパスワードの設定されていないローカル管理者アカウントを使用してログオンすることによって、インターネット経由でシステムにアクセスするのを防止するためです。

単純共有

ドメインに接続されていない Windows XP Professional システムではデフォルトで、ネットワーク経由でログオンする全ユーザーは強制的に Guest アカウントを使用します。更に単純共有セキュリティモデルを使用しているコンピュータでは、[セキュリティプロパティ] のダイアログボックスは単純な[共有ドキュメントプロパティ] ダイアログボックスで置き換えられます。

Guest の強制

ローカルアカウントの共有モデルおよびセキュリティモデルでは、Guest のみのセキュリティモデルかクラシックセキュリティモデルを選択できますGuest のみのモデルでは、ネットワーク経由でローカルコンピュータにログオンする全ユーザーは強制的に Guest アカウントを使用します。クラシックセキュリティモデルでは、ネットワーク経由でローカルコンピュータにログオンする全ユーザーは、自らのアカウントで認証を受けます。このポリシーはドメインに参加しているコンピュータには適用されません。それ以外ではGuest のみはデフォルトで有効です。

ゲストアカウントが有効でパスワードが空の場合、ログオンすると Guest アカウントに認証されているすべてのリソースにアクセスできます。

[Guest のみ - ローカルユーザーが Guest として認証する] が有効の場合、ローカルアカウントは Guest として認証されます。このポリシーによって、ネットワーク上のコンピュータに直接接続するローカルアカウントが Guest ユーザーとして認証されるかどうかが決定されます。このポリシーを使用すると、ターゲットコンピュータ上のシステムリソースにアクセスするローカルアカウントのアクセス権限を制限できます。このポリシーを有効にすると、直接接続するローカルアカウントはすべて、制約の厳しい Guest の権限に制限されます。

空白パスワードの制限

パスワードでアカウントを保護していないユーザーを保護するため、Windows XP Professional のパスワードのないアカウントは物理的コンソールを使用してしかログオンできません。デフォルトでは空のパスワードを持つアカウントは、ネットワーク経由でリモートからコンピュータにログオンできず、また、物理的コンソールのログオン画面からしかログオンできません。たとえばセカンダリログオンサービス (RunAs) では、空のパスワードを持つローカルユーザーとして、プログラムを起動できません。

ローカルアカウントにパスワードを割り当てると、ネットワーク経由のログオンを妨げる制限は解除されます。またそのアカウントは、ネットワーク接続経由であっても認証されているリソースにアクセスできます。

警告コンピュータが物理的に機密保護された場所にない場合、すべてのローカルユーザーアカウントにパスワードを割り当てることを推奨します。それを行なわないと、だれもがコンピュータへ物理的にアクセスしてパスワードのないアカウントを使用してログオンできてしまいます。これは、ポータブルコンピュータでは特に重要であり、この場合常にすべてのローカルユーザーアカウントに強力なパスワードが必要です。

注：この制限はドメインアカウントに適用されません。またローカルゲストアカウントにも適用されません。ゲストアカウントが有効でパスワードが空の場合、ログオンして Guest アカウントのアクセスが認証されているすべてのリソースにアクセスできてしまいます。

パスワードなしでのネットワークログオンへの制限を無効にする場合、ローカルセキュリティポリシーを使用すれば実行できます。

暗号化ファイルシステム

暗号化ファイルシステム (EFS) の機能の改善により、企業セキュリティが暗号化データファイルに基づいてセキュリティソリューションを採用すると柔軟性が増加し、Windows XP Professional のパワーは非常に向上しました。

EFS アーキテクチャ

EFS はパブリックキー暗号化に基いていて、Windows XP の CryptoAPI アーキテクチャを利用します。デフォルトの EFS 設定では管理上の労力は何も必要ありません。すぐにファイルの暗号化を始められます。まだ暗号化キーのペアと証明書が存在しない場合は、EFS は自動的にそれを生成します。

EFS は暗号化アルゴリズムとして、拡張デジタル情報暗号化基準 (DESX) または 3DES を使用します。暗号化サービスプロバイダ (CSP) によってオペレーティングシステムに含まれているRSA 基本ソフトウェアおよび RSA 拡張ソフトウェアは、EFS 証明書およびシンメトリック暗号化キーに使用されます。

フォルダを暗号化すると、作成、追加される全ファイルおよびサブフォルダは自動的に暗号化されます。ファイル変換中にプレーンテキスト一時ファイルがディスクに作成されないように、フォルダレベルで暗号化することを推奨します。

EFS および NTFS

暗号化ファイルシステム (EFS) は、NTFS ファイルシステムに保存されたファイル内の機密データを保護します。EFS は、NTFS ボリュームに格納されているファイルを暗号化、復号化するコアテクノロジです。保護されたファイルを暗号化したユーザーだけがファイルを開いて処理できます。これは、紛失または盗難にあったラップトップにほかの人がアクセスしてもディスクファイルにはアクセスできないため、モバイルコンピュータユーザーにとって特に有益です。Windows XP では EFS は、オフラインファイルの暗号化で使用できます。

EFS を使用すると、ファイルおよびフォルダを暗号化できます。暗号化されたファイルは、たとえば攻撃者がオペレーティングシステムを新しくインストールしてシステムセキュリティを回避しても、機密ファイルのままです。EFS は業界標準アルゴリズムにより強力な暗号化を提供しますが、NTFS と緊密に統合されているので使いやすくなっています。EFS for Windows XP Professional は、暗号化ファイルを共有し、あるいはデータ回復エージェントを実行不能にする新しいオプションを提供し、グループポリシーおよびコマンドラインツールを通しての管理を容易にします。

ファイルの機密性維持

ログオン認証やファイルアクセス許可などのセキュリティ機能は、ネットワークリソースを無権限のアクセスから保護します。ただしコンピュータに物理的アクセスするユーザーは、新しいオペレーティングシステムをコンピュータにインストールして既存のオペレーティングシステムのセキュリティ機能を回避することができます。こうして機密データが公開されるのです。EFS による機密ファイルの暗号化は、別のセキュリティレイヤを追加します。ファイルが暗号化されるとそのデータは、攻撃者がコンピュータのデータ記憶領域にフルアクセスできても保護することができます。

権限のあるユーザーと指定されたデータ回復エージェントだけは、暗号化されたファイルを暗号解除できます。そのほかのファイルにアクセス許可を持つシステムアカウントは、｢所有権の取得｣の権限であっても、承認されなければファイルを開くことはできません。管理者アカウントでさえ、データ回復エージェントとして指定されていなければ、ファイルを開けません。権限のないユーザーが暗号化ファイルを開こうとすると、アクセスは拒否されます。

図 6 は EFS 設定を作成する場所を示します。

xpsec_06

図 6 : ローカル セキュリティの設定

EFS の動作方法

EFS を使用するとコンピュータの機密情報を格納できますが、コンピュータに物理的にアクセスするユーザーでも意図的または偶然にその情報を解読できません。EFS は、ポータブルコンピュータまたは複数ユーザーが共有するコンピュータ上で機密データを機密保護する場合、特に便利です。両システムは、ACL の制限を回避する技術によって攻撃されやすくなっています。

共有システムでは攻撃者は、別のオペレーティングシステムを開始することによってアクセスできます。また攻撃者がコンピュータを盗んでハードドライブを取り外し、それを別のシステムに取り付けると、保存されているファイルにアクセスできます。しかし EFS で暗号化されたファイルは、攻撃者が解読キーを持っていなければ解読できません。

EFS は NTFS と緊密に統合されているので、ファイルの暗号化と解読には気づきません。ファイルを開くと、データはディスクから読み取られる時に EFS によって復号化されます。ファイルを保存する際には EFS は、データをディスクに書き込む時に解読します。承認されたユーザーは、通常と同じようにファイルを操作できるので、ファイルが暗号化されているのに気づきません。

デフォルトの設定で EFS は、管理操作をしなくても Windows のエクスプローラからファイルの暗号化を開始できます。利用者の目からみるとファイル暗号化は、単にファイル属性を設定することです。またファイルフォルダにも暗号化属性を設定できます。これは作成されたファイルまたはフォルダに追加されたファイルが、自動的に暗号化されるという意味です。

環境ごとの EFS 設定

EFS はデフォルトで有効です。ファイルを変更する権限があれば、ファイルを暗号化できます。EFS は公開キーに基いてファイルを暗号化するため、暗号化には公開キー/秘密キーのペアと公開キー証明書が必要です。EFS は自己署名の証明書を使用できますから、使用する前の管理上の操作は不要です。

EFS が環境に適切でないか、暗号化したくないファイルがあれば、いろいろな方法で EFS を無効にできます。また組織特有のニーズを満足させるように EFS を設定する多数の方法があります。

EFS を使用するには、すべてのユーザーには証明書が必要です。現在公開キーインフラストラクチャ (PKI) がなければ、オペレーティングシステムが自動的に生成する自署証明書を使用できます。しかし証明機関 (CA) があれば、EFS 証明書を提供するように設定してくださいまたシステムで EFS を使用すると、災害時の修復計画も検討する必要があります。

暗号化可能なオブジェクト

NTFS ボリューム上の個々のファイルおよびフォルダまたはサブフォルダには、暗号化属性を設定できます。暗号化属性の付いたファイルフォルダを「暗号化された」と呼ぶのは共通ですが、フォルダそのものは暗号化されず、ファイルフォルダに暗号化属性を設定するのに公開キー/秘密キーのペアも不要です。フォルダに暗号化属性が設定されると、EFS は自動的に次のリソースを暗号化します。

フォルダ内の全新規作成ファイル
フォルダにコピー、移動されるプレーンテキストファイル
オプションとして既存の全ファイルとサブフォルダ

また Windows 2000 ではクライアント側キャッシュと呼ばれるオフラインファイルは、EFS によって暗号化できます。

オフライン ファイルの暗号化

Windows 2000 はクライアント側キャッシュ機能を導入しましたが、これは Windows XP ではオフラインファイルと呼ばれます。これは Microsoft IntelliMirror 管理テクノロジで、クライアントコンピュータがネットワークから切断されていても、ネットワークユーザーはネットワーク共有上のファイルにアクセスできます。ネットワークから切断されていてもモバイルユーザーは、ファイルがクライアントコンピュータ上にキャッシュされているので、ファイルを参照、読み取り、編集できます。後でユーザーがサーバーに接続した場合、システムはサーバーと変更を調整します。

Windows XP Professional クライアントは、EFS を使用してオフラインファイルとフォルダを暗号化できます。この機能は特に、定期的に出張してオフラインで仕事をしながらデータセキュリティを維持する必要のあるプロフェッショナルにとってメリットがあります。

オフライン ファイル データベースの暗号化

オフラインファイルデータベースを暗号化するオプションもあります。これは、キャッシュファイルが暗号化できなかった Windows 2000 の改善です。Windows XP には、盗難からすべてのローカルキャッシュドキュメントを保護するため、オフラインファイルデータベースを暗号化するオプションが追加され、同時にローカルキャッシュデータの追加セキュリティ機能も加わりました。

たとえば機密データの機密を保護しながら、オフラインファイルを利用することができます。IT 管理者は、この機能を利用してすべてのローカルキャッシュドキュメントを保護できます。オフラインファイルキャッシュに機密データを保存したモバイルコンピュータが盗難にあった場合、オフラインファイルはすぐれた保護機能となります。

この機能は、オフラインデータベース全体の暗号化および復号化をサポートしています。オフラインファイルの暗号化を設定するには、管理者権限が必要です。オフラインファイルを暗号化するには、[ マイ コンピュータ ] の [ ツール ] の [ フォルダ オプション ] をクリックしてから、[ オフライン ファイル ] タブの [ オフライン ファイルを暗号化してデータを保護する ] をチェックします。

オフラインファイルの暗号化オプションについては、図 7 を参照してください。

xpsec_07

図 7 : オフライン ファイル データベースの暗号化

ファイル共有および Web フォルダのリモート EFS 操作

ネットワークファイル共有または WebDAV ウェブフォルダに保存されたファイルを暗号化したり、複合化できます。共有ファイルと比較して Web フォルダには多くのメリットがあり、Microsoft では暗号化ファイルのリモート記憶領域が設置可能な場合は Web フォルダの使用を推奨します。

Web フォルダに管理は不要で、ファイル共有より安全です。また Web フォルダは、暗号化ファイルを安全に保存したり、標準 HTTP ファイル転送プロトコルを使用してインターネットに安全に配信できます。リモート EFS 向けのファイル共有には、Windows 2000 以降のドメイン環境が必要です。必要な理由は、EFS はファイルを暗号化、解読するため Kerberos プロトコル委任を通してユーザーを偽装する必要があるからです。

主な相違点

ファイル共有に保存されているファイルと Web フォルダに保存されているファイルに対するリモート EFS 操作の主要な違いは、操作の発生する場所の違いです。

ファイルがファイル共有に保存されると、すべての EFS 操作はファイルが保存されているコンピュータで発生します。たとえばネットワークのファイル共有に接続して以前に暗号化したファイルを開くと、ファイルは保存されているコンピュータ上で復号化されてから、プレーンテキストになってネットワークを経由してユーザーのコンピュータに転送されます。

ファイルが Web フォルダに保存されている場合、すべての EFS 操作はユーザーのコンピュータで発生します。たとえば Web フォルダに接続して以前に暗号化したファイルを開くと、ファイルはコンピュータに転送されるあいだ暗号化されたままで、ユーザーのコンピュータで解読されます。

またこの EFS 操作が発生する場所の違いのため、ファイル共有は Web フォルダより管理上の設定が必要です。

Web フォルダ環境でのリモート EFS 操作

Web フォルダに保存されている暗号化されたファイルを開くと、ファイルは転送中暗号化されたままで、ローカルで解読されます。Web フォルダとのアップロード、ダウンロードは生のデータ通信ですから、攻撃者が暗号化ファイルの送信中のデータにアクセスできたとしても、キャプチャされたデータは暗号化されているので使えません。

Web フォルダと EFS の組合せでは、ユーザーやビジネス、組織間で暗号化ファイルを安全に共有するために、特別のソフトウェアは必要ありません。EFS を通してセキュリティを維持しながら簡単にアクセスできるように、ファイルは共通のイントラネットファイルサーバーまたはインターネットコミュニティに保存できます。

WebDAV リダイレクタ

WebDAV リダイレクタは、HTTP 経由のリモートドキュメント共有向けに標準の HTTP version 1.1 を拡張した WebDAV プロトコルをサポートするミニリダイレクタです。WebDAV リダイレクタは既存アプリケーションの利用をサポートしていて、たとえばファイアウォールやルータを仲介とするインターネット経由で HTTP サーバーとファイルを共有できます。Internet Information Services (IIS) version 5.0 (Windows 2000) は Web フォルダをサポートしています。

共有ファイルにアクセスするのと全く同じ方法で Web フォルダにアクセスできます。Net Use コマンドを使用するか Windows のエクスプローラを使用すると、ネットワークドライブを Web フォルダにマッピングできます。Web フォルダに接続してから、共有ファイルと同様にファイルをコピーしたり、ファイルの暗号化、解読を選択できます。

証明書サービス

証明書サービスはコアオペレーティングシステムの一部で、サービスを利用するとビジネスは独自の証明機関 (CA) としてデジタル証明書を発行、管理できます。Windows XP Professional は複数レベルの CA 階層とクロス認定信頼ネットワークをサポートしています。これには、オフラインおよびオンラインの証明機関が含まれます。

証明書および公開キーの格納場所

Windows XP Professional は、公開キー証明書を個人証明書ストアに保存します。証明書はプレーンテキストで保存されますが、それは証明書が公開情報で、開封を防ぐため証明機関によってデジタル署名されているからです。

ユーザー証明書はユーザープロファイルごとに\username\ApplicationData\ Microsoft\SystemCertificates\My\Certificates のDocuments and Settingsにあります。この証明書は、コンピュータにログオンするたびにシステムレジストリ内の個人ストアに書き込まれます。移動プロファイルとしてのユーザー証明書は別の場所に保存されていて、ドメイン内の別のコンピュータにログオンするとそこにコピーされます。

秘密キーの格納場所

Microsoft ベースの暗号化サービスプロバイダ (CSP) 用の秘密キーは、基本 CSP および拡張 CSP も含めて、 RootDirectory\Documents and Settings\username\Application Data\Microsoft\Crypto\RSA ディレクトリのユーザープロファイルにあります。

移動ユーザープロファイルの場合、秘密キーはドメインコントローラ上の RSA フォルダにあって、そこからユーザーのコンピュータにダウンロードされ、ログオフするかコンピュータを再起動するまで保持されます。

秘密キーは保護する必要があるので、RSA フォルダ内の全ファイルは自動的に、マスタキーと呼ばれるランダムでシンメトリックキーによって暗号化されます。ユーザーのマスタキーは 64 バイト長で、強力なランダム数値ジェネレータによって生成されます。3DES キーはマスタキーから派生し、秘密キーを保護するために使用します。マスタキーは自動的に生成され、定期的に更新されます。

マスタキーをディスクに保管する際は、ユーザーのパスワードの一部を使ってマスタキーによって 3DES で保護されます。RAS フォルダでファイルが作成されると、マスタキーにより自動的に暗号化されます。

ユーザー証明書の自動登録

Windows 2000 はユーザー証明書の自動登録を導入しました。コンピュータ証明書やドメインコントローラ証明書の自動登録は、グループポリシーおよび Microsoft Active Directory・によって有効となります。コンピュータ証明書の自動登録は、IPSec または L2TP/IPSec VPN による Windows XP ルーティングサービスおよびリモートアクセスサーバーその他の同様のデバイスへの接続をスムーズにする点で、非常に有益です。

証明書の自動登録は総所有コスト (TCO) を削減して、ユーザーと管理者の証明書管理のライフサイクルを簡素化します。自動スマートカード登録機能および自己登録機関機能は、セキュリティに敏感な組織のセキュリティ処理を簡素化するばかりか、企業ユーザーのセキュリティを向上させます。

証明書要求の保留と更新

Windows XP Professional のユーザー自動登録は、証明書要求の保留機能と更新機能をサポートします。手動または自動で Windows .NET Server CA に証明書を要求できます。この要求は、管理者による認可を受信するまで、または検証プロセスが完了するまで保留されます。証明書が認可されるか発行されると自動登録プロセスは完了し、証明書は自動的にインストールされます。

また期限切れのユーザー証明書の更新プロセスは、自動登録機構を利用します。Active Directory 内の証明書テンプレートの仕様に基いて、ユーザーの証明書は自動的に更新されます。

証明書とキーはデフォルトで保護されます。さらにオプションとして、特別に保護するためのセキュリティ方法を実装できます。証明書とキーのセキュリティを強化する必要があれば、秘密キーをエクスポートして機密保護された場所に保存することができます。

図 8 は、証明書の自動登録を設定するオプションの一部を示します。

xpsec_08

図 8 : 自動登録の設定プロパティ

資格証明管理

Windows XPの資格証明管理には、資格証明プロンプトユーザーインターフェース (UI)、ユーザー名とパスワード保存領域、キーリングという 3 つのコンポーネントがあります。またこの 3 つのコンポーネントは、単一のサインオンソリューションを作成します。

資格証明プロンプト

認証パッケージが認証エラーを返すと、アプリケーションによって資格証明プロンプト UI が表示されます。（これは、この UI が実装されているアプリケーションでだけ有効です）。

ダイアログボックスにはユーザー名とパスワードを入力するか、マイストアオブジェクトから X.509 証明書を選択できます。またアプリケーションには [ パスワードを記憶する ] チェックボックスを表示するオプションがあります。これによって後で使用するために資格証明を保存できます。

たとえば Kerberos プロトコルやNTLM、SSL など統合された認証パッケージだけが資格証明を保存できます。基本認証として資格証明プロンプティング UI は表示されますが、資格証明を保存するオプションは表示されません。資格証明 UI のプロンプトの例については、図 9 を参照してください。

xpsec_09

図 9 : 資格証明ユーザー インターフェースのプロンプト

ユーザー名とパスワード保存領域

ユーザー名とパスワード保存領域は、機密保護されていてローミングの可能な資格証明の保存場所です。資格証明へのアクセスは、ローカルセキュリティオーソリティ (LSA) によって制御されます。資格証明はリソースが返すターゲット情報に基いて保存されます。

資格証明プロンプト UI で [ パスワードを記憶する ] チェックボックスをチェックして資格証明が保存される場合、資格証明は最も一般的な形式で保存されます。たとえばドメイン内の特定のサーバーにアクセスすると、資格証明は *.domain.com として保存されます。このドメイン内の別のサーバー用の別の資格証明を保存しても、この資格証明は上書きされません。もっと特定のターゲット情報向けの資格証明として保存される場合もあります。

統合認証パッケージを通してユーザーがリソースにアクセスすると、認証パッケージはリソースが返すターゲット情報に合致する特定の資格証明用に、ユーザー名とパスワード保存領域を参照します。見つかるとその資格証明は、ユーザーに通知することなく認証パッケージによって使用されます。資格証明が見つからないと、リソースにアクセスしようとしたアプリケーションには認証エラーが返されます。

注 : リソースにアクセスするアプリケーションは、このシームレスな認証を使用するため、資格証明プロンプト UI を実装している必要はありません。アプリケーションが統合認証パッケージを使用すると、認証パッケージは資格証明を取得しようとします。実際ユーザーが資格証明を入力すると、認証パッケージだけがそれを取得できます。

パスワード管理 UI の例については、図 10、11a、11b を参照してください。

xpsec_10

図 10 : クラシック パスワード管理 UI ( ドメイン内の Windows XP Professional)

xpsec_11a

図 11a : フレンドリ パスワード管理 UI ( ワークグループ内の Windows XP Home Edition および Windows XP Professional)

xpsec_11b

図 11b : フレンドリ パスワード管理 UI ( ワークグループ内の Windows XP Home Edition および Windows XP Professional)

キー リング

キーリングを使用すると、ユーザー名とパスワード保存領域内の資格証明を手動で管理できます。キーリングはユーザーアカウントのコントロールパネルアプレットを通してアクセスできます。

キーリングには、ユーザー名とパスワード保存領域にある全資格証明のリストがあります。それぞれの資格証明が強調表示されると、下部の説明フィールドには資格証明の短い説明が表示されます。そこでは新しい資格証明を追加したり、既存の資格証明を編集したり、既存の資格証明を削除できます。

資格証明の追加。資格証明を追加しようとすると、資格証明プロンプト UI に似た UI が表示されるので、ターゲット情報に記入する必要があります。ターゲット情報として、・・の形式のワイルドカードを受け付けます。
資格証明の編集。資格証明の編集では、ターゲット情報または資格証明そのものを変更できます。ユーザー名とパスワードの資格証明を編集する場合、ここからサーバー上のパスワードを変更できます。資格証明プロンプティング UI を使用すると、アプリケーションによって作成された資格証明は編集できません。たとえばパスポートの資格証明は編集できません。
資格証明の削除。資格証明を削除できます。
資格証明をユーザー名とパスワード保存領域に保存する機能のオン/オフは、グループポリシーを通して切り替えできます。

ソフトウェア開発者がこの機構を利用するため、資格証明プロンプト API およびその基礎となる資格証明 API のマニュアルが Platform Software Development Kit (SDK) にあります。

ユーザーの簡易切り替え

Windows XP Home Edition で利用可能なすべてのユーザーの簡易切り替え機能は Windows XP Professional でも利用できます。(詳しくは、このドキュメントの Windows XP Home Edition セクションのマルチユーザーコンピュータでの簡易ユーザー切り替えを参照してください)。

Windows XP Professional を起動しているドメインに接続していないコンピュータでは、ログオフあるいはアプリケーションを閉じないでも接続を別のコンピュータに切り替えられます。

注 : Windows XP Professional オペレーティングシステムでのユーザーの簡易切り替えは、コンピュータがワークグループに属しているかスタンドアロンの場合のみ有効です。コンピュータがドメインの一部の場合、コンピュータへのログオンオプションは IT 管理者が設定するポリシーにより決定されます。