ビューポイント - 2009 年 4 月
Paul Cooke, Director, Windows Client Enterprise Security, Microsoft Corporation 著
セキュリティは依然として IT プロフェッショナルの最大の関心事です。現在、Windows® 7 ベータ版が利用可能になりましたが、マイクロソフトが Windows 7 のオペレーティング システムに何を行ったのかという多くの疑問があると思います。この短いコラムでその答えを説明するには限界がありますが、焦点を当てるべき項目は次の 3 点です。
- Windows 7 は、Windows Vista® オペレーティング システムをセキュリティの基盤として構築されましたが、監査およびユーザー アカウント制御 (UAC) のエクスペリエンスを改善しました。
- Windows 7 は、AppLocker™ を使用することで、どのソフトウェアを実行可能にするかといった IT 管理に役立ちます。
- Windows 7 は、リムーバブル ストレージ デバイス向けの BitLocker To Go™ を導入すると共に、BitLocker ドライブ暗号化のコア機能を強化しました。
それでは、各項目について詳細を見てみましょう。
基礎からセキュリティで保護された環境
Windows 7 は Windows Vista の強力なセキュリティを引き継ぎ、Windows Vista を従来の Windows のバージョンで最も安全なバージョンにした開発プロセスおよびテクノロジーを維持し、それを基に構築しました。カーネル修正の保護、Service Hardening、データ実行防止、Address Space Layout Randomization および Mandatory Integrity Level などの基本的なセキュリティ機能により、マルウェアおよび攻撃に対して、引き続き強化した保護策を提供します。Windows 7 の設計と開発には マイクロソフト セキュリティ開発ライフサイクル (SDL) (英語情報) が使用され、Common Criteria 認定取得のための要件である Evaluation Assurance Level 4 (評価保証レベル 4) の取得と、米連邦政府情報処理規格 (FIPS) 140-2 の要件を満たすよう設計されました。
監査機能の強化
Windows 7 は強化された監査機能を提供しており、組織が容易に規制およびビジネス コンプライアンスの要件を満たすことができます。監査の強化は監査の構成のための簡素化された管理のアプローチから、何が組織内で起きているか、目に見える管理までを網羅しています。例えば、Windows 7 では、特定の人、またはグループが変更を実行したなどの透明性に加え、ある特定の情報を入手した人物、またはそのアクセスが拒否された場合、原因を察知することができます。
ユーザー アカウント制御の合理化
ユーザー アカウント制御 (UAC) は、Windows Vista で導入されましたが、標準ユーザーの権限で従来のアプリケーションを実行する、また、ISV が標準ユーザーの権限で機能するよう、ソフトウェアを適応させるのに役立ちます。Windows 7 はユーザー エクスペリエンスを強化するため、引き続き UAC への投資を行っています。このような変更には、オペレーティング システムのアプリケーションや管理者特権が必要なタスク数の削減や、管理者特権での実行を継続しているユーザーに、柔軟性に富んだ確認メッセージを提供することも含まれています。その結果、標準ユーザーがより多くを実行できるようになり、すべてのユーザーに対する確認メッセージが削減されます。
AppLocker
Windows 7 の AppLocker により、アプリケーション制御ポリシーを強化しました。柔軟で管理しやすいメカニズムにより、デスクトップのインフラストラクチャーでどの実行を許可するかを確実に指定できます。ユーザーはアプリケーションの実行、プログラムのインストールおよび必要なスクリプトを実行する機能が提供され、より生産性が向上します。その結果、アプリケーションの標準化により、組織内でのセキュリティ、運営およびコンプライアンスの利点が得られます。
AppLocker は、次の 3 つのルールにより、簡素で強力な構造を提供します: 「許可」、「拒否」および「例外」
「許可」のルールは、アプリケーションを「認識された正しい」アプリケーションのみに実行し、その他を禁止するように制限できます。「拒否」のルールは、逆のアプローチをとっており、「認識されたの正しくない」アプリケーションの一覧以外のすべてのアプリケーションの実行を許可します。多くの企業では「許可」および「拒否」のルールを組み合わせて使用する可能性がありますが、ビルトインの例外と共に「許可」のルールを使用すると AppLocker が理想的に展開できます。例外ルールは、通常含まれる「許可する/拒否する」ルールを排除できます。例えば、「例外」を使用すると、「Windows オペレーティング システムで、ビルトイン ゲーム以外のすべてを実行できる」などのルールが作成できます。許可するルールと例外を用いることにより、過度なルールを作成せずに、優れた方法でアプリケーションの「認識された正しい一覧」を構築できます。
AppLocker はアプリケーションのデジタル署名に基づいた発行元のルールを導入します。発行元のルールにより、アプリケーションのバージョンなどの属性を指定できるため、アプリケーションの更新を存続させるルールを作成することができます。たとえば、ある組織が「ソフトウェアの発行元である Adobe により署名されているのであれば、バージョンが 9.0 以上の Acrobat Reader を許可する」というルールを作成できます。そして、Adobe が Acrobat を更新した場合、新しいバージョンのアプリケーションのための別のルールを作成せずに、そのアプリケーションの更新を安全に進めることができます。
AppLocker のルールもまた組織の特定のユーザーやグループに関連付けることができます。これにより、特定のアプリケーションを実行できるユーザーを確認、施行することで、コンプライアンスの要件をサポートできるようにする粒度の細かい制御が提供されます。たとえば、「経理部のスタッフに経理部門のアプリケーションの実行を許可する」というルールを作成することができます。これにより、経理部以外のスタッフ (管理者も含む) が経理のアプリケーションを実行することが禁止でき、経理のアプリケーションを業務上実行する必要があるスタッフはアクセスすることができます。
AppLocker は新しいルールの作成ツールとウィザードにより、IT 管理者に強力なエクスペリエンスを提供します。ステップ バイ ステップのアプローチおよび豊富なヘルプの使用、新しいルールの作成、ルールの自動生成、ルールのインポート/エクスポートは直観的に理解でき、かつメンテナンスが容易です。たとえば、IT 管理者はテスト参照コンピューターを使用し自動でルールを生成し、広範囲にわたる適用のために運用環境にルールをインポートすることができます。また、IT 管理者は運用の構成のバックアップを提供するために、または準拠の目的についての文書を提供するために、ポリシーをエクスポートすることもできます。
BitLocker および BitLocker To Go
毎年、何 10 万台もの適切な安全対策が施されていないコンピューターが盗難にあったり、廃棄されたりしています。しかし、データの損失や盗難は単なる物理的なコンピューター問題ではありません。USB フラッシュ ドライブ、電子メール、漏えいした文書など、これらのすべてが悪の手にデータが渡る手段を与えます。Windows 7 は BitLocker ドライブ暗号化への管理の容易性や更新の展開で、また、BitLocker To Go の導入で、相次ぐデータの漏えいの脅威を解決します。BitLocker To Go とは、BitLocker のサポートをリムーバル ストレージ デバイスにまで拡大することにより、データの盗難に対する保護を強化します。
BitLocker ドライブ暗号化 (以下 BitLocker) は、窃盗犯が別のオペレーティング システムを起動する、またはソフトウェア ハッキング ツールを実行することを阻止し、Windows 7 のファイルとシステムの保護を破ること、または保護されたドライブに保存されているファイルをオフラインで表示することを阻止します。Windows 7 BitLocker は Windows Vista BitLocker と同じ中核となる利点がありますが、Windows 7 BitLocker では中核となる機能が強化され、IT プロフェッショナルやエンド ユーザーにより良いエクスペリエンスを提供します。2 つのパーティションのディスク構成を必要とする BitLocker を Windows Vista で適用していなかったお客様については、ドライブを再パーティションして BitLocker を有効にしなければならず面倒なものでした。Windows 7 は、BitLocker の適用を非常に簡素化しており、インストール中に、必要なディスク パーティションを自動的に作成します。Windows 7 BitLocker におけるもう 1 つの変更点は、ドライブでの右クリック機能で BitLocker 保護を有効にできることです。
Windows 7 BitLocker はデータ回復エージェント (DRA) のサポートをすべての保護されたボリュームに追加しました。多くのお客様からの要望である DRA のサポートにより、IT はすべての BitLocker で保護されたボリューム (オペレーティング システム、修正されたボリュームおよび新しいポータブル ボリューム) が適切な DRA で暗号化されるよう指示することができます。DRA とは、新しい鍵となるプロテクターで、承認された IT 管理者が常に BitLocker で保護されたボリュームにアクセスできるよう各データ ボリュームに書き込まれます。
BitLocker To Go は BitLocker のサポートを USB フラッシュ ドライブやポータブル ディスク ドライブなどのリムーバル ストレージ デバイスにまで拡張します。また、BitLocker To Go は管理者にリムーバル ストレージ デバイスが環境でどのように活用されるか、またリムーバル ストレージ デバイスが必要とする保護の強度への制御も提供します。管理者は、保護されていないストレージ デバイスが引き続き読み取り専用モードで使用できるようにする一方で、ユーザーがデータを書き込みたいリムーバル ストレージ デバイスにデータの保護を必要とすることができます。保護されたリムーバル ストレージ デバイスを使用するために、適切なパスワード、スマート カードまたはドメイン ユーザーの資格情報を必要とするポリシーも利用できます。
システム パーティションが従来の BitLocker 機能で保護されていなくても、BitLocker To Go はそれ自体を使用できます。最後に、BitLocker To Go は Windows オペレーティング システムの旧バージョンのリムーバル デバイスに読み取り専用のサポートを提供します。これにより、ユーザーは BitLocker To Go Reader で Windows Vista や Windows XP を実行しているユーザーとさらに安全にファイルが共有できます。
ラップトップで移動中でも、信頼できるパートナーと大容量のファイルを共有していても、または仕事を自宅に持ち帰っても、BitLocker および BitLocker To Go は、メディアが紛失、盗難に遭った場合、または悪用された場合でさえも、許可されたユーザーのみにデータの読み取りができるようにします。
結論
Windows Vista のセキュリティ基盤に基づき、マイクロソフトが継続してデータおよびユーザーの IT 投資を保護するためのより良い方法を見出しているというユーザーからの信頼を得るため、Windows 7 は数多くのセキュリティの強化を導入しています。企業にとって、(Windows 7 で導入された) 企業内の機密情報の保護、対マルウェアの強化された保護、そして社内リソースやデータへの安全なアクセスを支援する強化機能が、有効です。エンド ユーザーはWindows 7の新技術・新機能を使ったプライバシーや個人情報の保護により、コンピューターやインターネットの有効性を実感できます。最後に、すべてのユーザーは Windows 7 の柔軟なセキュリティ構成のオプションが有益なものになることでしょう。これらのオプションは個別のニーズを満たすためのセキュリティとユーザビリティの独自のバランスを実現するのに役立つことでしょう。
.png){kind=spacer}
