• [アーティクル]

Windows Vista

Windows Vista での企業ネットワーク

Jason Leznek

 

概要:

  • 次世代 TCP/IP スタック
  • ユーザーに重点を置いたネットワーク ツール
  • ネットワークのセキュリティ強化
  • ネットワーク管理の簡素化

最後に終日企業ネットワークに接続しないで仕事をしたのはいつのことだったでしょうか。ちょっと考えてみてください。電子メールにアクセスしません。インターネットを参照することもありません。

もちろん、プリンタやファイル共有も使用できません。売上データベースの重要なデータにアクセスすることもできません。これでは、仕事がまったくできないでしょう。

ネットワーク接続は、多くの人が業務をこなす上で非常に重要です。同様に、ユーザーからは、企業所有のラップトップで事実上あらゆるパブリック ネットワークやホーム ネットワークに接続できる移動性への期待も高まっています。しかし、セキュリティへの悪影響を考えるとぞっとするでしょう。

Windows Vista™ ネットワーク チームのエンジニアは、接続性がどれほど重要かを理解しています。同チームでは Windows® 95 以降、ネットワーク技術革新の最高の結果を実現しようと尽力してきました。Windows Vista では、ネットワークが従来よりも使いやすく、安全で、管理しやすく、大規模ネットワークへの拡張性も備えています。

Windows XP がリリースされてから 5 年がたちました。その間、多くの変化が起きています。たとえば、ユーザーが存在するあらゆる場所でのユビキタスなワイヤレス ネットワーク機能の必要性、サーベンス オクスリー法や HIPAA などの政府規制や産業規制、コスト削減と現在の投資のより効率的な活用の必要性などです。ユーザーはネットワーク リソースが "すぐそこにある" ことを期待し、接続に少しでも問題があると不満が高まります。また、以前よりもユーザーの移動性が高まり、企業ネットワークだけでなく、事実上街中のあらゆるネットワークに接続するようになっています。

スタックを使用する

Windows Vista には、頻繁に発生するネットワーク上の問題に対処するための大幅な強化を特徴とした、TCP/IP スタックの最新実装が含まれます。この実装では、優れたパフォーマンスとスループット、ネイティブ Wi-Fi アーキテクチャ、およびネットワーク パケット検査のための API を提供します。

ネットワークを最大限に活用するには、TCP/IP 構成設定の複雑なチューニングが必要です。Windows Vista では、ネットワーク状態を検出して自動的にパフォーマンスが最適化されるので、手動でのチューニングが必要なくなります。Windows Vista では、ワイヤレス ネットワークなどの損失率の高いネットワークで、損失した複数のパケットを適切に回復できます。また、リンクを完全に活用するために、TCP 受信ウィンドウを動的に増加または減少できます。ユーザーは、高速または高レイテンシの WAN 経由でファイルを転送するときや、インターネットからファイルをダウンロードするときに、その転送時間が大幅に高速になっていることに気付くでしょう。

Windows Vista には、中核となるネットワーク スタックの一部として、ネイティブ ワイヤレス ネットワーク アーキテクチャ (ネイティブ WiFi) もあります。このアーキテクチャには、多くのハードウェア ブランドやモデル間での柔軟な展開、どのようなハードウェアでも同等のユーザー エクスペリエンス、信頼性の高いサードパーティのワイヤレス NIC ドライバなどのメリットがあります。Windows Vista のワイヤレス ネットワークは集中管理でき、最新のセキュリティ プロトコルをサポートして、シームレスなネットワーク エクスペリエンスをユーザーに提供します。

Windows Filtering Platform (WFP) は、次世代 TCP/IP スタックの新しいアーキテクチャです。サードパーティのソフトウェア ベンダは、WFP が提供する API を使用して、TCP/IP プロトコル スタックの複数層で行われるフィルタ処理上の決定に参加できます。その際、独自のカーネルモード アプリケーションを作成する必要はありません。このプラットフォームでは、認証済みの通信や、アプリケーションで Windows Sockets API を使用した動的なファイアウォール構成 (アプリケーションベースのポリシー) など、次世代ファイアウォール機能に対するサポートも提供されます。

ユーザーの能力を引き出す

ネットワークと共有センターでは、ユーザーが接続しているかどうか、どこに接続しているか、接続がローカル ネットワーク経由かインターネット経由かなど、ユーザーのネットワーク状態を集中管理できます (図 1 を参照)。また、さまざまなネットワーク サービスの状態を、ユーザー自身のコンピュータに表示できます。ローカル ネットワーク上でそのコンピュータを検出できるかどうか、フォルダやプリンタが共有されているかどうかなどを表示できます。アドホック ワイヤレス ネットワークやインフラストラクチャ ワイヤレス ネットワーク、VPN、または自宅のブロードバンド接続であっても、ユーザーはネットワークを作成したり、既存のネットワークに接続したりできます。

図 1 ネットワークと共有センター

図 1** ネットワークと共有センター **(画像を拡大するには、ここをクリックします)

Windows Vista では、ヘルプ デスクに電話する必要なく、ユーザー自身で接続上の多くの問題を診断および解決することもできます。Windows Vista ではネットワーク診断フレームワークにより、アプリケーションの動作内容から接続上の問題の根本的原因を特定できます。たとえば、ユーザーがインターネット サイトに接続できない場合、ネットワーク診断は DNS サーバーに接続し、プロキシ サーバーを検出して、Web サーバーからの応答を取得することで、アクティブなワイヤレス接続や有効な IP アドレスがあるかどうかを調べることから問題を追跡します。

問題を検出すると、問題とその解決方法を明確に示したメッセージをユーザーに表示します (図 2 参照)。解決方法が対応策をクリックするだけといった簡単な場合もあります。それほど単純ではない場合は、ユーザーが構成を変更しなければなりません。変更が必要な構成の正確な場所は、ダイアログ ボックスによってユーザーに提示されます。ユーザーに知識や管理者特権がないため、適切な操作を実行できない場合もあります。イベント ビューアには従来よりも豊富な情報が記録されるようになったので、ヘルプ デスクはトラブルシューティングに何時間も費やさずに問題をすばやく解決できます。

図 2 接続の問題のトラブルシューティングを行う

図 2** 接続の問題のトラブルシューティングを行う **(画像を拡大するには、ここをクリックします)

Windows Vista には、アプリケーションで接続状態を取得するために呼び出すことができる、ネットワーク認識 API があります。アプリケーションでは、この API を使用して接続の変更を認識し、コンピュータが現在接続されているネットワークの種類 (ドメイン、パブリックまたはプライベート) を特定できます。Windows Vista がネットワーク経由でドメイン コントローラにアクセスできるときは、ドメイン プロファイルに自動的に切り替わります。他のネットワークをこのカテゴリに含めることはできません。他のすべてのネットワークは、ユーザーまたはアプリケーションによってプライベートとして識別されない限り、パブリックに分類されます。インターネットへの直接接続を表すネットワークや、空港や喫茶店など公共の場所にあるネットワークは、パブリックに分類されます。自宅や小規模企業のネットワークなど、プライベート ゲートウェイ デバイスの内側に配置されているネットワークのみ、プライベートとして識別されます。

ネットワーク認識では、セキュリティが強化された Windows ファイアウォール (後述) などのアプリケーションは、現在接続されているネットワークの種類を基に、異なる構成を保持することができるので、ネットワークの種類が変更されたときに、構成を自動的に切り替えることができます。たとえば、コンピュータがドメイン ネットワークに接続されている間はデスクトップ管理のソフトウェア用に特定のポートを開くようにファイアウォールを構成し、ユーザーが公共のホットスポットで作業をしているときはそのポートを自動的に閉じるように構成できます。

Windows Vista では、グループ ポリシーもネットワークに対応しています。コンピュータがドメイン ネットワークに接続された時点を自動的に認識し、次の更新サイクルまで待つ必要なく、新しいグループ ポリシー設定の処理を開始します。つまり、Windows Vista では、休止状態から回復する場合であっても、ドメイン ネットワークへの接続時に新しいグループ ポリシー設定を自動的にチェックします。これにより、管理者は、タイミングがきわめて重要なときに、セキュリティ設定を迅速に展開できます。

ネットワークのセキュリティを保護する

脅威には多くの種類があります。たとえば、見かけとは異なるワイヤレス ネットワークにアクセスするユーザーや、企業ネットワークに接続する不適切なゲスト PC、アクセスできないリソースにアクセスを試みる管理されていないリソースなどです。その数は、ネットワーク管理者が 1 日中忙しく対応し、さらに 1 晩中心配しても足りないほどです。Windows Vista では、包括的で構成が容易な、強化されたネットワーク セキュリティ機能によって、これらすべてのシナリオに対するサポートを提供します。

Windows Vista のネイティブ Wi-Fi アーキテクチャでは、Wi-Fi Protected Access (WPA) 2 Enterprise および Personal、PEAP-TLS (Protected Extensible Authentication Protocol with Transport Layer Security)、PEAP-MS-CHAP v2 (Protected Extensible Authentication Protocol with Microsoft Challenge Handshake Authentication Protocol) など、最新のセキュリティ プロトコルに対する幅広いサポートを提供します。こうした幅広いサポートによって、Windows Vista とほぼすべてのワイヤレス インフラストラクチャとの相互運用性が保証されます。ワイヤレス ネットワーク カードの機能が Windows Vista によって調べられ、ワイヤレス ネットワークの作成または接続時には既定で最も安全なプロトコルが選択されます。Windows Vista では、EAP-HOST フレームワークを使用して、ハードウェア ベンダや組織が定義したカスタム認証メカニズムをサポートできます。

Windows Vista には、一般的なワイヤレス攻撃を軽減するために、ワイヤレス クライアントの動作に多くの強化が行われています。クライアントは、ユーザーが明示的に要求したネットワーク、または優先ネットワークとして特定したネットワークのみに自動的に接続し、アドホック ネットワークには自動的な接続が行われません。また、ユーザーがセキュリティ保護されていないネットワークに接続を試みると、クライアントが警告を発します。さらに、クライアントは、少数の優先ネットワークを積極的に調査します。ユーザーからの指示がある場合のみ、攻撃者がクライアントから接続を試みているネットワークを特定して、同じ名前で偽装したネットワークを作成するのを困難にします。

Windows Vista のネイティブ ワイヤレス クライアントでは、シングル サインオン (SSO) 機能がサポートされます。これにより、レイヤ 2 ネットワーク認証がネットワーク セキュリティ構成で指定した適切なタイミングで実行されます。同時に、ユーザーのログオン エクスペリエンスが Windows に統合されます。シングル サインオン プロファイルが構成されると、ネットワーク ログオンが Windows ログオンよりも優先されます。この機能により、グループ ポリシーの更新、ログオン スクリプト、ワイヤレス ブートストラップなど、ユーザー ログオンに先立ってネットワーク接続を必要とするシナリオが可能になります。

セキュリティが強化された Windows ファイアウォールにより、Windows プラットフォームに新しいレベルのネットワーク セキュリティが提供されます。これは、Windows Service Hardening と同様の送受信両方向のフィルタリングをサポートします。ファイアウォールは、Windows Service Hardening のネットワーク ルールに定義されている Windows サービスの異常な動作を検出すると、その動作をブロックします。セキュリティが強化された Windows ファイアウォールでは、認証済みバイパスもサポートされます。これにより、IPsec で認証された特定のコンピュータは、リモート管理のような作業向けのファイアウォール ルールをバイパスできます。

Windows ファイアウォールの最も重要な変更点の 1 つは、IPsec との統合です。これまで、管理者は、ネットワーク セキュリティ ルールの多層化されたセットを作成するのに、ファイアウォールと IPsec の展開と管理のツールという 2 つの異なるツールを使用する必要がありました。Windows Vista では、管理者は単純なネットワーク セキュリティ ルールを作成できます。これにより、ネットワークを不正アクセスから保護するため、ファイアウォール ポートと IPsec ルールの両方を組み合わせることができます。このような統合により、認証済みのエンドツーエンド ネットワーク通信を実現する方法が簡単になります。信頼関係のあるネットワーク リソースに拡張性のある多層アクセスを提供し、データの機密性と整合性を確保します。

管理者は、あらゆるコンピュータ (ゲストを含む) またはドメインで認証済みのコンピュータのみによってアクセスされるゾーンに、企業ネットワークを論理的に分離できます (ドメインの分離)。管理者は、図 3 で示すように、HR グループのコンピュータにアクセスが制限される HR アプリケーション サーバーなど、特定のサーバーを特定のユーザーやコンピュータのみがアクセスするように、さらに細かく分離できます (サーバーの分離)。

図 3 サーバーとドメインの分離

図 3** サーバーとドメインの分離 **

ウイルスやワームは、モバイル ラップトップや感染しやすいその他のコンピュータからプライベート ネットワークに侵入することがあります。Windows Vista は、Windows Server "Longhorn" (Windows Server の次期バージョン) ベースのネットワーク インフラストラクチャに接続しているときは、ネットワーク アクセス保護 (NAP) をサポートし、不適切なコンピュータがプライベート ネットワークに直接接続したり、VPN 接続経由で接続したりするリスクを軽減します。Windows Vista を実行しているコンピュータに最新のセキュリティ更新プログラムが適用されていない場合、ウイルス シグネチャがない場合、または企業のセキュリティ要件を満たしていない場合に、NAP はコンピュータがネットワークに完全なアクセス許可を得るのをブロックします。このような場合は、更新プログラム、ウィルス対策ソフトウェアのシグネチャ、または最新のセキュリティ要件に準拠するために必要な構成設定をダウンロードおよびインストールできる、制限付きネットワークに接続されます。

ネットワーク管理を簡素化する

Windows Vista のネットワーク機能は、高レベルの管理機能をサポートするようにデザインされていて、アプリケーションやユーザーにサービスの品質を提供するだけでなく、ワイヤレス ネットワークやネットワーク セキュリティ ポリシーの展開コストを削減するのに役立ちます。Windows Vista では、ネットワーク機能を管理するため、Network Shell (NETSH) によって広範にグループ ポリシーやコマンドライン スクリプトが使用されます。そのため、新しい管理ツールを学習したり展開したりする必要はありません。また、Active Directory® の既存の投資や、既に作成済みの組織単位 (OU) ストラクチャのメリットを利用できます。

ネットワーク セキュリティ ルールの展開と管理 (ファイアウォールおよび IPsec ポリシーの結合) は、セキュリティが強化された Windows ファイアウォール (図 4 を参照) と呼ばれる単一のウィザード主導の Microsoft 管理コンソール (MMC) スナップイン内、または NETSH によるコマンドライン スクリプト内で簡単に作成できます。新しいスナップインでは、細かい管理者レベルの制御を提供すると同時に、送受信両方向のフィルタリングや、特定のユーザー、コンピュータ、またはアプリケーションからのアクセスを制限する接続セキュリティ ルールを展開するための簡単な方法が提供されます。IPSec では、シナリオ ベースのセキュリティ ポリシーを提供するために、ユーザー、コンピュータ、または正常性証明書 (ネットワーク アクセス保護との統合) による認証を要求できます。スナップインでは、サーバーやドメインの分離ルールを簡単に作成できます。これらのルールは、グループ ポリシー ベースなので、ビジネス構造に基づいたルールを対象にできます。

図 4 セキュリティが強化された Windows ファイアウォール

図 4** セキュリティが強化された Windows ファイアウォール **(画像を拡大するには、ここをクリックします)

グループ ポリシーを使用して、モバイル クライアントの接続方法やワイヤレス ネットワークでの操作方法を定義することもできます。たとえば、企業では、すべてのワイヤレス接続が特定のプロトコルを使用することを求めるポリシー、またはすべての接続を特定のワイヤレス ネットワークに制限しなければならないポリシーを定義できます。こうした設定はグループ ポリシーを使用して行われるため、エンド ユーザーがこれらの設定を変更することはできません。

NETSH は、ワイヤレス ネットワーク接続のトラブルシューティングに役立つ自動化とスクリプティングを可能にします。管理者は、コマンドライン インターフェイスを使用して、クライアントのワイヤレス ネットワーク構成プロファイルを確認、変更、または削除できます。また、これらの構成プロファイルを他のコンピュータにエクスポートしたり、他のコンピュータからインポートして、複数のコンピュータに迅速に提供できます。

帯域幅の広いアプリケーションが使用可能な容量をすべて使い果たしてしまう傾向があり、アプリケーションは IT 管理者が帯域幅の集中管理を実行できるように作成されていないことから、ネットワークの品質が低下する可能性があります。帯域幅を追加するだけではこうした問題は解決されず、場合によっては、新しく使用可能になった容量を同じアプリケーションが使用してしまうこともあります。管理者は、ポリシーベースのサービスの品質 (QoS) により、アプリケーションを変更する必要なく、送信ネットワーク トラフィックの優先順位設定や絞込みを実行できます。ポリシーでは、優先順位を設定するために送信トラフィックをルーターの Differentiated Services Code Point (DSCP) 値でマークするか、送信された発信トラフィックの量をルーター構成にかかわらず Windows Vista で調整します。この両方の技法を組み合わせることでさらなる柔軟性が提供されます。図 5 は、QoS ポリシーの作成を示します。

図 5 QoS ポリシーを作成する

図 5** QoS ポリシーを作成する **(画像を拡大するには、ここをクリックします)

エンタープライズ レベルを超えて拡張する

エンタープライズレベルの組織では、ネットワークのサポート時に、拡張性の問題が懸念される場合がよくあります。たとえば、特にビジネス ニーズによりユーザーごとにネットワーク接続された複数のデバイス (追加のラップトップや Smartphone のようなモバイル デバイスなど) が導入されるときに、使用可能な IP アドレスがなくなり始めることがあります。同様に、IPsec などのネットワーク サービスを追加で提供しようと考えている場合、CPU 負荷への影響についても懸念される場合があります。Windows Vista では、IPv6 およびハードウェア オフロード機能をサポートすることで、ネットワークの拡張性に関する懸念を解決します。

制限のあるパブリック IPv4 アドレスの問題を解決するため、多くの政府や ISP などの組織は、インターネットを制御するネットワーク プロトコルの次期バージョンである IPv6 に移行しています。Windows Vista では、デュアル層の IP スタック アーキテクチャにより、IPv4 と IPv6 が両方サポートされます。IPv6 は既定で有効です。デュアル層スタックのサポートにより、プライベート IPv4 ネットワークまたはインターネットの IPv6 トラフィックをトンネルできる IPv6 移行テクノロジを使用して、段階的に移行できます。Windows Vista では、PPPv6 およびレイヤ 2 トンネリング プロトコル (L2TP/IPv6) 仮想プライベート ネットワーク (VPN) がネイティブにサポートされ、リモート アクセス ユーザーは IPv6 ネットワークのメリットを活用できます。

Windows Vista では、特定のネットワーク アダプタへのネットワーク トラフィック処理のオフロードがサポートされます。新しいオフロード機能には、IPv6 および TCP Chimney オフロードがあります。このようなアーキテクチャの技術革新により、パフォーマンスやネットワーク スループットが最適化され、今日の高速ネットワークによって可能になるパフォーマンスや操作面での向上を実現できます。互換性があるネットワーク アダプタ ハードウェアを使用することで、既存のアプリケーションやネットワーク管理ツールへの変更を必要とすることなく、CPU オーバーヘッドや使用可能なメモリ帯域幅など、ネットワーク パケット処理に関連するボトルネックを解消できます。

ネットワーク スタックでは、受信ネットワーク接続を動的に振り分ける Receive-Side Scaling もサポートされます。そのため、複数のプロセッサまたはコア間で負荷が分散され、ネットワーク トラフィック処理の潜在的なボトルネックを減らします。

まとめ

Windows Vista では、Windows ネットワークに、Windows 95 以降最も重要な更新が導入されます。ユーザーはこれを使用する際に、ワイヤード ネットワークとワイヤレス ネットワークのメリットを利用する容易さがわかります。新しい自動調整ネットワーク スタックにより、ファイル転送が高速になります。企業では、モバイル ユーザーやワイヤレス ユーザーによってもたらされる脅威からの保護の強化など、セキュリティ リスクが軽減されることを高く評価することになるでしょう。システム管理者は、ミッション クリティカルなアプリケーションに対する QoS だけでなく、ネットワーク トラフィックに対するきめ細かな設定を備えたセキュリティ ポリシーの作成機能を使用することで、Windows Vista の管理の容易さがわかります。これらの新しい機能は、管理作業を最小化し、エンドユーザーの生産性を最大化することで、ネットワーク インフラストラクチャのさらなる活用を可能にします。

参考資料

Jason Leznek は、Windows Vista ネットワークのシニア プロダクト マネージャです。約 10 年間マイクロソフトに勤務し、Windows Vista チームに参加する前は、Windows Server Update Services およびグループ ポリシーのプロダクト マネージャでした。その以前には、マイクロソフトの企業ユーザーの現場での協同作業を 7 年間経験してきました。

© 2008 Microsoft Corporation and CMP Media, LLC. All rights reserved; 許可なしに一部または全体を複製することは禁止されています.