Windows 7 のセキュリティ強化

http://technet.microsoft.com/windows/dd361745.aspx?ITPID=article

セキュリティは、依然として IT プロフェッショナルにとって最大の懸念事項です。 Windows® 7 ベータ版がリリースされた現在では、 Microsoft が Windows 7 オペレーティングシステムでどのようなセキュリティ対策を取っているかについて多くの質問が寄せられています。 Windows 7 には、セキュリティ強化のためのさまざまな機能が採用されていますが、ここでは 3 つの主要なトピックを取り上げます。

  • Windows 7 Windows Vista® (UAC)
  • Windows 7 IT AppLocker™
  • Windows 7 BitLocker To Go™ BitLocker™

これらの機能について、もう少し詳しく見てみましょう。

基本的なセキュリティ環境

Windows 7 は、 Windows Vista の強力なセキュリティ系統を基盤としています。また、 Windows Vista をこれまでで最も安全性の高い Windows クライアントにするために採用された開発プロセスとテクノロジを引き続き利用し、それらを基に構築されています。カーネル修正の保護、サービスのセキュリティ強化機能、データ実行防止、 ASLR ( Address Space Layout Randomization ) 、必須整合性レベルなどの基本的なセキュリティ機能により、マルウェアなどの攻撃に対する強力な保護が引き続き提供されます。 Windows 7 は、 Microsoft セキュリティ開発ライフサイクル (SDL) を使用して設計および開発されています。また、 Evaluation Assurance Level 4 の認定を受け、 Federal Information Processing Standard 140-2 に準拠するために必要な情報セキュリティ国際評価基準 ( Common Criteria ) の要件をサポートするように設計されています。

監査の強化

Windows 7 では監査機能が強化されているため、組織における規制や業務上の法令遵守の要件を満たすことが容易になります。監査機能の強化により、まず監査構成の管理方法が簡略化され、結果的に組織内の状況をより詳細に把握することができます。たとえば、 Windows 7 を使用すると、特定の情報へのアクセスが許可または拒否されているユーザーの状態を正確に理解し、特定のユーザーやグループが行った変更の内容を把握することができます。

効率化されたユーザー アカウント制御

ユーザーアカウント制御 (UAC) は Windows Vista で導入されました。これにより、標準ユーザー権限を使用してレガシアプリケーションを実行したり、 ISV が自社のソフトウェアを標準ユーザー権限で問題なく機能するように調整したりできるようになりました。 Windows 7 では引き続き UAC を採用しており、ユーザーエクスペリエンスを強化するための変更が加えられています。これらの変更には、管理者特権を必要とするオペレーティングシステムのアプリケーションやタスクの数の削減、および引き続き管理者特権を使用して実行するユーザーへの柔軟性の高い同意プロンプト動作の提供が含まれています。その結果、標準ユーザーの権限が従来よりも強化され、すべてのユーザーに対してプロンプトが表示される機会が少なくなります。

AppLocker

Windows 7 では、柔軟性が高く管理しやすいメカニズムである AppLocker によって、アプリケーション制御ポリシーがさらに強化されました。 AppLocker を使用すると、 IT 部門ではデスクトップインフラストラクチャでの実行を許可するアプリケーションを詳細に指定したり、生産性向上のために必要なアプリケーション、インストールプログラム、およびスクリプトを実行する権限をユーザーに与えたりすることができます。その結果、 IT 部門では、組織内におけるアプリケーションの標準化を実施すると同時に、セキュリティ、運用、および法令遵守の向上を達成することができます。

AppLocker の構造は単純かつ強力であり、 " 許可 " 、 " 拒否 " 、および " 例外 " という 3 種類の規則に基づいています。許可規則では、アプリケーションの実行を " 既知の適切な " アプリケーションに制限し、それ以外のすべてのアプリケーションをブロックします。拒否規則では、まったく逆に、 " 既知の不適切な " アプリケーションリストの項目を除くアプリケーションの実行を許可します。多くの企業では、おそらく許可規則と拒否規則を組み合わせて使用すると思いますが、 AppLocker の展開として望ましいのは、許可規則を組み込みの例外と併用する方法です。例外規則を使用すると、通常は含まれる対象のファイルが、許可規則または拒否規則から除外されます。たとえば、 " 組み込みのゲームを除く、 Windows オペレーティングシステム内のすべてのアプリケーションの実行を許可する " 規則を作成できます。許可規則を例外と併用すると、多数の規則を作成することなくアプリケーションの " 既知の適切なリスト " を構築するための確実な方法が提供されます。

AppLocker では、アプリケーションのデジタル署名に基づく発行元の規則を導入しています。発行元の規則により、アプリケーションのバージョンなどの属性を指定できるため、アプリケーションの更新を維持する規則を作成できるようになります。たとえば、 " ソフトウェアの発行元である Adobe の署名があれば、 Acrobat Reader 9.0 以上のすべてのバージョンの実行を許可す る " 規則を組織で作成できます。そのため、 Adobe が Acrobat を更新した場合は、アプリケーションの新しいバージョンに対応した別の規則を作成することなく、アプリケーションの更新を安全に行うことができます。

AppLocker の規則は、組織内の特定のユーザーまたはグループに関連付けることもできます。これにより、特定のアプリケーションを実行できるユーザーを確認して指定することで詳細な制御が可能になり、法令遵守の要件に準拠することができます。たとえば、 " 財務部門の従業員による、財務関連の基幹業務アプリケーションの実行を許可する " 規則を作成できます。この場合、管理者を含め、財務部門の従業員でないユーザーは財務アプリケーションを実行できませんが、それらのアプリケーションを業務上実行する必要のあるユーザーに対してはアクセス権が提供されます。

IT 管理者は、 AppLocker に用意された新しいツールやウィザードを使用して、堅牢性の高い方法で規則を作成することができます。ステップバイステップアプローチや完全に統合されたヘルプの使用、新しい規則の作成、規則の自動生成、および規則のインポートやエクスポートの手順はわかりやすく、メンテナンスも簡単です。たとえば、 IT 管理者は、テスト参照用のコンピュータを使用して規則を自動生成し、その規則を運用環境にインポートして広範囲に展開できます。また、 IT 管理者は、運用構成のバックアップや法令遵守のためのドキュメントを提供するポリシーをエクスポートすることもできます。

BitLocker と BitLocker To Go

適切に保護されていないコンピュータの紛失、盗難、廃棄は、毎年膨大な数に上ります。しかし、データの紛失や盗難は、単に物理的なコンピュータの問題ではありません。 USB フラッシュドライブ、電子メール、漏洩したドキュメントなどにより、データが悪意のある人物の手に渡る可能性があります。 Windows 7 では、 BitLocker ドライブ暗号化の管理性と展開を更新し、 BitLocker To Go を導入することにより、継続的なデータ漏洩の脅威に対処します。 BitLocker To Go では、 BitLocker のサポートをリムーバブル記憶装置に拡張して、データの盗難や漏洩に対する強力な保護を提供します。

BitLocker ドライブ暗号化 ( 略して BitLocker ) では、ハッカーが他のオペレーティングシステムやソフトウェアハッキングツールを使用して Windows 7 のファイルとシステムの保護を破ったり、保護ドライブに保存されているファイルをオフラインで閲覧したりしようとする 行為 を阻止できます。 Windows 7 の BitLocker の主なメリットは Windows Vista の BitLocker と同じですが、 Windows 7 の BitLocker のコア機能は、 IT プロフェッショナルやユーザーによる操作性を向上させるために拡張されています。 BitLocker は 2 つのパーティションのディスク構成を必要とするため、もともとこの構成で Windows Vista を展開していなかった場合、 BitLocker を有効にするにはドライブの再パーティションという面倒な作業を行う必要がありました。 Windows 7 では、必要なディスクパーティションをインストール時に自動的に作成するため、 BitLocker の展開が大幅に簡略化されます。 Windows 7 の BitLocker におけるもう 1 つの変更点は、ドライブを右クリックして BitLocker による保護を有効にする機能です。

Windows 7 の BitLocker には、データ回復エージェント (DRA) による保護対象のすべてのボリュームのサポートが追加されています。お客様からの強いご要望を受けての改良点として、 DRA によるサポートを使用すると、 BitLocker で保護されたすべてのボリューム ( オペレーティングシステム、固定ボリューム、および新しいポータブルボリューム ) が適切な DRA で暗号化されるように指定できるようになりました。 DRA は各データボリュームに書き込まれる新しいキー保護機能であるため、承認された IT 管理者は BitLocker で保護されたボリュームに常にアクセスできます。

BitLocker To Go では、 BitLocker のサポートをリムーバブル記憶装置 ( USB フラッシュドライブやポータブルディスクドライブなど ) に拡張しています。また、 BitLocker To Go を使用すると、管理者は環境内でリムーバブル記憶装置を利用する方法と必要な保護の強度を制御できます。管理者は、ユーザーがデータを書き込むリムーバブル記憶装置のデータ保護を要求する一方で、保護されていない記憶装置を読み取り専用モードで利用可能にすることができます。また、保護されているリムーバブル記憶装置を利用するために適切なパスワード、スマートカード、またはドメインユーザーの資格情報を要求するポリシーを使用することもできます。

BitLocker To Go は単体で利用できます。システムパーティションを従来の BitLocker の機能で保護する必要はありません。最後に、 BitLocker To Go では、以前のバージョンの Windows オペレーティングシステム上のリムーバブルデバイスの読み取り専用サポートを提供します。この場合、 BitLocker To Go リーダーを使用することで、 Windows Vista や Windows XP のユーザーとのファイル共有の安全性が向上します。

ラップトップコンピュータを持ち歩いたり、大きなファイルを信頼できるパートナーと共有したり、仕事を自宅に持ち帰ったりする際には、 BitLocker と BitLocker To Go を使用すれば、たとえメディアが紛失、盗難、誤用された場合でも、承認されたユーザー以外にデータを読み取られる心配はありません。

結論

Windows Vista のセキュリティ基盤に基づいて構築された Windows 7 には、セキュリティに関する多くの機能強化が行われています。これは、 Microsoft がユーザーの IT 投資およびデータを保護するためのより優れた手段を求め続けているという確信をユーザーに与えるものです。企業の機密情報を保護し、強力なマルウェア対策機能を提供し、社内のリソースやデータへのアクセスをセキュリティで保護するこれらの機能拡張は、ビジネス面でもメリットがあります。エンドユーザーは、プライバシーや個人情報を保護する新しいテクノロジおよび機能が Windows 7 に導入されていることを理解していれば、コンピュータやインターネットを安心して利用できます。 Windows 7 に用意された柔軟性の高いセキュリティ構成オプションにより、すべてのユーザーがメリットを得ることができます。このオプションを使用すると、ユーザー固有のニーズを満たすためのセキュリティとユーザビリティとのバランスを独自に調整できます。

表示: