デスクトップ セキュリティ: 多重防御のアプローチを採用する
「多重防御」のアプローチは、さまざまな攻撃からコンピューティング環境を保護するのに役立つ総合的なセキュリティの原理を表しています。
Joshua Hoffman
デスクトップ コンピューティングに関する数少ない不変的なものに、「永遠に変わらないものは何もない」ということがあります。ほとんどの場合、これは良いことです。と言うのも、コンピューティング環境が絶えず変化しているのは、革新と創造性のたまものだからです。このような変化により、私たちは、私たちを取り巻く環境と対話、共同作業、および接続することができます。
ですが、デスクトップ コンピューティングの情勢が変化するにつれて、デスクトップ コンピューターのセキュリティ情勢も変化します。プラットフォームとデータの性質が変化すると、新しい脅威が現れます。IT プロフェッショナルは、警戒心を持って、このような脅威に対抗するための手法やツールを把握しておく必要があります。
デスクトップ セキュリティにおける「多重防御」は、セキュリティの原理を表しています。多重防御のアプローチは、コンピューティング環境を、さまざまな攻撃からできる限り保護するうえで役立ちます。この記事では、悪意のある望ましくないソフトウェアからデスクトップ環境を保護する方法、移動するユーザーとデータを保護する新しいテクノロジ、IT プロフェッショナルがさまざまなコンピューティング環境を管理するのに役立つツールを紹介します。
悪意のあるソフトウェア
テクノロジに精通している犯罪者は、デスクトップ コンピューターに対して容赦ない攻撃を仕掛けてきます。つまり、ユーザーを騙してコンピューターに悪意のあるソフトウェアをインストールすることを強要する非常に巧妙な方法で攻撃を仕掛けてきます。さいわい、ユーザーを保護するのに役立つ多数のツールとユーザーが接続するインフラストラクチャがあります。
ユーザー アカウント制御 (UAC) は Windows Vista で初めて導入された機能です。この機能は、ユーザーと管理者が、知らないうちにデスクトップ コンピューティング環境で管理者権限にアクセスすることから保護します。ユーザーは、標準ユーザーの権限で問題なくコンピューターを使用できるので、ユーザーのあずかり知らぬところで、データにアクセスしたり、操作を実行したりしようとする悪意のあるソフトウェアが、コンピューターの管理機能にアクセスできないようにすることができます。
Windows 7 では、UAC が大幅に強化されました。権限の昇格が必要な管理機能の数が減り、エンド ユーザーの操作性が向上しました。Windows 7 では、デジタル署名された Windows の実行ファイルについては自動的に権限を昇格する機能と明示的な昇格が必要なイベントを詳細に制御できる新しい動作モードが導入されました。UAC がデスクトップ コンピューティング環境を保護するしくみの詳細については、Mark Russinovich が執筆した 2009 年 7 月号の記事「ユーザー アカウント制御: Windows 7 ユーザー アカウント制御の内部」を参照してください。
Windows 7 では、AppLocker という新機能が導入されました。この機能を使用すると、管理者は環境で実行できるプログラムを指定できます。AppLocker は、Windows XP と Windows Vista で導入されたソフトウェア制限のポリシー (SRP) をベースとした機能です。管理者は、デスクトップにインストールを許可または拒否するアプリケーションを指定できます。
AppLocker では、アプリケーションのデジタル署名に基づいた規則を導入することで、SRP よりも操作性が向上しました。その結果、管理者は、タイム スタンプ、バージョン番号など、プログラムの属性が変化するたびに規則を更新することなく、社内で禁止する必要があるアプリケーションを特定できるようになりました。AppLocker のルール エンジンは、高い柔軟性を備えています (図 1 参照)。この柔軟性により、管理者は、簡単にさまざまな規則を作成して、必要に応じて例外を設けることができます。
.png)
図 1 Windows 7 で AppLocker を構成する
また、AppLocker の規則は、特定の組織に含まれるユーザーやグループと関連付けることができます。そのため、特定のアプリケーションを実行できるユーザーを確認して指定することで詳細な制御が可能になり、法令遵守の要件に準拠することができます。
UAC と AppLocker には、コンピューターにインストールして使用できるアプリケーションを制御する堅牢なメカニズムが用意されています。ですが、Forefront Client Security を追加すると、強力なウイルス/スパイウェア対策エンジンとリアルタイムのファイル保護が提供されるので、セキュリティが強化されます。悪意のあるものがデスクトップ コンピューティング環境に侵入しても、Forefront Client Security の定期的に更新される組み込みのフィルターによって、このような侵入は検出されるだけでなく検疫されます。
移動中のデータ
この 10 年で最も大きく変化したのは、デスクトップ側で行われる処理が非常に少なくなったことです。ラップトップ、ネットブック、さまざまな種類のモバイル デバイスが、コンピューティング プラットフォームの大半を占めています。ユーザーの可動性はデータと同様に高まりました。この変化には、もちろんメリットがありますが、リスクも高まりました。ラップトップをはじめとするポータブル デバイスは、紛失、置き忘れ、盗難に遭う可能性が高く、関係のない人の手に機密情報が渡るおそれがあります。
データの損失や盗難からユーザーと IT プロフェッショナルである自分を守る方法は多数あります。BitLocker ドライブ暗号化 (単に BitLocker と呼ばれることもあります) は、承認されていないユーザーがラップトップやネットブックにアクセスするのを防ぐのに役立ちます。暗号化されたドライブに格納されているファイルは保護されているので、承認されていないユーザーがアクセスすることはできません (図 2 参照)。ボリュームの全データの暗号化、初期ブート コンポーネントの整合性チェック、起動時に PIN の入力またはキーが必要な USB フラッシュ デバイスを必要とするオプションを提供することで、ユーザーと管理者は、モバイル デバイスが紛失または盗難に遭った場合でも、BitLocker を使用していないときよりもデータの完全性に問題がないと確信できます。
.png)
図 2 ドライブ レベルでデータをロック ダウンする BitLocker ドライブ暗号化
紛失したラップトップとネットブックは、問題の一端に過ぎません。USB フラッシュ ドライブなどのポータブル デバイスを置き忘れるのは、珍しいことではありません。USB フラッシュ ドライブは、安価に大量のデータを格納するのに便利なので、非常に魅力的なストレージの選択肢になっています。ですが、USB ドライブに機密情報を格納している場合、この特性により情報が危険にさらされることになります。BitLocker To Go を使用すると、BitLocker の機能をリムーバブル ストレージ デバイスに拡張できるので、この問題を解消できます。
ユーザーの可動性が高くなったため、データは物理的なデバイスに格納されているときだけでなく、パブリック ネットワーク経由で伝送するときにも保護することが重要になります。DirectAccess は Windows 7 で導入された新機能です。この機能を使用すると、社外から社内ネットワークに接続するときのセキュリティを強化できます。
DirectAccess では、インターネット プロトコル セキュリティ (IPsec) やインターネット プロトコル バージョン 6 (IPv6) などの標準ベースのテクノロジを活用することで、ユーザーが、別途 VPN 接続を確立することなく社外から社内ネットワークにシームレスにアクセスできるようにしています。また、Triple Data Encryption Standard (3DES) や高度暗号化標準 (AES) などの IPsec の暗号化手法を使用して、伝送中のデータが保護されるようにしています。DirectAccess およびネットワーク アクセス保護と併用して DirectAccess を強化する方法については、Joseph Davies が執筆した 2010 年 6 月号の The Cable Guy コラムを参照してください。
アプリケーションや基幹業務のクラウドへの移行が進むにつれて、Web ブラウザーでは、オンライン コンピューティング環境にできる限りの保護を提供することが必要不可欠になります。近日リリース予定の Internet Explorer 9 では、インターネット セキュリティ機能の強固な基盤を強化すると同時に、待ち望まれていた機能強化も施されています。
たとえば、Internet Explorer 9 には、流行している XSS の攻撃を検出するのに役立つクロスサイト スクリプト (XSS) フィルターが用意されています。XSS 攻撃は、悪意のあるコードを使用して、正規の Web サイトを危険にさらすことを目的としています。
XSS フィルターで脆弱性が検出されると、有害なスクリプトは無効に設定されます。また、Internet Explorer 9 では、SmartScreen フィルターが強化されています。このフィルターを使用すると、フィッシング攻撃、マルウェアを含むおそれがある Web サイトを特定して回避することができます。ぜひ、Internet Explorer 9 のベータ版をダウンロードしてお試しください (英語)。
管理の効率化
IT プロフェッショナルにとって、セキュリティに関連するテクノロジとポリシーを展開、管理、および維持する作業は、できる限り簡単で効率的に行えることが重要です。Windows 7 には、デスクトップのセキュリティ インフラストラクチャを効率的に管理するのに役立つツールが多数用意されています。
たとえば、グループ ポリシーの操作に Windows PowerShell コマンドレットを使用できるようになりました。この強力なコマンド ライン シェルとスクリプト言語を使用すると、グループ ポリシーに関連する多くの作業をより簡単に自動化して管理できます。グループ ポリシー オブジェクトの作成、Active Directory コンテナーとの関連付けの定義、レジストリ ベースのポリシー設定の構成など、さまざまな作業を行えます。これは、管理者が定義したセキュリティの構成をご使用の環境にあるすべてのデスクトップが満たすようにするうえで役立ちます。
社内でソフトウェアを展開する方法を制御して、悪意のあるソフトウェアが侵入するのを防ぐことは不可欠です。ActiveX インストーラー サービスは、グループ ポリシーを使用して ActiveX コントロールの展開を管理するのに役立ちます。このサービスを使用すると、UAC など、デスクトップのセキュリティを制御する機能の妥当性を損なうことなく、エンド ユーザーの Web エクスペリエンスを豊かなものにする ActiveX コントロールをインストールして管理できるようになります。
悪意のある攻撃は、今後も、デスクトップ コンピューティングの革新に適合し続けるでしょう。ですが、セキュリティに対して総合的な多層防御のアプローチを採用することで、ユーザーと重要なビジネス データが保護された状態を維持することは可能です。
.jpg)
Joshua Hoffman は、TechNet マガジンの前の編集長です。現在は、フリーランスで執筆活動とコンサルティングを行っており、クライアントにテクノロジとそれぞれのクライアントに合ったマーケティング手法に関するアドバイスをしています。また、市場調査の分野の成長と強化に注力している ResearchAccess.com (英語) で編集長を務めています。現在は、ニューヨーク市に住んでいます。