- 2007/03/15 掲載
【連載】Windows VistaとはどのようなOSなのか?最終回/全5回:Windows Vistaのセキュリティ(2/2)
C MAGAZINE MOOK「最新 Windows Vistaプログラミング徹底理解」
記事をお気に入りリストに登録することができます。
Windows Defender
 ※クリックで拡大 |
図4 Windows Defenderの画面
|
技術アピールからデータ破壊、そして金銭や情報を得るといったように、セキュリティ攻撃の目的が変化していく中、マルウェアの形態も変化している。何度もシャットダウンを繰り返すようなウィルスやワームなどの攻撃型から、ひっそりと侵入し情報を抜き出す諜報員のようなタイプが数多く登場している。
Windows Defender は、このような諜報員型のいわゆる「スパイウェア」の検知と削除を行うセキュリティソリューションである。既知スパイウェアの検出と削除ではなく、スパイウェアのシステムへのインストールやスパイウェアによる設定変更を検知しリアルタイムにシステムを保護する。この保護機能は、Internet Explorer の保護モードの状態にかかわらず有効で、インストールを検出し警告を提示により、ブラウザ経由での攻撃を防ぐことが可能となる。また、ネットワークの利用状況など起動中のアプリケーションの状態を確認し、画面を持たないアプリケーションも含めて状況を確認すること(図4)や、定義ファイルの自動更新により常に最新の 状況でシステムの保護が可能となる。
さらにWindows Defender の特徴として、Microsoft SpyNet との連携などによる未知のスパイウェアの報告および調査の仕組みを持っている点があげられる。
 ※クリックで拡大 |
図5 SpyNetの概念図
|
SpyNet はこの課題に対して、ユーザー参加型のコミュニティにより解決を図っている。精査されていないカタログに登録されたソフトウェアの挙動が検知されると、ユーザーに対して未分類のソフトウェアとして警告を通知する。このような仕組みにより新たなスパイウェアの検知と迅速な対応が可能となる(★図)。
もちろん、SpyNet への参加は強制されるものではなく、「基本メンバーシップ」「上級メンバーシップ」「SpyNet に参加しない」の3 つのオプションから選択可能である。
セッション0の分離
Windows Vista には、Windows サービスと呼ばれるログオンなしで利用できるプログラムがある。Vista の内部プログラムも多数このWindows サービスにより構成されている。ユーザーがログインしたり、FUS により他のユーザーが同時ログインすると、ユーザーごとのリソースを保護するデスクトップと呼ぶメモリ上の空間を作成し、ユーザーごとにリソース分離する。この仕組みにより、あるユーザーで発生したエラーが他のユーザーに影響することのないようになっている。ログインしたユーザーからの入力を受け付けるデスクトップをインタラクティブデスクトップと呼び、また、ログインなしで利用できるWindowsサービスもサービスデスクトップと呼ぶデスクトップを持つ。
これらのデスクトップはセッションと呼ばれる機構により分離されているが、Windows XP/2003 までは、サービスデスクトップと最初のログインユーザーのインタラクティブデスクトップが0 番目の同一セッションにロードされていた。同一セッション内ではサービスから画面のプロパティを取得したり、デスクトップからサービスへウィンドウメッセージでの通信を行い各種制御が行える。これは、最初のログインユーザーからLocalSystem 権限で動作するサービスに対して攻撃が可能なことを意味する。
そこで、最初のユーザーのデスクトップと同一のセッションにロードされるサービスデスクトップとの間での不正な通信から保護するため、サービスデスクトップがロードされる0 番目のセッションに対してインタラクティブデスクトップをロードしないようにした。これをセッション0 の分離と呼ぶ。
セッション0 にはサービスデスクトップがロードされ、ログインユーザーは1 以降のセッションに割り当てられ、ウィンドウメッセージなどによるメッセージはセッション間で受け渡せなくなり、より安全な状態になる。そのため、ユーザーがセッション0 に存在することを前提としているサービスやドライバなどはこの影響を受ける。ウィンドウメッセージは使用せず、RPC、名前つきパイプなどクライアントサーバー型の通信メカニズムの使用等いくつかの回避方法を適応しセキュアにすることが必要だ。
このセッション0 の分離以外にも、サービスに対するACL によるアクセス制御、アカウントをLocal System から特権の少ないLocalService、Network Service に移行、そしてネットワークファイアウォールポリシーによるサービスからのネットワークアクセスを防止といった、サービスのセキュリティ強化がなされたことを補足する。
その他の機能
本連載ではボリュームの都合上触れなかったが、クライアントPCでのデータ保護機能である「BitLockerドライブ暗号化」や、バイオメトリクス認証やワンタイム・パスワードなどに対応する新しいログオンアーキテクチャ(「GINA」の廃止)なども、大きなセキュリティ機能の強化ポイントである。
そのほか、Windows のリソースやコンポーネント、インストーラによりインストールしたファイルをユーザーの不注意なファイル削除アクセスから保護するため読み取り専用としファイルを保護するWindows リソース保護(WRP)、暗号化ファイルシステム(EFS)、保護者による家族のための安全設定など、企業や家庭で安心してPC を利用するためセキュリティ面での強化がなされている。
とはいえ、OS だけではなく、アプリケーションそのものセキュリティの向上やシステム全体を安全にするためのソフトウェアの準備等、守るべき情報とそれに合わせたセキュリティレベルの設計・管理・維持が必要なことは言うまでもない。ベースラインとなるOS がセキュアになり、それが強化されていくことはあらゆるユーザーにとって必要不可欠なものである。
なお、メインストリームサポート終了日を2012年4 月10 日、延長サポート終了日、2017 年4 月11日と広範囲にわたるクライアントOS においてサポートライフサイクルを出荷段階で明示していることも、セキュリティの観点で重要である。
まとめ
Windows Vista は、Windows XP などのWindowsファミリーの最新プラットフォームである。Confident/Clear/Connected の3 つのC のコンセプトを具現化し、デジタルライフスタイル、デジタルワークスタイルを強力に支援する。また、インターネットとデスクトップとの融合が高いレベルで行われており、シームレスに連携させることが可能である。本稿では触れていないが、インターネット側のプラットフォームであるWindows Live も要チェックだろう。
今後多くのPC にVista がプレインストールされ、企業内でも導入が進んでいくだろう。今からでも遅くはない、ぜひVista を評価し、体験していただきたい。
佐藤直樹
マイクロソフト
システムテクノロジー統括本部
エバンジェリスト
マイクロソフト
システムテクノロジー統括本部
エバンジェリスト
| 第1回 | 【連載】Windows VistaとはどのようなOSなのか?(1)Windows Vistaが提供する新基準 |
| 第2回 | 【連載】Windows VistaとはどのようなOSなのか?(2)Windows Vistaの新機能(上) |
| 第3回 | 【連載】Windows VistaとはどのようなOSなのか?(3)Windows Vistaの新機能(中) |
| 第4回 | 【連載】Windows VistaとはどのようなOSなのか?(4)Windows Vistaの新機能(下) |
| 第5回 | 【連載】Windows VistaとはどのようなOSなのか?(5)Windows Vistaのセキュリティ |
 |
本記事は、C MAGAZINE MOOK「最新 Windows Vistaプログラミング徹底理解」から一部を転載したものです。より深くWindows Vistaを知りたい場合はこちらよりムックをご購入ください。 |
関連コンテンツ
あなたの投稿
PR
PR
PR
