最大の課題はIT部門自身にあり？見過ごすと危険なWindows 8セキュリティの落とし穴

メモリ割り当てやカーネル管理の強化など、Windows 8にはマルウェアや脆弱性に対抗する工夫が多数凝らされている。ただし、危険なのはマルウェアや脆弱性だけではない。

[Kevin Beaver，TechTarget]

　予想通り、米MicrosoftのWindows 8をめぐっては、大げさな宣伝文句が溢れている。Windows 8が企業に向くかどうかは、ある意味、個人的な好みの問題だ。以前Metroと呼ばれていたWindows 8の新しいインタフェースに、私が好感を持っていないのは事実である（参考：知らないと後悔するWindows 8アプリのUIと互換性、6つのポイント）。ただし、新しいコントロールの中には、少なくとも当面の間は、マルウェアの影響を最小限に食い止めてくれるものもある。

関連記事

• 「Surface」がセキュリティ担当者の注目を集める理由
• 「Windows 8でBYOD」を安全にするセキュリティ機能
• Windows 8にも対応したハードウェアレベルのセキュリティ基盤「DeepSAFE」

　アドレス空間配置のランダム化（ASLR）とデータ実行防止（DEP）の機能に加え、Windows 8ではメモリ割り当ての処理方法が異なる。セキュリティイベント「Black Hat」で紹介された通り、カーネルのセキュリティも強化された。こうした対策は確かに有難い。ユーザーが簡単にだまされてしまったり、高度なマルウェア攻撃の経路として利用されるだけのデスクトップOSなど、企業は必要としていない。

　マルウェア以外にも、Windows 8には他のOSと同様、見過ごされがちな弱点に起因するセキュリティ問題は存在するはずだ。企業にWindows 8を導入する場合、やるべきことはまだある。ニッチなマルウェアや技術の悪用と同様に、膨大な数の弱点は、いとも簡単に企業を縛り付けてしまうかもしれない。

関連記事

• Windows管理者が見落としがちな5つのリスクとは？

　注目に値するにもかかわらず、見過ごされがちな弱点もある。パスワードの期限切れがないアカウントや、有効になっていないログイン監査などがそれに当たる。こうした問題は、プレリリース版「Windows 8 Release Preview」の初期設定の状態で、セキュリティ検査ツールの「Microsoft Baseline Security Analyzer（MBSA）」によって見つけることができる（参考：MS純正のセキュリティ検査ツールMBSAを使いこなす）。

　デフォルトではHDD暗号化が1つも有効になっていないという点はどうだろう。モバイルコンピュータ、そしてデスクトップPCにとっても、これは最大級の弱点だ。Windowsのセキュリティ機能である「BitLocker」は、米Passwareの「Passware Kit Forensic」などのツールを使えば破ることが可能であり、Windows 8のセキュリティにとって最高のコントロールとはいえないかもしれない。しかし、たとえデフォルトで有効になっていなくても、BitLockerは特定の攻撃に対しては素晴らしい防御になる。

関連記事

• BitLockerとどう違う？　市販「HDD暗号化製品」の利点と注意点
• HDD暗号化の導入はなぜ進まないのか

　米GFI Softwareの脆弱性検査ツール「GFI LanGuard 2012」を使ってWindows 8をさらに検証してみると、不必要な共有が有効になっていたり、ログイン情報がキャッシュされていたり、ユーザー（あるいは攻撃者）がログオンせずにシステムを終了させることができるなど、さらに多くの弱点が見つかる。こうした問題は、影響を受ける組織もあれば、受けない組織もある。とはいえ、知っておくに越したことはない。

　LanGuardによる検証ではさらに、Windowsファイアウォールがデフォルトで有効になっているにもかかわらず、サポートされたファイアウォール製品が見つからないという結果が出る。これは単なるLanGuardとWindows 8 Release Previewの互換性の問題かもしれないが、自社のデスクトップセキュリ対策として、Windowsファイアウォールで十分かどうか判断する必要はある。

関連記事

• Windows 7の「セキュリティが強化されたWindowsファイアウォール」はどこが違う？

　さらには、ログを全て有効にして監視しなければならない点はどうだろうか。標準化団体、そしてMicrosoft自身のツールキット「Microsoft Security Compliance Manager」でも打ち出しているベースラインセキュリティ設定についてはどうか。スクリーンセーバーのタイムアウトを管理するグループポリシーオブジェクト（スタンドアロンのWindowsワークステーション向けローカルポリシー）のように、一見無意味に思えるものであっても、役に立つことはある。スクリーンセーバーのタイムアウトは、少なくともWindows 8 Release Previewではデフォルトで有効になっていない。もしも従業員が自分でシステムを調達し、会社のドメインに接続しなかった場合、誰がそれを設定してくれるのか。これもWindowsのセキュリティ強化策に追加すべき項目だ。