熟成されたサーバOS「Windows Server 2016」の全貌：仮想化、クラウド時代のサーバOS

ついに登場した「Windows Server 2016」。大幅に改善、強化された各種機能と仕様を紹介する。

[Computer Weekly]

サーバOSの役割の変化

　クラウドコンピューティング（パブリックにせよプライベートにせよ）と仮想化の影響を受けて、サーバOSの役割は変わりつつある。今どきのサーバは、数分で作成できる仮想マシン（VM）として実装されることが増えている。従って、障害が発生した場合は、かつては主流だった、念入りに構成したサーバマシンを修理するよりも、新規のサーバマシンを調達してそちらにリプレースすることが多くなった。

Computer Weekly日本語版　11月16日号無料ダウンロード

本記事は、プレミアムコンテンツ「Computer Weekly日本語版　11月16日号」（PDF）掲載記事の抄訳版です。本記事の全文は、同プレミアムコンテンツで読むことができます。

• Computer Weekly日本語版　11月16日号：Windows Server 2016のココが凄い

なお、同コンテンツのEPUB版およびKindle（MOBI）版も提供しています。

　「Windows Server 2016」は大幅に刷新されたリリースで、その変更量は2013年にリリースされた「Windows Server 2012 R2」よりも多い。昨今のIT業界でまず真っ先に思い浮かぶテーマ、例えばセキュリティ、自動化、仮想化、ソフトウェア定義ネットワーク、ソフトウェア定義ストレージなどに対処するように設計されている。

Hyper-Vの進化

　Microsoftのハイパーバイザーは急激に進化した。Windows Server 2012 R2以来、追加された機能は約40に上る。VMは今や、最大12TBのメモリと最大240個の仮想プロセッサを構成することができる。前バージョンでは、メモリは最大1TB、仮想プロセッサは最大64個だった。ホストには最大24TBのメモリを搭載できる。

　今回のリリースでは、仮想化の入れ子（ネスト）をサポートした。つまり、「Microsoft Azure」などのパブリッククラウド上でVMと「Hyper-V」コンテナを利用できる。VMはまた、「仮想TPM」（Trusted Platform Module）と「仮想セキュアモード」（VSM：Virtual Secure Mode）もサポートする。VSMは分離されたセキュアなコンテナで、「Credential Guard」や「シールドVM」などの強固なセキュリティ機能も備えている。さらにBitLocker方式の暗号化もVM内で利用できるようになる。

　Hyper-V上のVMは、今回からランタイム時のメモリのリサイズ（サイズ変更）、システム稼働中の仮想ネットワークカードの追加や削除、共有VHDX仮想ドライブのオンラインリサイズをサポートする。稼働中のVMのスナップショットを保存するチェックポイントは、初めて本番環境でサポートされることになった。

管理者特権の保護と侵入された場合の被害の軽減

　IT業界全体が仮想化インフラに向かう傾向にあることから、セキュリティ上の明らかな脆弱（ぜいじゃく）性が浮上した。VMホストへのアクセスに成功してしまえばVMにもアクセスできるのだ。仮想HDDをコピーして、またはその構成に修正を加えて、仮想ディスプレイに接続することもできる。

　Windows Server 2016では新たに複数のセキュリティ機能をサポートした。これによって強固な仮想インフラの実装が可能になる。シールドVMは、別サーバを立ててそこで「Host Guardian Service」を稼働させる必要があるが、指定したハードウェア上でのみ稼働するように設定することができる。そのハードウェアは「証明済みファブリック」（attested fabric）と呼ばれるもので、TPM 2.0で認識される。

　VMはHyper-V第2世代かつ「Windows Server 2012」（または「Windows 8」）以降のバージョンを稼働させることが必須となる。シールドVMは暗号化され、Hyper-Vコンソール経由のディスプレイへの（物理的な）接続は無効化される。つまりディスプレイへの接続はネットワーク経由のみとなる。

　Windows Server 2016で新たに対処したセキュリティリスクは他にもある。狙われているのは「ハッシュ渡し」として知られる技法だ。攻撃者は、管理者パスワードのハッシュを検出して別のマシンへのアクセスに使用することで、（管理者になりすまして）自らのシステム特権を引き上げることがある。Credential Guardは「Windows 10」から搭載された機能だが、仮想コンテナを使ってパスワードのハッシュを格納し、不正アクセスから隔離する。

　主なセキュリティ機能はあと2つある。1つは期間限定の管理機能だ。これは「Microsoft Identity Manager」（MIM）の「Privileged Access Manager」（PIM）を使って実装される。もう1つは「管理者として十分な機能だけに絞られた権限」で、PowerShellの新機能だ。（この権限を得た場合、）管理者セッション用の仮想アカウントを構成できるが、事前に定義されたロールの設定だけに制限される。

　Windows Serverのセキュリティは成熟してきた。旧バージョンに比べて格段に強化されている。ただし複雑性が高まりインフラの要件も増えているので、新しい機能の効果を十分に得られるのは、Windowsのサブセットのユーザーだけだろう。

Windows Serverのコンテナ

続きはComputer Weekly日本語版　11月16日号にて

本記事は抄訳版です。全文は、以下でダウンロード（無料）できます。

• Computer Weekly日本語版　11月16日号：Windows Server 2016のココが凄い

■お薦めのバックナンバーと記事

Windows Server 2018（2019？）でオンプレミスとクラウドの融合が加速

Computer Weekly日本語版　8月16日号：LinuxでもPowerShell

Computer Weekly日本語版　6月21日号：Microsoft帝国からの脱出

別冊Computer Weekly　次世代のサーバOS（転載フリー版）