Windows Vistaのセキュリティを高める10の方法：Windows XPとはここが違う

Windows Vistaのセキュリティは、Windows XPよりはるかに強力だ。安全なVista環境を構築・運用するのに役立つ10の方法を紹介しよう。

[Brien M. Posey，TechTarget]

　Windows XPは、異例の長期にわたってMicrosoftの推奨デスクトップOSだったが、同社にとってPR上は悪夢のような存在になってしまった。Windows XPはセキュリティホールだらけで、非常に脆弱だからだ。そこでWindows Vistaの開発に当たってMicrosoftの大きな目標となったのが、Windows XPユーザーを悩ませてきたセキュリティ問題すべてに対処することだった。

　Windows Vistaのセキュリティは、標準構成のまま使う場合も含めて、Windows XPよりはるかに強力だ。しかし、Windows Vistaを最大限に活用するには、新しいさまざまなセキュリティ機能の使い方を知っておく必要がある。Windows Vistaのセキュリティを高めるためのポイントをまとめた以下のリストは、真に安全なWindows Vista環境を構築・運用するのに役立つだろう。

1. ネットワークアクセス保護を利用する

　「ネットワークアクセス保護」（NAP：Network Access Protection）機能は、実際にはWindows Server 2008に組み込まれている。NAPにより、「Windows Vistaワークステーションが正常なセキュリティ状態であると判断されるためには、どのような要件を満たしていなければならないか」を規定するネットワーク正常性ポリシーを作成できる。例えば、Windowsファイアウォールが有効に設定されていることや、特定のセキュリティパッチが適用されていることなどを要件として規定することが可能だ。ユーザーがネットワークにログオンしようとすると、NAPがユーザーのマシンをチェックし、規定された正常性要件を満たしているかどうかを検証する。要件を満たしていない場合には、即座に問題を修正したり、そのユーザーのネットワークアクセスを拒否したりできる。NAPはセットアップが面倒だが、わたしの意見では恐らくWindows VistaとWindows Server 2008の最高のセキュリティ機能だろう。

2. フィッシングフィルタを有効にする

　どのデスクトップでも、フィッシングフィルタ（フィッシング詐欺検出機能）を有効にしておく。フィッシングフィルタは、ユーザーが正規のWebサイトと、人気Webサイトを装う不正なWebサイトを見分ける助けになる。残念ながら、フィッシングフィルタのWebサイトデータベースは包括的なものではないが、実用上十分な数の正規サイトと偽サイトをカバーしている。IT担当者は、フィッシングフィルタの使い方をユーザーに必ず周知しなければならない。

3. Windows Vistaを最新の状態に保つ

　Windows Vistaは非常に長期にわたってβテストが行われたが、時間の経過とともに新たなバグやセキュリティホールが発見されるのは避けられない。脆弱性実証コードがいったん公開されたら、ハッカーがこぞってそれを基に攻撃コードを作成するのは間違いない。このため、パッチ管理プロセスを常に継続して実施しなければならない。「Windows Vistaはセキュリティを考慮して設計されているから、頻繁にパッチを当てなくてもよい」などと勘違いしてはならない。

4. 更新履歴のチェック方法を知っておく

　Windows Vistaにどのパッチが適用されているかを把握することは重要だ。パッチの適用状況をチェックするには、コントロールパネルを開き、［プログラムと機能］リンクをクリックする。次に、［インストールされた更新プログラムを表示］リンクをクリックすると、マシンに適用されているパッチを確認できる。

5. Windows Server 2008ドメインコントローラを使用する

　グループポリシーは、Windowsの長年来の主要なセキュリティメカニズムだ。従って、Windows XPにはなかった何百ものグループポリシー設定がWindows Vistaに用意されているのは驚くに当たらないだろう。こうしたグループポリシー設定はローカルコンピュータレベルで随時適用できるが、Windows Vista固有の新しいグループポリシー設定をActive Directoryレベルで管理したい場合は、ネットワークでWindows Server 2008ドメインコントローラを使用する必要がある。

6. ネットワークプロファイルを利用する

　Windows Vistaがリリースされるまでは、Windowsはすべてのネットワーク接続を同様に扱っていた。だがWindows Vistaでは、「ネットワークと共有センター」を使って、ネットワークをパブリック、プライベート、あるいはドメインネットワークに設定できる。マシンがネットワークを使ってドメインにログオンすると、そのネットワークは自動的にドメインネットワークに設定される。

　こうしたネットワークプロファイルについては、適切に選択することが重要だ。Windowsは、ユーザーが接続しているネットワークの種類に応じてさまざまなセキュリティ機能を実行するからだ。例えば、ユーザーがパブリックネットワークに接続している場合、Windows Vistaはネットワークマップ機能を無効にする。Windowsファイアウォールにも、ネットワークプロファイルに応じた設定が用意されている。

7. Windowsファイアウォールは見た目以上に高機能であることを理解しておく

　Windows Vistaでいつも不思議に思うことの1つは、WindowsファイアウォールがWindows XPのものと見た目はそっくりなことだ。実のところ、コントロールパネルからWindowsファイアウォールを構成する場合、オプションが非常に限られている。しかしMicrosoftは、Windowsファイアウォールをきめ細かく管理できる専用の管理コンソールも提供している。

8. 64ビット版を使う

　Windows Vistaの64ビット版は、32ビット版よりはるかに安全だ。64ビット版には、ASLR（Address Space Layout Randomizer）というセキュリティ機能が搭載されている。この機能は、システムファイルがロードされると、ランダムなオフセットが適用されるようにする。このため、Windows Vistaの64ビット版は32ビット版とは異なり、システムファイルが2回続けて同じメモリ位置を占めることはめったになくなる。このランダム化により、Windows XPに対してよく使われる手口によるセキュリティ攻撃の多くが阻止される。

　Windows Vistaの64ビット版にのみ搭載されているもう1つのセキュリティ機能として、DEP（データ実行防止）がある。DEPは、実行可能コードがシステムメモリ上の特定の領域で実行されるのを防ぐ機能だ。Windows Vistaの32ビット版ではDEPの簡易バージョンがソフトウェアで実行されるが、64ビット版ではDEPがハードウェアレベルで強制実行される。

9. 暗号化はよく理解してから利用する

　わたしは毎週何百人もの人から、さまざまな技術的問題について電子メールで質問を受ける。中でも断然多いのが、暗号鍵を紛失した場合の暗号化データの回復にかかわるものだ。残念ながら、暗号鍵を紛失した場合に暗号化データを回復する簡単な方法はない。データの回復は不可能な場合が多い。このため、暗号化プロセスの仕組みや、データ損失を防ぐ方法を理解するまでは、EFS（暗号化ファイルシステム）の暗号化やBitLockerドライブ暗号化を利用しないことをお勧めする。

10. Windows Defenderを過小評価しない

　Windows Vistaには、Microsoft独自のスパイウェア対策アプリケーション「Windows Defender」が搭載されている。これまでMicrosoftは、Windowsには機能的に非常に弱いアプレットを搭載してきた。システム管理者は、Windowsで提供されるアプレットは急場をしのぐには十分だが、サードパーティーアプリケーションを使う方が得策と考えてきた。

　しかしWindows Defenderは、実はかなりきちんとしたアプリケーションだ。完ぺきではないが、わたしの個人的経験では最悪の感染ケース以外はスパイウェアをうまく検出して削除する。

本稿筆者のブライエン・M・ポージー氏は、MCSE（マイクロソフト認定システムエンジニア）の資格を持ち、Windows Server、IIS、Exchange Serverに関する仕事でMicrosoft Most Valuable Professionalの認定を4回受けた。全米規模の病院チェーンでCIOを務めた経験があり、フォートノックス（ケンタッキー州にある米軍施設）のネットワーク管理を担当したこともある。

関連ホワイトペーパー

Windows Server 2008 | Windows Vista | Microsoft（マイクロソフト）