Vistaよりも使いやすくなったMicrosoftの次期OS「Windows 7」。だがセキュリティ面はどうなのか? 脆弱性スキャンツールやパスワードクラッキングツールを試してみた。
Windows 7のRC(リリース候補)は、先行OSに比べて高速かつ安定していることが実証されつつある。Windows Vistaがありとあらゆる困難を抱えていたのと比べると、Windows 7の使用感は全般的に、大幅に向上している。しかし、Windows 7のセキュリティはどの程度のものなのか。
このOSは最初からガードを固めてある。Windowsファイアウォールはデフォルトで有効になっており、Windows DefenderとWindows Updateもしかり。Microsoftはまた、ユーザーアカウント制御(UAC)の設定を容易に変えられるようにした。Vistaがそうだったようにデフォルトでは比較的セキュリティレベルは高いが、管理者が調整できないことは何もない。コントロールパネル/システム&セキュリティ経由で提供されるAction Centerは、マルウェア対策が導入されていない場合、そのことをしきりに指摘してくる。実際ここから直接、Windows 7向けセキュリティソフトウェアの一覧ページにリンクが張られている。
Action Centerは、システムのバックアップがデフォルトで設定されていないことも明示してくる。こうしたこと――特にバックアップは企業にとって重要とは思えないかもしれないが、実は重要だ。セキュリティ評価を実施すればするほど、多くの組織がこうした「基本的な」管理者業務をユーザー任せにしていることが分かってきた。ユーザーにシステム管理は任せない方がいいとわたしは忠告している。これは非常に危険が大きいからだ。
こうしたコントロールが施されたWindows 7は、脆弱性スキャンツールにどの程度耐えられるだろうか。わたしがこれまで目にした市販のOSの中で、見つかった脆弱性が最も少ないのは確かだ。市販の脆弱性スキャナ「GFI LANguard」と「QualysGuard」をデフォルト状態のWindows 7で実行してみた。率直に言って、脆弱性はほとんど見つからなかった。ただ、NetBIOSの名称が発見される恐れがあるというだけだった。これは実質的な問題ではない。認証状態で行ったスキャンでさえも発覚した問題はごくわずかで、いずれも深刻と思えるものではなかった。LANguardのスクリーンショットは以下の通りだ。
面白いことに、Windows 7でMBSA(Microsoft Baseline Security Analyzer)を実行すると「これはWindows NT/2000/XP/Server 2003ではなく、Workstationでもありません」というメッセージが出てきた。これは愉快でもあり、相当の皮肉でもある。きっとこのメッセージの部分は、Microsoftが手を加えている最中なのだろう。あるいは、Windows 7のセキュリティについてはまだつつき回してほしくないと思っているのかもしれない。
そして、Windowsパスワードクラッキングツールの「Ophcrack」はWindows 7にも十分通用した。つまり、ノートPCや携帯端末の暗号化は今後も必須ということだ。これは驚くには当たらない。
もちろん、試したWindows 7はまだリリース候補の段階だ。またアプリケーションはインストールしておらず、従って攻撃にさらされる部分も極めて少ない。しかも、わたしはこれが「典型的な」Windows 7のシステムだとは思っていない。ユーザーが使い始めれば、あちこちいじってドライブを共有したりソフトウェアをインストールしたりしてリスクは増大する。Web上には、ゼロデイハッキングを吹聴したり、「解決不可能な」脆弱性の情報が飛び交っているが、全体的に見るとWindows 7は極めて堅固に思える。このプラットフォームに対するエクスプロイト(攻撃用プログラム)がどのような形で浮上してくるかの展開は見物だ。念のために言っておくが、決して防御を緩めてはいけない。まだ当面の間、頻繁に悪用されるWindowsの脆弱性がなくなることはないだろう。
本稿筆者のケビン・ビーバー氏は、米アトランタにあるPrinciple Logicを経営する独立系情報セキュリティコンサルタントで、執筆、講演も手掛ける。専門は独立した立場からのセキュリティ評価。情報セキュリティに関する7冊の著書および共著書がある。ブログではIT専門家向けにセキュリティ関連の知識を提供している。
Copyright © ITmedia, Inc. All Rights Reserved.
クラウド利用が当たり前となった今日、セキュリティ対策もまたクラウド環境に適したものでなくてはならない。とはいえ、大量のデータポイントが生成されるクラウド領域にあって、その全てのポイントを網羅するのは並大抵のことではない。
ビジネスでのAPI利用が進むにつれ、そのAPIを標的としたサイバー攻撃も増加している。それらに対抗するためには、「シャドーAPI」や「ゾンビAPI」を洗い出し、セキュリティ対策を徹底する必要がある。その正しい進め方を解説する。
ある調査で企業の61%がセキュリティ優先事項のトップ3に挙げるほど、重要度が高まっているアイデンティティー管理・保護。その中で昨今注目されているのが「IGA」というアプローチだ。そのメリットや、導入方法を解説する。
DX推進によってさまざまなビジネスシーンでデジタル化が加速しているが、そこで悩みの種となるのがセキュリティの担保だ。リソースやコストの制限も考慮しながら、DXとセキュリティを両輪で進めるには何が必要になるのか。
サイバー攻撃が巧妙化し、セキュリティチームとSOCは常に厳戒態勢を取り続けている。さらにデジタルフットプリントの拡大に伴い、セキュリティデータが絶え間なく往来する事態が生じている。このような状況に対応するには、SOARが有効だ。
いまさら聞けない「仮想デスクトップ」と「VDI」の違いとは
遠隔のクライアント端末から、サーバにあるデスクトップ環境を利用できる仕組みである仮想デスクトップ(仮想PC画面)は便利だが、仕組みが複雑だ。仮想デスクトップの仕組みを基礎から確認しよう。
「ECプラットフォーム」売れ筋TOP10(2025年4月)
今週は、ECプラットフォーム製品(ECサイト構築ツール)の国内売れ筋TOP10を紹介します。
「パーソナライゼーション」&「A/Bテスト」ツール売れ筋TOP5(2025年4月)
今週は、パーソナライゼーション製品と「A/Bテスト」ツールの国内売れ筋各TOP5を紹介し...
Cookieを超える「マルチリターゲティング」 広告効果に及ぼす影響は?
Cookieレスの課題解決の鍵となる「マルチリターゲティング」を題材に、AI技術によるROI向...
ITmediaはアイティメディア株式会社の登録商標です。
