2012年03月27日 09時00分 公開
特集/連載

Windows 7移行で動かなくなる既存アプリを安全・簡単に実行する方法ユーザー権限のきめ細かなコントロールが鍵

Windows XPと比べてセキュリティが強化されたWindows 7に移行すると、一部のアプリが実行できなくなる。従業員への管理者権限の付与や再開発が一般的な解決策だが、もっと安全で簡単な方法はないのだろうか。

[Ron Condon,TechTarget]

 まだWindows XPを利用している多くの企業にとって、Windows 7への移行は差し迫った課題になりつつある。Windows XPのサポートは2014年4月で打ち切られる予定だ。つまり、システムを保護するためのパッチもアップデートも、サービスパックも提供されなくなる。

 新しいOSへの移行では、Windows 7のように近代化され、セキュリティが大幅に強化されたOSだとしても、問題は発生し得る。Windows XPでは問題のなかったアプリケーションが、Windows 7では強化されたセキュリティ制限の壁にぶつかるかもしれない。

 企業に残された選択肢は、アプリケーションをWindows 7向けに開発し直すか、Windows 7のセキュリティを緩和するかのいずれかだと思うかもしれない。しかしOxford University Press(OUP)は別の解決策にたどり着いた。Windows 7のユーザー権限をコントロールすることにより、Windows 7のセキュリティ制限の範囲内でWindows XPアプリケーションを実行するという方法だ。

Windows XPの柔軟性とぶつかるWindows 7のセキュリティ

 OUPの上級サポートアナリストであるギャビン・ウィルソン氏は、職員5500人を擁する世界最大の大学出版局である同組織をWindows XPからWindows 7へ丸ごと移行させるに当たり、このジレンマに突き当たった。

 「われわれには何年もかけて構築してきた大量のレガシーシステムがあり、それは出版事業に欠かせないものだった。われわれがやらなければならなかったことの1つは、このシステムをWindows 7で運用できるようにすることだった」とウィルソン氏は振り返る。

 「開発者はWindows XPで提供されていた機能を活用していたが、それがWindows VistaとWindows 7では使えなくなった」と同氏は指摘する。例えば、「Program Files」フォルダにデータを書き込む一部のプログラムは、Windows XPでは問題なく動作したが、Windows 7では権限の昇格が必要になった。標準のユーザー権限しか持たないユーザーは、こうした基本的なビジネスアプリケーションの多くが使えなくなってしまう。

 「解決策の1つは、使用するマシンのローカル管理者権限を全ユーザーに持たせることだ。しかし、それではWindows 7へ移行するセキュリティ上のメリットが何もなくなってしまう。さらに、ユーザーが誤ってプログラムを削除してしまうといったうっかりミスをした場合、ヘルプデスクへの電話が増えることにもつながる」(ウィルソン氏)

 問題はレガシーアプリケーションの扱いにとどまらない。電子書籍やマルチメディアを使った教育課程など、デジタル製品への進出に力を入れるOUPは、開発や顧客向けのマーケティング用途のために、多くのユーザーがコンピュータに新しいプログラムを導入する必要に迫られていた。ユーザーがローカル管理者権限を持たない限り、こうした新しいアプリケーションさえもWindows 7によってブロックされてしまいかねない。

Windows 7のユーザー権限コントロール

 ウィルソン氏は助けになりそうな技術を求めて市場調査を開始した。「権限昇格の問題に触れた製品はあったが、それはもっと大型の製品の一部だった。しかも専用のサーバと専用のデータベースを必要とし、クライアントPCに専用ソフトウェアをインストールしなければならなかったため、大きな負担が生じる恐れがあった」

 次に同氏が調べたのは、英Avectoの「Privilege Guard」という製品だった。Avectoは、仮想化関連事業を手掛ける米AppSenseの元幹部が2008年に設立したソフトウェアメーカーだ。Privilege Guardは、専用のサーバやデータベースを使わずにユーザー権限を管理できるとうたわれており、OUPの既存のActive Directoryを通じた管理が可能だった。

 OUPのウィルソン氏はこう話す。「Privilege Guardは、われわれの既存のインフラを使って運用できる。クライアントPCに非常に小さなソフトウェアをインストールする必要はあるが、そのコントロールは全てActive Directoryのグループポリシーがベースになる。私も既存のActive Directoryのスキルを応用して権限を割り当てることができた」

 同氏によると、Privilege Guardの主な利点は、特定のユーザーやアプリケーションを選択して、完全なローカル権限を与えることなくユーザー権限を昇格させられることだという。

 OUPは、ユーザー150人を対象とした試験プロジェクトで効果を実証。同製品は間もなく、英国内にいる同社の従業員2000人を対象に導入された。請求書や印税の管理といったレガシーアプリケーションにアクセスする必要のある従業員は、そのアプリケーションに限って高い権限を割り当て、他の場面では全て通常のユーザーアカウントにとどめる。

 OUPは、コントロールされたローカル管理者権限を開発者にも付与している。「最近もアプリケーションのコンパイルにおいて、Program Filesフォルダの特定エリアにデータを書き込む必要がある開発者が何人かいた。彼らの権限をまとめて昇格させるのではなく、やるべきことをするために必要な権限に絞って付与した」とウィルソン氏は話す。

従来の権限管理の代替アプローチ

 英Quocircaのアナリストであるボブ・タージー氏は、権限管理は重要ではあるものの、非Windowsクライアントやサーバ、iOS/Androidを搭載した新しいモバイル端末なども幅広く網羅する必要があると指摘する。

 「権限管理には2つのアプローチがある。1つは、Active DirectoryのIDをベースとして、ケースバイケースで追加の権限を割り当てる方法。Avectoはこの仕組みだ。もう1つは、米Cyber-Ark Softwareや米Thycotic Softwareの製品のように『パスワードボールト』を使うやり方だ。パスワードボールトは、ユーザーがパスワードを引き出して一定期間使用できるようにする。どちらの方法を採用するにしても、システムを導入すれば権限の利用がコントロールでき、監査もできる」(タージ―氏)

個々のアプリケーションの権限管理

 OUPはActive Directoryを利用した権限管理に加え、AvectoのPrivilege Guardを利用。Skypeのような特定のプログラムの利用をまとめて遮断している。オンライン会議ツール「Citrix GoToMeeting」をはじめ、Windows 7が一般ユーザーによる利用を遮断するプログラムでも、利用が必要になるケースがある。ウィルソン氏はPrivilege Guardを使ってカスタムセキュリティトークンを作成し、プロセスに対する特権を割り当てるという方法を採用した。これでユーザーは権限を昇格しなくてもGoToMeetingを実行できるようになる。

 ウィルソン氏はプロジェクトの次の段階として、エンタープライズリポーティング機能が加わった「Privilege Guard 3.0」へのアップグレードを予定している。これでユーザーが何をしていたか、どのアプリケーションを使っていたか、どこでブロックされたかについてのリポート作成が一層容易になる見通しだという。

ITmedia マーケティング新着記事

news014.jpg

「マーケティングオートメーション」 国内売れ筋TOP10(2021年8月)
マーケティングオートメーション(MA)ツールの顧客ドメイン数ランキングを紹介します。

news101.jpg

「日本企業的DX」の神髄(無料eBook)
「ITmedia マーケティング」では、気になるマーケティングトレンドをeBookにまとめて不定...

news024.jpg

CEOと従業員の給与差「299倍」をどう考える?
今回は、米国の労働事情における想像を超える格差について取り上げます。