Windows 7移行で動かなくなる既存アプリを安全・簡単に実行する方法：ユーザー権限のきめ細かなコントロールが鍵

Windows XPと比べてセキュリティが強化されたWindows 7に移行すると、一部のアプリが実行できなくなる。従業員への管理者権限の付与や再開発が一般的な解決策だが、もっと安全で簡単な方法はないのだろうか。

[Ron Condon，TechTarget]

　まだWindows XPを利用している多くの企業にとって、Windows 7への移行は差し迫った課題になりつつある。Windows XPのサポートは2014年4月で打ち切られる予定だ。つまり、システムを保護するためのパッチもアップデートも、サービスパックも提供されなくなる。

　新しいOSへの移行では、Windows 7のように近代化され、セキュリティが大幅に強化されたOSだとしても、問題は発生し得る。Windows XPでは問題のなかったアプリケーションが、Windows 7では強化されたセキュリティ制限の壁にぶつかるかもしれない。

　企業に残された選択肢は、アプリケーションをWindows 7向けに開発し直すか、Windows 7のセキュリティを緩和するかのいずれかだと思うかもしれない。しかしOxford University Press（OUP）は別の解決策にたどり着いた。Windows 7のユーザー権限をコントロールすることにより、Windows 7のセキュリティ制限の範囲内でWindows XPアプリケーションを実行するという方法だ。

関連記事

• Windows 7移行を阻むレガシーアプリの解決法
• Windows 8を待つべきか？　岐路に立つWindows 7移行の現場
• MicrosoftのWindows 7移行ツールが不評な理由
• 2012年はWindows 7移行が加速──クラウド時代の幕開けは？
• Windows 7移行に伴うOfficeデータ改変が法令違反に？

Windows XPの柔軟性とぶつかるWindows 7のセキュリティ

　OUPの上級サポートアナリストであるギャビン・ウィルソン氏は、職員5500人を擁する世界最大の大学出版局である同組織をWindows XPからWindows 7へ丸ごと移行させるに当たり、このジレンマに突き当たった。

　「われわれには何年もかけて構築してきた大量のレガシーシステムがあり、それは出版事業に欠かせないものだった。われわれがやらなければならなかったことの1つは、このシステムをWindows 7で運用できるようにすることだった」とウィルソン氏は振り返る。

　「開発者はWindows XPで提供されていた機能を活用していたが、それがWindows VistaとWindows 7では使えなくなった」と同氏は指摘する。例えば、「Program Files」フォルダにデータを書き込む一部のプログラムは、Windows XPでは問題なく動作したが、Windows 7では権限の昇格が必要になった。標準のユーザー権限しか持たないユーザーは、こうした基本的なビジネスアプリケーションの多くが使えなくなってしまう。

　「解決策の1つは、使用するマシンのローカル管理者権限を全ユーザーに持たせることだ。しかし、それではWindows 7へ移行するセキュリティ上のメリットが何もなくなってしまう。さらに、ユーザーが誤ってプログラムを削除してしまうといったうっかりミスをした場合、ヘルプデスクへの電話が増えることにもつながる」（ウィルソン氏）

　問題はレガシーアプリケーションの扱いにとどまらない。電子書籍やマルチメディアを使った教育課程など、デジタル製品への進出に力を入れるOUPは、開発や顧客向けのマーケティング用途のために、多くのユーザーがコンピュータに新しいプログラムを導入する必要に迫られていた。ユーザーがローカル管理者権限を持たない限り、こうした新しいアプリケーションさえもWindows 7によってブロックされてしまいかねない。

関連記事

• Windows 7の標準機能で守るデスクトップセキュリティ
• Windows 7の「セキュリティが強化されたWindowsファイアウォール」はどこが違う？
• Windows 7のセキュリティを強化する5つの対策

Windows 7のユーザー権限コントロール

　ウィルソン氏は助けになりそうな技術を求めて市場調査を開始した。「権限昇格の問題に触れた製品はあったが、それはもっと大型の製品の一部だった。しかも専用のサーバと専用のデータベースを必要とし、クライアントPCに専用ソフトウェアをインストールしなければならなかったため、大きな負担が生じる恐れがあった」

　次に同氏が調べたのは、英Avectoの「Privilege Guard」という製品だった。Avectoは、仮想化関連事業を手掛ける米AppSenseの元幹部が2008年に設立したソフトウェアメーカーだ。Privilege Guardは、専用のサーバやデータベースを使わずにユーザー権限を管理できるとうたわれており、OUPの既存のActive Directoryを通じた管理が可能だった。

　OUPのウィルソン氏はこう話す。「Privilege Guardは、われわれの既存のインフラを使って運用できる。クライアントPCに非常に小さなソフトウェアをインストールする必要はあるが、そのコントロールは全てActive Directoryのグループポリシーがベースになる。私も既存のActive Directoryのスキルを応用して権限を割り当てることができた」

関連記事

• コスト削減効果は数万ドル？　Active DirectoryによるWindows 8タブレット管理
• Active Directoryで今すぐ始められるクライアントPC管理

　同氏によると、Privilege Guardの主な利点は、特定のユーザーやアプリケーションを選択して、完全なローカル権限を与えることなくユーザー権限を昇格させられることだという。

　OUPは、ユーザー150人を対象とした試験プロジェクトで効果を実証。同製品は間もなく、英国内にいる同社の従業員2000人を対象に導入された。請求書や印税の管理といったレガシーアプリケーションにアクセスする必要のある従業員は、そのアプリケーションに限って高い権限を割り当て、他の場面では全て通常のユーザーアカウントにとどめる。

　OUPは、コントロールされたローカル管理者権限を開発者にも付与している。「最近もアプリケーションのコンパイルにおいて、Program Filesフォルダの特定エリアにデータを書き込む必要がある開発者が何人かいた。彼らの権限をまとめて昇格させるのではなく、やるべきことをするために必要な権限に絞って付与した」とウィルソン氏は話す。

従来の権限管理の代替アプローチ

　英Quocircaのアナリストであるボブ・タージー氏は、権限管理は重要ではあるものの、非Windowsクライアントやサーバ、iOS／Androidを搭載した新しいモバイル端末なども幅広く網羅する必要があると指摘する。

　「権限管理には2つのアプローチがある。1つは、Active DirectoryのIDをベースとして、ケースバイケースで追加の権限を割り当てる方法。Avectoはこの仕組みだ。もう1つは、米Cyber-Ark Softwareや米Thycotic Softwareの製品のように『パスワードボールト』を使うやり方だ。パスワードボールトは、ユーザーがパスワードを引き出して一定期間使用できるようにする。どちらの方法を採用するにしても、システムを導入すれば権限の利用がコントロールでき、監査もできる」（タージ―氏）

個々のアプリケーションの権限管理

　OUPはActive Directoryを利用した権限管理に加え、AvectoのPrivilege Guardを利用。Skypeのような特定のプログラムの利用をまとめて遮断している。オンライン会議ツール「Citrix GoToMeeting」をはじめ、Windows 7が一般ユーザーによる利用を遮断するプログラムでも、利用が必要になるケースがある。ウィルソン氏はPrivilege Guardを使ってカスタムセキュリティトークンを作成し、プロセスに対する特権を割り当てるという方法を採用した。これでユーザーは権限を昇格しなくてもGoToMeetingを実行できるようになる。

　ウィルソン氏はプロジェクトの次の段階として、エンタープライズリポーティング機能が加わった「Privilege Guard 3.0」へのアップグレードを予定している。これでユーザーが何をしていたか、どのアプリケーションを使っていたか、どこでブロックされたかについてのリポート作成が一層容易になる見通しだという。