Windows Server 2012、セキュリティ機能の“見どころ”をチェックWindows Server 2008からのアップグレードに値するか?

Windows Server 2012はセキュリティ機能だけでなく、ポリシー設定や実装の容易さなど使い勝手も大幅に向上している。アップグレードの判断材料となる幾つかのポイントを紹介する。

2013年02月04日 08時00分 公開
[Michael Cobb,TechTarget]

 MicrosoftWindows 8のリリースに先立ち、2012年9月に発表したサーバソフトの最新バージョン、Windows Server 2012の新機能について、Windows Server 2008を運用している企業は「アップグレードするだけの価値があるかどうか」疑問に思っている向きも多いのではないだろうか。特に、Windows Serverを運用している組織にとって最も気になるであろうセキュリティ機能は念入りに検討するはずだ。そこで、すぐにアップグレードする価値を持つものかどうか、Windows Server 2012のセキュリティ機能を検証した。

信頼性や使い勝手が大幅に向上

 結論からいうと、Windows Server 2012のセキュリティ機能は大きく前進している。重要なセキュリティ機能群を新たに搭載し、認証ID管理、権限付与、隔離、データ保護といった分野にも機能向上が見られる。「Secure Boot」などを含め、新機能の中にはWindows 8と共有されているものもある。

 Secure Bootはシステムが起動する際にデジタル署名入りのUEFI(Unified Extensible Firmware Interface)ドライバとブートローダーのみ実行を許し、bootkitによってデバイスが乗っ取られることを防止する。システムの起動プロセスを守るもう1つのセキュリティ機能「Early Launch Anti-Malware(ELAM)」は、デジタル署名の入った既知のマルウェア対策プログラムのみ、Secure Bootの終了直後にロードする。これによって偽ウイルス対策プログラムが起動プロセスの間に実行されることを防ぐ。

 HDD暗号化を実現する「BitLocker」のドライブ暗号化も使いやすくなった。「ネットワーク保護モード」にしておくと、サーバがネットワークに接続されて通常のActive Directoryドメインに加わっている限り、暗号化されたディスクのロックを自動的に解除する。「DNSSEC(Domain Name System Security Extensions)」機能は、従来のDNSの仕組みを拡張する形で実装し、完全な上位互換性を保っている。設定も分かりやすくなった。

 「Solution Accelerator」という管理ツール群は、セキュリティの基本管理機能を一元的に提供し、セキュリティ設定を簡単かつ迅速に行える。同ツール群には、カテゴリごとに分類された172の質問を提示して使用環境の分析と改善方法を提案する「Microsoft Security Assessment Tool」、Microsoftのセキュリティ推奨事項に基づいて各クライアントPCのセキュリティ状態を確認し、改善策のガイダンスを提供する「Microsoft Baseline Security Analyzer」、セキュリティ設定のベストプラクティスを提供する「Microsoft Security Compliance Manager」などが含まれる。

 クレームベース認証、クラウド認証をサポートする「Kerberos認証」もシンプルになり、きめ細かいパスワードポリシー導入のためのインタフェースが大幅に洗練された。パスワードを自動的に管理する「Managed Service Accounts(MSA)」も自己メンテナンス式になり、長いパスワードが30日ごとに自動的にリセットされるようになった。

 自前でWebサーバを運用している企業に向けた機能としては、MicrosoftのWebサーバ用ソフトウェア「Internet Information Services(IIS)8」に自動化されたセキュリティ対策機能が新たに加わった。例えば「Dynamic IP Restrictions」機能は、事前に定義した状況に基づいて、不正なIPアドレスを自動的にブロックする。閉鎖された領域でウイルスの挙動を確かめる「サンドボックス」機能も強化され、個々のアプリケーションがマルチテナントのセキュリティサンドボックスに格納されるようになった。

ダイナミックアクセス制御が、きめ細かなファイルアクセス権限管理を効率化

 データ分類は、全てのファイルに適切なセキュリティ設定を割り当てる作業が必要になるため、情報セキュリティの中でも多くの企業が苦労している分野だ。Windows Server 2012は新しい認証機能と監査エンジンでこの課題に真っ向から取り組んだ。具体的には、「ダイナミックアクセス制御」機能に「式ベースのアクセスコントロールリスト」「アクセスの承認と監査ルールの一元管理」など、先進的なファイル/フォルダ権限管理機能を搭載している。

ITmedia マーケティング新着記事

news038.jpg

生活者の生成AI利用動向 10代後半はすでに5割近くが経験――リクルート調査
テキスト型生成AIサービスの利用経験者の割合は若い年代ほど高く、特に10代後半はすでに5...

news108.jpg

今度の「TikTok禁止」はこれまでとどう違う?
米国ではまたしてもTikTok禁止措置が議論されている。これまでは結局実現に至らなかった...