Windows Server 2012、セキュリティ機能の“見どころ”をチェック:Windows Server 2008からのアップグレードに値するか?
Windows Server 2012はセキュリティ機能だけでなく、ポリシー設定や実装の容易さなど使い勝手も大幅に向上している。アップグレードの判断材料となる幾つかのポイントを紹介する。
MicrosoftがWindows 8のリリースに先立ち、2012年9月に発表したサーバソフトの最新バージョン、Windows Server 2012の新機能について、Windows Server 2008を運用している企業は「アップグレードするだけの価値があるかどうか」疑問に思っている向きも多いのではないだろうか。特に、Windows Serverを運用している組織にとって最も気になるであろうセキュリティ機能は念入りに検討するはずだ。そこで、すぐにアップグレードする価値を持つものかどうか、Windows Server 2012のセキュリティ機能を検証した。
Windows Server 2012の関連記事
- IT管理者が知っておくべきWindows Server 2012の4機能
- Windows Server 2012のファイルシステムReFSの長所/短所
- 「クラウドOS」になれないWindows Server 2012とMicrosoftの焦り
- Windows Server 2012への移行は2013年が節目
信頼性や使い勝手が大幅に向上
結論からいうと、Windows Server 2012のセキュリティ機能は大きく前進している。重要なセキュリティ機能群を新たに搭載し、認証、ID管理、権限付与、隔離、データ保護といった分野にも機能向上が見られる。「Secure Boot」などを含め、新機能の中にはWindows 8と共有されているものもある。
Secure Bootはシステムが起動する際にデジタル署名入りのUEFI(Unified Extensible Firmware Interface)ドライバとブートローダーのみ実行を許し、bootkitによってデバイスが乗っ取られることを防止する。システムの起動プロセスを守るもう1つのセキュリティ機能「Early Launch Anti-Malware(ELAM)」は、デジタル署名の入った既知のマルウェア対策プログラムのみ、Secure Bootの終了直後にロードする。これによって偽ウイルス対策プログラムが起動プロセスの間に実行されることを防ぐ。
HDD暗号化を実現する「BitLocker」のドライブ暗号化も使いやすくなった。「ネットワーク保護モード」にしておくと、サーバがネットワークに接続されて通常のActive Directoryドメインに加わっている限り、暗号化されたディスクのロックを自動的に解除する。「DNSSEC(Domain Name System Security Extensions)」機能は、従来のDNSの仕組みを拡張する形で実装し、完全な上位互換性を保っている。設定も分かりやすくなった。
HDD暗号化の関連記事
「Solution Accelerator」という管理ツール群は、セキュリティの基本管理機能を一元的に提供し、セキュリティ設定を簡単かつ迅速に行える。同ツール群には、カテゴリごとに分類された172の質問を提示して使用環境の分析と改善方法を提案する「Microsoft Security Assessment Tool」、Microsoftのセキュリティ推奨事項に基づいて各クライアントPCのセキュリティ状態を確認し、改善策のガイダンスを提供する「Microsoft Baseline Security Analyzer」、セキュリティ設定のベストプラクティスを提供する「Microsoft Security Compliance Manager」などが含まれる。
クレームベース認証、クラウド認証をサポートする「Kerberos認証」もシンプルになり、きめ細かいパスワードポリシー導入のためのインタフェースが大幅に洗練された。パスワードを自動的に管理する「Managed Service Accounts(MSA)」も自己メンテナンス式になり、長いパスワードが30日ごとに自動的にリセットされるようになった。
自前でWebサーバを運用している企業に向けた機能としては、MicrosoftのWebサーバ用ソフトウェア「Internet Information Services(IIS)8」に自動化されたセキュリティ対策機能が新たに加わった。例えば「Dynamic IP Restrictions」機能は、事前に定義した状況に基づいて、不正なIPアドレスを自動的にブロックする。閉鎖された領域でウイルスの挙動を確かめる「サンドボックス」機能も強化され、個々のアプリケーションがマルチテナントのセキュリティサンドボックスに格納されるようになった。
ダイナミックアクセス制御が、きめ細かなファイルアクセス権限管理を効率化
データ分類は、全てのファイルに適切なセキュリティ設定を割り当てる作業が必要になるため、情報セキュリティの中でも多くの企業が苦労している分野だ。Windows Server 2012は新しい認証機能と監査エンジンでこの課題に真っ向から取り組んだ。具体的には、「ダイナミックアクセス制御」機能に「式ベースのアクセスコントロールリスト」「アクセスの承認と監査ルールの一元管理」など、先進的なファイル/フォルダ権限管理機能を搭載している。
Copyright © ITmedia, Inc. All Rights Reserved.