「Windows 8/8.1」“うっかり脆弱性”を防ぐためにできる5つのこと:完全無欠のOSは存在しない
米Microsoftは「Windows 8.1」でセキュリティ機能を強化したが、脆弱性がないOSなど存在しない。だが、幾つかの簡単な設定を行うことで、Windows 8/8.1システムの保護を強化できる。
米Microsoftの「Windows 7」は現在も多くの企業が利用している。また、次期OS「Windows 10」のリリースも迫っている。このような状況下で、「Windows 8/8.1」は活路を見いだすことができるのだろうか。何かと批判の対象となっている同OSであり、市場シェアはわずか15%にとどまっている。とはいえ、IT管理者にとっては、基本的なセキュリティ対策を確実に実施していかなければならない。
「iPad mini 3 Wi-Fi 16GB」、読者プレゼント実施中!
TechTargetジャパンは、企業のIT担当者なら知っておきたいIT技術の入門記事を集約したテーマサイト「『知ってるつもり』では恥ずかしい 基礎から学ぶ、新入社員に教えたい『IT新常識』」を開設しました。本テーマサイトの開設を記念して、米Appleの7.9インチタブレット「iPad mini 3 Wi-Fi 16GB」(色はシルバー)を抽選でプレゼントします。
関連記事
- パスワードが減るかも、「Windows 10」のセキュリティ機能強化はここがスゴイ
- Windows 10プレビュー:タブレットユーザーから一言、言いたい
- 「Windows 10」の前に見直したい「Windows 8.1」の便利な小技
- イラスト年表で振り返る「Windows」 山あり谷ありの30年
Windows 8/8.1は、歴代のWindowsの中で最もセキュアなOSであるといわれている。だが、弱点がないわけではない。PCの管理者は、Windows 8/8.1のセキュリティに精通し、根強く残っている脆弱性を理解し、システムの適切なメンテナンスと脆弱性テストを定期的に行う必要がある。
Windows 8/8.1を搭載するデスクトップPC、ノートPC、タブレットの台数が少ないからといって、セキュリティ対策に必要な作業を考慮しなくていいというわけではない。結局のところ、セキュリティ対策が軽視され、十分な安全が確保されていないデバイスが1台でもあれば、悪意のある攻撃者が企業に危害を加えることができるからだ。
Windows 8/8.1には、標準で利用可能な企業向けのセキュリティ機能が幅広く用意されている。その例を以下に紹介する。
- マルウェア対策が強化されたカーネルと「Windows Defender」(どちらもデフォルトで有効になっている)
- IT管理の向上に役立つ疑似的なドメイン接続を実現する「社内参加」(Workplace Join)・サードパーティー製品を統合してBYOD(私物端末の業務利用)の管理を向上するオープンなMDM(モバイルデバイス管理)
- 「Microsoft BitLocker Administration and Monitoring」(MBAM)と併用すると特に効果が高い「BitLocker」(起動前認証、ユーザー管理のPIN/パスフレーズのリセットを含む)
- マルウェア対策に役立つユーザーのプライバシーが強化された「Internet Explorer 11」用の新しいグループポリシーオブジェクト(GPO)
Windows 8/8.1を導入したいのであれば、上述の機能の有効活用を検討してほしい。Windowsの管理者と利用者は、こうしたセキュリティ機能を当たり前のものと考えていることが多い。「セキュリティ侵害を防げたはずが、設定するのを見逃していた」――これは最も回避したい事態だ。多くの場合、Microsoftが用意している機能を使えばサードパーティー製品に余計な費用を掛けずに済ますことができる。
Windowsのアーキテクチャとセキュリティ管理全般の性質を考えると、Windows 8/8.1に存在する以下のセキュリティ脆弱性を把握しておくことをお勧めする。
- ディスク全体の暗号化がデフォルトで無効になっている(これはノート/デスクトップPCのどちらにも絶対に必要な機能だ)
- スクリーンセーバーのタイムアウトがデフォルトで無効になっている(この状況ではディスク全体の暗号化を含む多くのセキュリティ制御の価値がなくなってしまう)
- ローカルユーザーは空のパスワードや脆弱なパスワードを設定できる
- ユーザーが依然として管理者特権を持っている可能性がある(これが企業にとって最大の脆弱性の1つであることは間違いない)
- Windows、「Microsoft Office」などのアプリケーション、サードパーティーのソフトウェア(米Oracleの「Java」や米Adobe Systemsの「Adobe Reader」など)のパッチをユーザー個人の裁量でインストールできる
- Windows Defenderは現在マルウェア保護に関して不十分であることが判明している
最近のOSは、どれも上述のような脆弱性の影響を受けやすい。そのため、これらの脆弱性を知ったところで驚くことはないだろう。Microsoftが耐障害性に優れたOSを開発することは可能だ。だが、Windowsで何か作業をしたいと考えるなら、完全無欠のセキュリティを確保することはできない。また、管理者は日々の業務と複雑な環境で手いっぱいで、本稿で取り上げた基本事項を忘れがちだ。
Windows 8/8.1を正しく管理し、セキュリティリスクを最小限に抑えるには、以下の5つのステップを実行されたい。
関連記事
- 「会社PCの起動が遅い」と思ったら見直したい「Windows」設定
- 「Windows 8.1」なら対応可能、手ごわい「Pass-the-hash」攻撃に備えるには
- Windows 8/8.1が“もっさり”と感じたら試したい高速化テクニック
- 快適な「Windows 8.1」ライフを約束するお役立ちツール5選
ステップ1:インベントリを収集する
「Windows Server Update Services」(WSUS)を使用するか、米GFI Softwareの「LanGuard」や米Rapid7の「Nexpose」などのスキャナーによる脆弱性スキャンを使用して、「Active Directory」で管理しているWindows 8/8.1を搭載したシステムの現在のインベントリを収集する。Windows 8/8.1がどこにインストールされているかを把握していると思っていても、重要なシステムを見落としている可能性はある。インベントリを収集するとWindows 8/8.1デバイスが大量に検出されるだろう。BYODに関連する問題であるという理由でも、単にWindows 8の存在を忘れたいからという理由でも、Windowsに関わるセキュリティリスクを見逃すわけにはいかない。
ステップ2:パッチを適用する
Windows 8/8.1に最新のパッチが適用された状態になっており、未解決の脆弱性が無いことを確認されたい。WSUSでシステムが最新の状態だと表示されていても、重要なアップデートが見過ごされたままになっている可能性はある。
ステップ3:Windows 8/8.1システムと明記する
セキュリティポリシー、手順、文書化した基準にはWindows 8/8.1システムを含める必要がある。少なくともマルウェア保護、パスワード、パッチ適用、システム強化、インシデントレスポンスには、そのような対応が必須だ。また、ネットワークやドメインに接続する全てのWindows 8/8.1を搭載したデスクトップPCとノートPCがGPOを順守するようにされたい。
ステップ4:Microsoftから最新情報を入手する
「Microsoft Security Compliance Manager」ツールの一部であるセキュリティベースラインといった、Windows 8/8.1ベースシステムの保護に関する最新の情報をMicrosoftから入手されたい。米Center for Internet Securityの「Microsoft Windows 8 Benchmark」など、サードパーティーのリソースも役に立つだろう。
ステップ5:定期的に脆弱性スキャンを実行する
ユーザー認証あり/なしの両方で、全てのWindowsシステムで定期的に脆弱性スキャンを実行されたい。認証あり/なしの両方の観点でエンドポイントデバイスを検証すると、Windows 8/8.1の脆弱性の範囲と悪用され得る方法を確認できる。Microsoftや第三者が何を言ったところで、Windows 8/8.1システムが自社のIT環境にもたらす脅威やそれに付随するビジネスリスクはIT管理者にしか分からない。
これらのステップは情報セキュリティ管理の根本的な原則をまとめたものだ。既存のものを把握し、そのリスクの程度を理解して、それから対応する。この作業の繰り返しだ。Windows 8.1システムを運用している間、そのセキュリティを維持できるかどうかはIT管理者の対応に掛かっている。Windows 8.1が無くなることは当分ない。であるならば、自分なりのアプローチ形式を考えてみてはいかがだろうか。
Copyright © ITmedia, Inc. All Rights Reserved.