Enterprise Watch
最新ニュース

マイクロソフト古川氏、Windows XP SP2やSUS 2.0のセキュアな機能を紹介

~Security Summit 2004

米Microsoft Corporation バイスプレジデント、マイクロソフト株式会社 執行役 最高技術責任者 古川 享氏
 マイクロソフト株式会社は3月8日、セキュリティ関連イベント「Security Summit 2004」を開催し、「マイクロソフトのセキュリティに関する新たな取り組み・最新技術の全体像について」をテーマに米Microsoft Corporation バイスプレジデント、マイクロソフト株式会社 執行役 最高技術責任者 古川 享氏が講演を行った。

 主に同氏はすでに提供されている分析ツール「Microsoft Baseline Security Analyzer(MBSA) 1.2」、2004年上半期に提供予定のパッチ展開ツール「Software Update Service(SUS) 2.0」、「Windows XP Service Pack 2(SP2)」それぞれの詳細について述べた。これらはすべて無償で提供される。


ネットワーク内PCのパッチ適用状況を分析する「MBSA 1.2」

 MBSA 1.2は、「基本的に必要最低限のセキュリティ構成を確保するもの」としての位置づけで、ネットワーク内のPCをスキャンし、セキュリティ構成の誤りやセキュリティパッチの適用状況を判別するツール。スキャン対象PCはIPの範囲やドメインでの選択が可能なため、事実上無制限となる。対象OSはNT 4.0/2000/XP/Server 2003。IEやIIS、SQL Serverの脆弱性、認証パスワードの強度も分析することが可能だ。評価はアイコンで色分けされ、多くの項目から問題をひと目で判別できる。操作はGUIのほか、管理者用のコマンドラインからも行える。


ドメインかIPで対象を選択。IISやSQL Serverの脆弱性もチェックできる 分析結果はアイコン表示でき、問題のある個所は赤で示される

セキュリティパッチを配布・適用するSUS

 MBSA 1.2で行えるのは検査のみで、実際のパッチ適用をすることはできない。SUSはこれを適用するツールとなる。そして従来のSUS 1.0 SP1では、「パッチの実行ファイルをサーバーへダウンロードし、クライアントは管理者が承認したプログラムのみWindows Updateから適用できる」ものだった。これにクライアント側の自動更新機能を利用することで、深夜になどにパッチを適用することが可能だった。

 SUS 2.0では、Windows UpdateのMicrosoft Updateへの変更に伴い、OSのほかOffice、MSDEを含むSQL Server、Exchange Serverへもパッチ適用が行える。また更新プログラム種別や重要度、製品別、OS別に、プログラムのダウンロードや適用スケジュールを設定できるサブスクリプション機能により、「更新プログラム管理が容易になり、ネットワークトラフィックも最適化できる」という。また将来的には「自社開発アプリケーションでの利用も可能になる可能性がある」という。

 またクライアントを「組織の部門や利用アプリケーション別など」任意の設定でグループできる機能も新たに搭載した。「グループ内でのOS混在も可能」とのことで、グループに対しては特定の更新割り当てや期日指定も行えるなどのきめ細かい管理か可能だ。このほか配布先での適用状況を確認できるレポート機能も備える。提供時期は「Windows XP SP2と同時期」で、評価版は春ごろ配布の予定。


OS、製品別に適用内容を設定できるサブスクリプション機能 グルーピングの画面。OSでのソート、複数一括登録も可能だ

セキュリティ機能が強化された「Windows XP SP2」

 続いて同氏は、Windows XP SP2での新機能を紹介。従来からWindows XPの持つICF(Internet Connection Firewall)について、名称を「Windows Firewall」へ変更するとともに機能を強化している。

 まず以前からのアナウンス通り、「デフォルト設定で有効になっている」という。これに伴って問題となる、ネットワークアプリケーションの互換性については、「ポートのパケット通過を監視して、利用を許可するアプリケーションについてユーザーに問い合わせを行いリスト化する」機能が追加された。当日はWindows Messengerでのデモが行われ、アプリケーション起動と同時に、インターネット接続の可否を問い合わせるダイアログが現れた。

 説明を行ったマイクロソフト セキュリティ戦略グループの吉川氏によれば、「使っていることをユーザーが認知できるのが重要」とのことで、Active Directoryのグループポリシーを用いることで、「管理者が企業内で許可アプリケーションのリストを管理し、個人が変更できない」ようにすることも可能だという。また有効と無効の設定のほか、主にモバイルによる外出先での利用時を想定し、よりセキュアな設定となる「例外を許可しない」選択項目も追加されている。

 また新機能となる「セキュリティセンター」では、Windows Updateの自動更新設定やアンチウイルス設定を無効化している際などに、バルーンでユーザーへ警告を行う。また従来わかりにくいとされていたこれらの機能設定を一元化し、ワンボタンで機能を有効にできる機能も備える。このほかモバイル利用時に別のプロファイルにより管理を行い、ドメイン参加時にはグループポリシーでの管理を行うプロファイルに自動で切り替えることも可能となっている。


XP SP2の「Windows Firewall」では、ポートではなくアプリケーションレベルの設定が可能だ 新たに搭載される「セキュリティセンター」では、不適切な設定をユーザーに警告する機能を備える セキュリティ関連の設定を集約し、それぞれワンボタンで設定を有効化できる

Windows Server 2003 SP1は2004年下半期に

 2004年下半期に提供予定のWindows Server 2003 SP1では、ウィザードによりサーバーの役割に応じたセキュリティ設定が可能になるほか、リモート接続クライアントや社内ローカルPCへの検閲機能を備えるという。

 このほかバッファーオーバーランを削減するための方策として同氏は、「アプリケーション開発時に、コンパイラにスタックオーバーフロー削減のチェック機能を持つ、コマンドラインの「/GS」オプションを追加する」ほか、ハードウェアでヒープオーバーランを防止するなどのメモリ保護機能の向上がなされるとした。

 さらに将来的には、ハードウエアと組み合わせたCPUとメモリ間のバスラインで暗号化を行うNext-Generation Secure Computing Base(NGSCB)のようなセキュリティ技術のような「抜本的解決により、真のセキュアな環境を整える」ことを目指すと語った。



URL
  マイクロソフト株式会社
  http://www.microsoft.com/japan/
  Security Summit 2004
  http://www.microsoft.com/japan/events/security/

関連記事
  ・ マイクロソフト東氏「何層もの防壁で攻撃に耐える多層防御の考えが必要」(2004/03/09)
  ・ マイクロソフト奥天氏「セキュアな端末のみアクセスできるWindows Server 2003 SP1を2004年上半期に提供」(2003/11/12)


( 岩崎 宰守 )
2004/03/09 12:04

Enterprise Watch ホームページ
Copyright (c) 2004 Impress Corporation All rights reserved.