3月30日、マイクロソフトから、Windows XP Service Pack2のプレビュープログラム(RC1)が開発者向けに公開された。主にセキュリティ関連の不具合修正が図られているが、インターネット接続ファイアウォールやワイヤレスネットワークなどのブロードバンド系機能も強化されている。SP2で何が変わるのか、今回と次回の2回に分けて検証していこう。
■ セキュリティ関連の機能強化が中心
今回のSP2は、どちらかと言うとWindows XPの「マイナーバージョンアップ」に近い印象だ。これまでのService Packは、Windows Updateの修正モジュールをひとつにまとめたセキュリティパッチという印象だったが、今回はこれらに加えて、新機能というほどではないにしろ、目新しい機能がいくつか追加されている。
なかでも特徴的なのは「セキュリティセンター」だろう。昨今、セキュリティ関連の話題が取り上げられる機会も多くなり、その対策に注目が集まっているが、いよいよOS側で本腰を入れた対策がなされるようになった。それが、このセキュリティセンターだ。
セキュリティセンターは、いわばWindows XPのセキュリティを統括する集中管理機能といったところだ。SP2のインストール直後にこの画面が表示され、「ファイアウォール」、「自動更新」、「ウイルス保護(ウイルスを保護するようで妙な名称だが……)」の3項目について、現在の状況が調査され、その状況が画面に表示される。
そして、これらの対策がきちんとなされていない場合は、「コンピュータが危険にさらされています」というメッセージが表示され、その対策を求められる。さすがに「危険」という強い意味合いのメッセージが表示されると、少々ドキッとさせられるものだ。このメッセージを無視して、PCを使い続けるには勇気がいるかもしれない。
|
SP2で新たに追加されたセキュリティセンター。「ファイアウォール」「自動更新」「ウイルス保護」の3項目について対策状況がチェックされ、対策がメッセージとして表示される
|
しかも、この機能は結構「頑固」で、きちんとした対策がなされるまで、通知領域から危険を示すアイコンが消えないようになっている。もちろん、ファイアウォールをオンにしたり、セキュリティ対策ソフトをインストールすればいいのだが、困ったことに、必ずしもアイコンが消えてくれないケースもある。
たとえば、「Norton Internet Security 2003」のように、古いバージョンの対策ソフトをインストールした場合がそうだ。どうやらSP2のセキュリティセンターが認識できるアプリケーションは限られているようで、きちんと認識されず、「状態が不明」と表示されてしまう。この「状態が不明」というのは、扱いとしてはファイアウォールがオフだったり、ウイルス対策ソフトが未導入の場合と同じであるため、やはり同様にメッセージが表示され、対策が求められてしまう。つまり、SP2に本当に安全だと信じてもらうには、最新のウイルス対策ソフトなり、ファイアウォールソフトをインストールしなければならないわけだ。
|
古いバージョンのセキュリティ対策ソフトの場合、その状態を正確に把握できないこともある
|
もちろん、セキュリティ対策は、もはや個人の安心を得るためのものというレベルを超え、PC社会に携わるユーザーの義務とまで言えるものになっている。それを徹底してユーザーに意識させようというのが、今回のSP2のねらいなのだろう。これまで、マイクロソフトがセキュリティ対策にいかに苦慮してきたかが、容易にうかがえるものだ。
このほか、SP2では、累積された修正モジュールの適用、メモリの保護機能の強化(Blaster対策)などもなされているが、やはり中心となるのは、セキュリティセンターに代表されるセキュリティ機能だ。それでは、その中身をもう少し、詳しく見ていこう。
■ 使いやすくなったインターネット接続ファイアウォール
セキュリティ関連の機能で、ブロードバンドに関係するのは、インターネット接続ファイアウォール(ICF)と自動更新の2つだろう。
まず、ICFだが、これは機能が強化されたというより、使いやすくなったという印象だ。SP2以前のWindows XPでもICFを利用することはできた。しかし、これを真面目に使っていたユーザーはそれほど多くないだろう。従来のICFは、選択肢のわかりにくい「新しい接続ウィザード」を使うか、オプションで手動で設定する必要があった。しかも、設定によってはファイル共有ができなくなったり、アプリケーションによってはポートを手動で開けなければならないという初心者泣かせの機能でしかなかった。
しかし、SP2のICFは、これらの欠点が大きく改善されている。前述したセキュリティセンターから「ファイアウォール」の項目で対策案を表示し、「今すぐ有効にする」というボタンをクリックすると、Windows XPに登録されている全接続先(LANインターフェイスや無線LANなども含む)に自動的にICFが設定される。このように、設定自体が実に簡単にできるように改善された。
|
機能強化され、使いやすくなったインターネット接続ファイアウォール。オプションで設定しない限り、LANを含むすべての接続先で自動的にオンになる
|
また、市販のファイアウォールソフトのように、アプリケーションごとに細かく通信を制御することも可能になった。たとえば、ICFを設定した状態で、MSN Messengerなどを起動すると、それをICFが検知し、必要なポートを開けるか? 開けるとすれば一時的か? 恒久的か? といったことを設定するダイアログボックスが表示される。アプリケーションごとに手動で、しかも静的にポートを開放しなけれならなかった従来のICFとは大違いだ。
|
起動したアプリケーションをブロックするか、通過させるかをその都度設定可能。ポートを静的にコントロールする必要がなくなった
|
簡単になったのは良いが、「LANインターフェイスに設定されては困る」と思う人も多いことだろう。なぜなら、前述したように、従来のICFはLANインターフェイスに適用することで、ファイル共有が不可能になることがあったからだ。しかし、SP2のICFでは、この心配は不要だ。おそらく、マイクロソフトにこの点に関するフィードバックが多数あったのだろう。新しいICFでは、標準で「ファイルとプリンタの共有」、「リモートアシスタンス」の2つのアプリケーション(機能)のポートが解放されるように設定されており、ICFを適用してもファイルやプリンタの共有は問題なくできるようになっている。
また、この設定が逆にセキュリティ上の問題になってしまう危険性も低い。SP2のICFでは、「スコープ」という新しい考え方が導入されており、どのネットワークに対してポートを開放するかを設定可能になった。具体的には、前述した「ファイルとプリンタ共有」であれば、該当するポート(TCP 139/445、UDP137/138)はローカルサブネットに対してしか開放されない設定になっている。つまり、インターネットなどの外部ネットワークとの間の通信だけは遮断し、LAN上のPCとは通信可能にするということが可能になったわけだ。
|
ファイル共有とリモートアシスタンスについては、標準で通過させる設定がなされている。これにより、ICFをオンにしてもLAN内でのファイル共有は可能となる
|
|
スコープの設定によって、ポートを開放する範囲を設定可能。ファイル共有などは標準でサブネットのみの設定になっている
|
スコープは自由に変更することが可能になっており、アプリケーションごとに、「任意のコンピュータ(インターネット上のコンピュータを含む)」、「ユーザーのネットワーク(サブネット)のみ」、「カスタムの一覧(アドレス指定)」の3種類を設定することができる。大規模なネットワークではサブネットをまたがったファイル共有などをしなければならないことがあるが、こういった場合でも対応できるような配慮がなされたことになる。
■ ICF効果を試してみる
このように、SP2のICFは、市販のファイアウォールソフトに近い機能を持ったことになる。となると、気になるのはICFと市販のファイアウォールソフト、もしくはルータと比べて、その実力はどうかという点だろう。この点をテストするために、シマンテックがインターネット上で提供しているセキュリティチェックを実行してみた。その結果が以下の表だ。
テスト項目 |
SP1 |
SP2 |
ICF |
なし |
ICF |
NIS2003 |
ヤマハ
RT57i |
対ハッカー露出度チェック |
○ |
× |
× |
○ |
× |
Windows脆弱性チェック |
○ |
○ |
○ |
○ |
○ |
トロイの木馬チェック |
○ |
× |
○ |
○ |
○ |
ポートの状態 |
ICMP |
Stealth |
Open |
Open |
Stealth |
Open |
21 |
Stealth |
Closed |
Stealth |
Stealth |
Closed |
22 |
Stealth |
Closed |
Stealth |
Stealth |
Closed |
23 |
Stealth |
Closed |
Stealth |
Stealth |
Closed |
25 |
Stealth |
Closed |
Stealth |
Stealth |
Closed |
79 |
Stealth |
Closed |
Stealth |
Stealth |
Closed |
80 |
Stealth |
Closed |
Stealth |
Stealth |
Closed |
110 |
Stealth |
Closed |
Stealth |
Stealth |
Closed |
113 |
Stealth |
Closed |
Stealth |
Stealth |
Closed |
119 |
Stealth |
Closed |
Stealth |
Stealth |
Closed |
135 |
Stealth |
Open |
Stealth |
Stealth |
Closed |
139 |
Stealth |
Closed |
Stealth |
Stealth |
Closed |
143 |
Stealth |
Closed |
Stealth |
Stealth |
Closed |
443 |
Stealth |
Closed |
Stealth |
Stealth |
Closed |
445 |
Stealth |
Open |
Open |
Stealth |
Closed |
1080 |
Stealth |
Closed |
Stealth |
Stealth |
Stealth |
1723 |
Stealth |
Closed |
Stealth |
Stealth |
Open |
5000 |
Stealth |
Closed |
Stealth |
Stealth |
Stealth |
5631 |
Stealth |
Closed |
Stealth |
Stealth |
Stealth |
トロイの木馬
チェック詳細 |
1026 |
Stealth |
Open |
Stealth |
Stealth |
Stealth |
1027 |
Stealth |
Open |
Stealth |
Stealth |
Stealth |
※○=安全、×=危険 |
※NIS2003=Norton Internet Security 2003の略 |
※Open=開放、Closed=遮断、Stealth=ポート自体を隠蔽(OpenかClosedかの反応も返さない) |
※筆者宅ではヤマハ RT57iでPPTP接続を設定していたため1723がOpenになっているが、標準ではOpenにはならない |
|
シマンテック・セキュリティチェックでICFの実力を検証。ルータ以外は回線にPCを直結(Bフレッツ)して、テストを実施している
|
テスト結果とポートスキャンの結果を見る限り、SP2のICFでも悪くはない結果が得られた。さすがに市販のファイアウォールソフトほど万全の対策ではないが、ICF無効の状態とSP1以前のICFの中間的となっており、ルータを利用している場合に近い結果となっている。ICFのオプション設定でICMPも遮断してしまえば、ほぼ市販のファイアウォールソフトに匹敵する結果と言えそうだ。
もちろん、市販のファイアウォールソフトやルータにはさらに付加的な機能があるため、これだけで単純に比較するわけにはいかない。特にルータの場合は、NATやIPマスカレードを使うことで、LAN内のPCを外部から直接アクセスできないようにしている。前述したセキュリティ・チェックの結果も、OpenやClosedと判断されているのはPCのポートではなく、ルーターのポートであり、PCが直接チェックされているわけではない。
しかし、OS標準の機能で、ここまで外部からのアクセスを遮断できれば、一般的な脅威からは十分にPCを保護することができると考えて良いだろう。また、SP1のICFの機能を強化し、より使いやすくなったのは歓迎すべきことだろう。もちろん、これだけでセキュリティ対策が万全だとは言えないが、少なくとも、何の対策もしていない状態、もしくはSP1のICFを使うよりははるかにマシだ。
なお、SP2のICFでは、ファイル共有用のポート(TCP 139/445、UDP137/138)が「Stealth」になっているが、この状態でもLAN上でのファイル共有は問題なくできる。前述したようにローカルサブネットに限定しているため、インターネット側からの通信のみを遮断しているからだ。
■ 意識せずにアップデートできる自動更新
続いて、注目したいのは「自動更新」機能が標準設定になったことだ。SP1以前のWindows XPでも自動更新によって、OSを最新の状態に保つことができたが、SP2の自動更新は、これをさらに一歩進めている。
従来の自動更新の欠点は、標準設定の場合は重要な更新がダウンロードされたとしても、それが通知されるだけであった点だ。もちろん、通知に従って素直にインストールできるユーザーは、それでもいい。しかし、自動更新がどのような機能なのかを知らない、もしくは機能自体を意識していないユーザーによっては、そのメッセージを無視することも少なくなかった。筆者のまわりにもそういったユーザーが数多くおり、ことあるごとにインストールの必要性を説いて回ったものだ。
これに対して、SP2の自動更新では、ダウンロードした更新を指定した時間にインストールするよう標準で設定されている。インストールが実行される時間が標準で午前3時に設定されているのは、いかがなものかと思うが、これを変更しておけば昼休みなどに自動的に更新をインストールすることが可能になる。
|
指定した時間での自動インストールが標準に設定された。標準設定では午前3時にインストールされるように設定されている
|
|
自動インストールの状況はバルーンで表示される。もちろん、以前のように通知されたメッセージから手動でインストールすることも可能
|
マイクロソフトとしては、とにかくユーザーに重要な更新をインストールさせ、セキュリティホールを無くしておきたいのだろう。その徹底ぶりがうかがえるのが、シャットダウン時にも更新を自動的に適用するようにしている点だ。前述の時刻設定では、その時間にPCが起動していなければ、更新をダウンロードしていてもインストールはされない。SP2ではダウンロードされた更新がある場合、シャットダウン時にも重要な更新がインストールされるようにしている。
マイクロソフトとしては、ユーザーを信用することをあきらめたのかもしれない。世の中のユーザーが、定期的にWindows Updateを実行して、自動更新の通知がされる前に更新を適用するという人ばかりなら、ここまで徹底してアップデートさせるための仕組みを用意する必要はない。残念ながら、世の中にはアップデートを適用しない人の方が多く、その結果ウイルスや不正アクセスの拡大を招いてしまった。それであれば、ユーザーはアップデートをしないものだという前提に立って、あれやこれやと対策を施す以外に仕方がない。前述したセキュリティセンターの徹底ぶりと言い、マイクロソフトがSP2にかけるセキュリティ対策の意気込みが感じられるところだ。
以上、今回は主にセキュリティセンター、ICF、自動更新の3つの機能について検証してみた。次回は、これ以外の機能の詳細についても解説する予定だ。
■ URL
Windows XP Service Pack 2 プレビュープログラム
http://www.microsoft.com/japan/technet/prodtechnol/winxppro/sp2preview.mspx
関連記事:マイクロソフト、Windows XP SP2 RC1をリリース[INTERNET Watch]
http://internet.watch.impress.co.jp/cda/news/2004/03/30/2604.html
2004/04/20 11:12
|