Windows Vista
Windows Vista の新しいセキュリティ機能を使用してコンピュータを保護する
Justin Harrison
概要:
- Windows セキュリティ センターを使用する
- ユーザー アカウント制御の設定を構成および管理する
- Windows Defender を使用してスパイウェアをスキャンする
数年前、当時、マイクロソフトの会長であり、その後チーフ ソフトウェア アーキテクトとなった Bill Gates は、信頼できるコンピューティングが企業の最重要事項であると社員に通達しました。この通達は、マイクロソフトにおけるソフトウェアの開発方法にさまざまな変化をもたらしました。
Windows Vista™ は、セキュリティ開発ライフサイクル (SDL) ガイドラインに完全準拠して開発された最初のオペレーティング システムです。SDL は、セキュリティに重点を置いた設計プロセスで、セキュリティをソフトウェア設計の中心に持ってくることを目的としています。また、このガイドラインは、すべてのマイクロソフト製品に適用されます (SDL の詳細については、Michael Howard と Steve Lipner の共著『The Security Development Lifecycle』(Microsoft Press®、2006) (英語) を参照してください)。**
Windows Vista には、セキュリティの脅威を積極的に検出して、その脅威から保護する組み込みの新機能または強化機能があります。これらの変更により、Windows Vista は、これまでにリリースされた Windows® の中で最も安全な製品になりました。この記事では、コントロール パネルに追加された新しいセキュリティ アプレットである Windows セキュリティ センター、および Windows Defender、Windows ファイアウォール、ユーザー アカウント制御などの組み込みの保護機能について説明します。
セキュリティ コントロール パネル
Windows Vista のコントロール パネルは、10 個の機能分野に分かれています。セキュリティに関するアプレットの大半は、セキュリティ、プログラム、およびネットワークとインターネットのいずれかの分野に配置されています。セキュリティ アプレットを使用して、Windows Vista に同梱されている多数の新しいセキュリティ テクノロジ (図 1 参照) にアクセスできます。
Figure 1 Windows Vista のセキュリティ テクノロジ
機能 | 説明 |
セキュリティ センター | 更新プログラムを確認したり、セキュリティ状態を確認したり、自動更新を有効にしたり、ファイアウォールの状態を確認したり、スリープ状態から再開するときにパスワードを要求するなどの操作を行います。 |
Windows ファイアウォール | Windows ファイアウォールを有効または無効にしたり、Windows ファイアウォールで許可するプログラムを設定したりします。 |
Windows Update | 自動更新を有効にしたり、更新プログラムを確認したり、インストール済みの更新プログラムを表示したりします。 |
Windows Defender | スパイウェアや他の望ましくないソフトウェアをスキャンします。 |
インターネット オプション | セキュリティの設定を変更したり、Cookie を削除したり、履歴をクリアしたりします。 |
保護者による制限 | 任意のユーザーに対して保護者による制限を設定したり、活動レポートを表示したります。 |
BitLocker ドライブ暗号化 | BitLocker ドライブ暗号化を有効にします。 |
Windows の更新プログラムを確認したり、BitLocker™ ドライブ暗号化を有効にしたり、Cookie を削除したり、履歴をクリアしたり、スリープ状態から再開するときにパスワードの入力ダイアログを表示したりするようにすることができます。
また、セキュリティ アプレットからは、セキュリティ センターに簡単にアクセスできます。セキュリティ センターでは、コンピュータのセキュリティ設定や組み込みの保護機能の状態を一元的に管理および確認できます。
セキュリティの一元管理
Windows XP Service Pack 2 (SP2) でセキュリティ センターが導入されるまで、Windows のすべてのセキュリティ設定に対処するのは困難な作業でした。セキュリティ センターにより、重要な Windows のセキュリティ設定を一元管理できるようになりました。また、Windows Vista では、セキュリティ センターがさらに改良されました。
Windows セキュリティ センターは、バックグラウンドで実行され、図 2 に示すように 4 つの機能カテゴリを積極的に監視します。そのカテゴリは、ファイアウォール、自動更新、マルウェア (ウイルスとスパイウェア) 対策、および他のセキュリティ設定 (インターネット設定とユーザー アカウント制御) です。
図 2** セキュリティ設定を一元管理する **(画像を拡大するには、ここをクリックします)
Windows セキュリティ センターを使用すると、コンピュータのファイアウォールまたはスパイウェア対策ソリューションやウイルス対策ソリューションとして機能しているアプリケーションを確認できます。また、ファイアウォールの状態、自動更新、およびユーザー アカウント制御の設定を確認することもできます。Windows セキュリティ センターは、組み込みの Windows テクノロジだけでなく、サードパーティ製のアプリケーションの状態も監視するという点が特徴です。以下のものが監視対象になります。
- ファイアウォールがインストールされているかどうか、有効になっているかどうか。
- ウイルス対策プログラムがインストールされているかどうか、定義ファイルが最新でリアルタイムのスキャンが有効になっているかどうか。
- スパイウェア対策プログラムがインストールされているかどうか、定義ファイルが最新でリアルタイムのスキャンが有効になっているかどうか。
Windows セキュリティ センターでは、サードパーティ製のウイルス対策アプリケーションやファイアウォール アプリケーションの検出に 2 種類のアプローチを使用しています。手動モードの場合は、ソフトウェアの状態を特定できるレジストリ キーとファイルを検索します。提供ベンダにより利用できるようになっていて、機能の状態を返す Windows Management Instrumentation (WMI) プロバイダも照会します。つまり、ウイルス対策、スパイウェア対策、またはファイアウォールの問題にサードパーティ製のソリューションを使用していても、Windows セキュリティ センターでコンピュータを監視して保護することができます。
Windows セキュリティ センターは、グループ ポリシーで制御できます。ドメイン環境では、Windows セキュリティ センターは既定で無効になっています。Windows セキュリティ センターを有効にするには、[コンピュータの構成]、[管理用テンプレート]、[Windows コンポーネント]、[セキュリティ センター] の順にノードを展開します。セキュリティ センターを有効にするポリシーの名前は "セキュリティ センターをオンにする (ドメイン上のコンピュータのみ)" です。
Windows セキュリティ センターでは、ユーザー アカウント制御の設定とインターネット セキュリティ設定の状態も監視できます。ユーザー アカウント制御により、標準ユーザーとしてコンピュータを管理者ではなく使用することができます。コンピュータを標準ユーザーとして使用すると、コンピュータをより安全に使用することができます。標準ユーザーとして行った変更は、システム全体に影響を与えることはなく、標準ユーザーとしてインストールしたソフトウェアによるダメージがシステム全体に及ぶこともありません。
Windows Vista では、ドメインに参加していないコンピュータを標準ユーザーとして実行しているときに、ソフトウェアでシステム全体に影響する操作を実行する必要がある場合には、管理者のパスワードを求める画面が表示されます。管理者としてコンピュータを実行している場合、Windows Vista では、システム全体に影響する操作を実行する許可を確認するメッセージが表示されます。これにより、管理者は、システム全体に影響する操作であることを認識した上で、操作を実行できます。
ドメイン環境では、ユーザー アカウント制御は、グループ ポリシーで管理されます。コンピュータがドメインに参加していない場合、ユーザー アカウント制御は、ローカル セキュリティ ポリシーで管理されます。ポリシーを設定するには、ローカル セキュリティ ポリシー エディタで、[ローカル ポリシー]、[セキュリティ オプション] の順に展開するか、またはグループ ポリシー エディタで [コンピュータの構成]、[Windows の設定]、[セキュリティの設定] を順に展開します。ローカル セキュリティ ポリシー エディタは、コントロール パネルの [システムとメンテナンス] の [管理ツール] にあります。
図 3 に示すように、Windows セキュリティ センターでは多数のインターネット セキュリティ オプションを監視しています。
Figure 3 インターネット セキュリティ設定
Windows セキュリティ センターでは、次のインターネット設定を監視します。 |
署名済み ActiveX コントロールのダウンロード |
未署名の ActiveX コントロールのダウンロード |
スクリプトを実行しても安全だとマークされていない ActiveX コントロールの初期化とスクリプトの実行 |
デスクトップ項目のインストール |
アプリケーションと安全でないファイルの起動 |
IFRAME のプログラムとファイルの起動 |
ソフトウェア チャンネルのアクセス許可 |
オプションが安全ではない状態になると、インターネット プロパティ ダイアログ ボックスには、"現在のセキュリティ設定では、コンピュータが危険にさらされます。" というメッセージが表示されます。Microsoft Internet Explorer® では、情報バーに "現在のセキュリティ設定では、お使いのコンピュータが危険にさらされています。セキュリティの設定を変更するには、ここをクリックしてください..." というメッセージが表示されます。Windows セキュリティ センターでは、"推奨のセキュリティ設定が使用されていません" というメッセージが表示されます。また、インターネット セキュリティ設定を開くと、安全でない設定が赤色で強調表示されます (図 4 参照)。
図 4** 安全でない設定が強調表示される **(画像を拡大するには、ここをクリックします)
Windows セキュリティ センターでは、安全でないセキュリティ設定をセキュリティで保護された状態に戻すことができます。設定を元に戻すには、[インターネット セキュリティの設定を今すぐ復元します] をクリックします (図 5 参照)。
図 5** 危険がある設定を排除する **(画像を拡大するには、ここをクリックします)
Windows Defender
ルートキット、トロイの木馬、スパイウェアなどの悪意のあるソフトウェアは大きな問題になっています。このようなソフトウェアは、個人情報を危険にさらしたり、コンピュータのパフォーマンスを低下させたり、システムをクラッシュさせたりすることがあります。マイクロソフトは、スパイウェア対策テクノロジを提供してユーザーを保護するため、2004 年に、Giant Software を買収しました。Windows Vista では、この新しいテクノロジが Windows Defender として組み込まれています (Windows Defender は、ダウンロードして Windows XP でも利用することができます)。
Windows Vista のインストール後に、Windows Defender の設定をすぐに変更する必要はありません。Windows Defender は、最大限のセキュリティを提供し、かつ中断時間を最小限に抑える設定になっています。そのため、ユーザーは、コンピュータをセキュリティで保護することではなく、コンピュータを使用することに集中できます。Windows Dender は、起動すると同時にリアルタイム保護を提供します。また、毎晩 2:00 AM ごろに更新されたスパイウェアの定義ファイルがあるかどうかを確認し、更新されたファイルがある場合にはダウンロードします。また、危険性の高い脅威は、すべて自動的に駆除します。Windwos Defender の設定を変更するには、[ツール] をクリックします。
リアルタイム保護では、Windows Defender が、常時、コンピュータ上で疑わしい動作がないかどうかを注意深く監視しています。Windows Defender では、図 6 に示す 9 つのセキュリティ エージェントを使用して、典型的なスパイウェアの動作をしているアプリケーションについて、システムのさまざまな部分を監視しています。これらの Windows Defender セキュリティ エージェントは、ほぼすべての一般的なスパイウェアのエントリ ポイントを監視しています。
Figure 6 Windows Defender のセキュリティ エージェント
エージェント | 監視対象 |
Internet Explorer の構成 | ブラウザのセキュリティ設定。 |
Internet Explorer のダウンロード | ActiveX コントロールやソフトウェア インストール アプリケーションなど、Internet Explorer と連動するアプリケーション。 |
Internet Explorer のアドオン (ブラウザ ヘルパー オブジェクト) | Internet Explorer の起動時に自動的に実行されるアプリケーション。 |
自動的に開始 | Windows の起動時に起動されるアプリケーション (これには、レジストリや Windows のスタートアップ フォルダによって起動されるアプリケーションも含まれます)。 |
システム構成 | Windows のセキュリティ関連の設定。 |
サービスとドライバ | Windows やアプリケーションと連動しているサービスとドライバ。 |
Windows のアドオン | Windows と統合されたソフトウェア ユーティリティ。 |
アプリケーションの実行 | アプリケーションの起動時とその実行状況。 |
アプリケーションの登録 (API フック) | アプリケーションが入り込んで実行できるオペレーティング システムのファイルおよびツール。 |
脅威に対応する
Windows Defender では、望ましくないソフトウェアや疑わしい動作を検出したときに警告を表示します。無害な (警告レベルが低) の変更が発生すると、Windows Defender では、システム トレイに感嘆符のマークを表示して、そのことをユーザーに通知します。より危険度が高い (警告レベルが中または高) 脅威が発生した場合、Windows Defender では、警告レベルに応じて図 7 に示すような黄色または赤色のダイアログ ボックスを表示します。このような脅威には、すぐに対応する必要があります。
図 7** 危険度の高い脅威を表す赤色のウィンドウ **(画像を拡大するには、ここをクリックします)
Windows Defender で実行されたすべての操作は、システム イベント ログに記録されます (イベントのソースは Windows Defender になります)。イベント ログに記録される操作には、定義ファイルの更新、スパイウェアのスキャンや駆除などがあります。
Windows Defender による脅威の警告は高度な機能を備えているので、表示された警告メッセージから操作を行えます。複数の警告が表示されることもあり、そのような場合は、警告ダイアログ ボックスで、[すべて削除] をクリックして、すべての脅威に対応することができます。不明な脅威であるのか、実行を許可されている既知のソフトウェアであるのかに応じて、脅威の警告の動作を変えることができます。脅威の警告を構成するには、Windows Defender を開いて、[ツール] をクリックし、[オプション] をクリックします。[リアルタイム保護のオプション] までスクロールし、危険度が分類されていないソフトウェアや、コンピュータで実行が許可されているソフトウェアがコンピュータに加えた変更についてのみ通知を表示するように Windows Defender を構成できます。
作成したアプリケーションや使用しているアプリケーションが Windows Defender で適切に分類されない場合は、microsoft.com/athome/security/spyware/software/isv/cdform.aspx (英語) で異議申し立てを行えます。また、アプリケーションがスパイウェアとして誤認される場合は、microsoft.com/athome/security/spyware/software/isv/fpform.aspx (英語)で誤認識についての情報を提供できます。
オンデマンドの保護
Windows Defender では、望ましくないソフトウェアを注意深く監視していますが、必要なときにスパイウェアのスキャンを開始することができます。Windows Defender では、次の 3 種類のスキャンが用意されています。
- クイックスキャン - スパイウェアに感染する可能性が最も高い部分をスキャンします。
- フル スキャン - ハードディスク上のすべてのファイル、実行中のアプリケーション、レジストリなどをスキャンします。
- カスタム スキャン - 特定のファイルやフォルダをスキャンできます。カスタム スキャンを開始すると、クイック スキャンも自動的に実行されます。
スキャンを開始するには、Windows Defender を起動し、[スキャン] ボタンの隣にある下矢印をクリックし、開始するスキャンの種類を選択します (図 8 参照)。
図 8** スキャンの種類を選択する **(画像を拡大するには、ここをクリックします)
Windows Defender で、スキャンの実行中に脅威が検出されると、その脅威の説明と、その脅威を解決するために実行できる操作が表示されます。既定では、推奨の操作が表示されます。複数の脅威が検出された場合は、対応を選択し、[操作を適用する] をクリックして、検出された項目に操作を適用するか、または [すべて削除] をクリックして、すべての脅威を駆除することができます。実行できる操作には、次のようなものがあります。
- 削除 - システムから脅威を完全に削除します。
- 無視 - 脅威を無視します。次にスキャンを実行すると、Windows Defender では、この脅威が再度検出されます。
- 検疫 - 一時的に脅威を無効にします。この操作は、脅威を駆除することで、システムにマイナスの影響が出ないかどうかをテストする場合に使用できます。一時的に無効にした脅威は、Windows Defender からいつでも復元できます。
- 常に許可 - この脅威を許可されている項目の一覧に追加して、この脅威が検出されないようにします。許可されている項目の一覧から項目を削除するには、Windows Defender で [ツール] をクリックし、[オプション] をクリックします。
ネットワークへの侵入を防ぐ
Windows Vista の Windows ファイアウォールは、Windows XP の Windows ファイアウォールの改善版で、双方向に通信できるステートフルなファイアウォールです。Windows Vista の Windows ファイアウォールでは、着信トラフィックと発信トラフィックの両方をフィルタ処理します。また、次のものに対して規則を構成できます。
- Active Directory のアカウントとグループ
- IP プロトコル番号
- 特定の種類のインターフェイス
- サービス
- 種類別またはコード別の ICMP および ICMPv6
- 送信元 IP アドレスと送信先 IP アドレス
- すべての TCP ポートまたは UDP ポート、あるいは特定のポート
Windows Vista では、例外リストを使用して、特定のプログラムがネットワークにアクセスできるようにしたり、トラフィックを拒否したりすることができます。例外リストにアクセスするには、[スタート] ボタンをクリックし、[コントロール パネル] をクリックします。次に、[セキュリティ] をクリックし、[Windows ファイアウォールによるプログラムの許可] をクリックします。
既定では、Windows ファイアウォールは、すべての着信トラフィックをブロックし、すべての発信トラフィックを許可します。ただし、必要であるか規則に一致する着信トラフィックと規則に一致する発信トラフィックは除きます。
Windows Vista には、"セキュリティが強化された Windows ファイアウォール" (図 9 参照) という名前の新しい Microsoft 管理コンソール (MMC) スナップインが同梱されています。このスナップインを使用すると、管理者はリモート コンピュータで Windows ファイアウォールの設定を構成できます。この新しいスナップインにアクセスするには、コントロール パネルで、[システムとメンテナンス] をクリックし、[管理ツール] をクリックして、[セキュリティが強化された Windows ファイアウォール] をクリックします。
図 9** ネットワークの脅威からコンピュータを保護するセキュリティの詳細設定を構成する **(画像を拡大するには、ここをクリックします)
グループ ポリシー エディタで、[コンピュータの構成]、[Windows の設定]、[セキュリティの設定]、[セキュリティが強化された Windows ファイアウォール] を順に展開して、規則を追加することもできます。また、netsh advfirewall を使用してコマンド ラインから新しいセキュリティの詳細設定を構成することもできます。
Windows Vista では、新しいネットワークに接続するたびに、そのネットワーク専用のプロファイルが作成されます。ネットワークに再接続すると、Windows Vista では、そのプロファイルに保存されている設定を使用します。新しいネットワークに接続すると、まず、そのネットワークがパブリック ネットワークであるのか、またはプライベート ネットワークであるのかを確認するメッセージが表示されます。これにより、構成や規則に対して Windows ファイアウォールで読み込むプロファイルが特定されます。プロファイルを編集するには、セキュリティが強化された Windows ファイアウォール スナップインで、[プロパティ] をクリックし、[プライベート プロファイル] タブまたは [パブリック プロファイル] タブのどちらかをクリックします (図 10 参照)。
ネットワークに接続後、ネットワークと共有センターで、ネットワークと関連付けられているプロファイルを変更することもできます。これを行うには、コントロール パネルの [ネットワークとインターネット] をクリックし、[ネットワークと共有センター] をクリックします。ネットワークのプロファイルを変更するには、接続先ネットワーク名の隣にある [カスタマイズ] をクリックします。
図 10** ネットワークの種類に応じてセキュリティ設定をカスタマイズする **(画像を拡大するには、ここをクリックします)
まとめ
Windows Vista は、数年前に信頼できるコンピューティング活動が発表されてから、初めてリリースされたオペレーティング システムです。セキュリティ開発ライフサイクル ガイドラインに基づいて開発され、Windows Defender、Windows ファイアウォール、ユーザー アカウント制御などの組み込みの保護機能を備えている Windows Vista では、スタンドアロン システムとしても、ドメインに参加するコンピュータとしても、他に例を見ない強力な保護機能が提供されています。Windows セキュリティ センター、Windows ファイアウォール、およびユーザー アカウント制御は、すべてグループ ポリシーで構成することが可能です。そのため、これらの機能は、ドメイン環境で効果的に展開することも、個人のコンピュータのローカルで好きなように構成することもできます。
SpyNet コミュニティ
セキュリティの脅威は絶えず変化しているため、コンピュータが遭遇するすべてのセキュリティの脅威に対処するには、毎日、最新の更新プログラムを適用しても十分ではないことがあります。スパイウェアの定義ファイルを更新するだけではなく、マイクロソフトでは、スパイウェアに関する情報を共有するためのオンライン グループ "SpyNet コミュニティ" を開設しました。
SpyNet コミュニティは、Windows Defender ユーザーが見つけたスパイウェアをマイクロソフトに報告する世界規模のボランティア コミュニティです。このコミュニティに参加するユーザーは、今後スパイウェアとして分類される可能性がある疑わしいアプリケーションを特定する上で重要な役割を果たします。また、新しい脅威を早い段階で見つけて、すべての Windows Defender ユーザーが、より手厚い保護を受けられるようにすることにも一役買っています。
SpyNet コミュニティへの参加はオプトインです。このコミュニティに参加するには、明示的な意思表示をする必要があります。このコミュニティに参加しないという選択肢もありますが、その場合は、SpyNet コミュニティで報告されたスパイウェアに関する情報を受け取ることはできません。コンピュータで不明なまたは望ましくないソフトウェアが検出されても、そのことは通知されません。ただし、このような不明なまたは望ましくないソフトウェアは、スパイウェア定義ファイルの定期更新で分類される可能性はあります。
このコミュニティに参加する場合、次の 2 種類のレベルのメンバシップを選択できます。
上級メンバシップ 。参加者は、不明なソフトウェアと実行した操作についての情報をマイクロソフトに送信します。上級メンバシップを持つ参加者は、安全でない可能性がある不明なソフトウェアについても警告が表示されます。個人情報が送信される可能性がありますが、その情報を使用してマイクロソフトから連絡することはありません。
上級メンバシップを持つ参加者は、他の上級メンバシップを持つ参加者が、同じ脅威について、どのように対処したのかを示す削除に関する統計を参照できます。この情報は、現時点で、望ましくない不明なソフトウェアは危険であるのかどうかを判断するのに役立ちます。たとえば、インターネットで新しく配布されたアプリケーションをインストールしたとします。Windows Defender で、このアプリケーションが疑わしいものとして検出された場合、上級ユーザーは、そのアプリケーションを SpyNet コミュニティに報告して、削除する可能性があります。SpyNet コミュニティでは、何人の上級ユーザーが報告をして、削除したのかという情報も提供するため、この情報を使用して、疑わしいアプリケーションが検出された場合の対処方法をより適切に判断できます。
基本メンバシップ 。疑わしいソフトウェアに関する基本的な情報がマイクロソフトに送信されます。個人情報が送信される可能性がありますが、その情報を使用してマイクロソフトから連絡することはありません。基本メンバシップを持つ参加者は、不明なソフトウェアについての警告は表示されません。
SpyNet コミュニティに参加するには、Windows Defender を起動し、[ツール] をクリックし、[Microsoft SpyNet] をクリックします。
Justin HarrisonJustin Harrison (justin@harrison.org) は、Windows セキュリティ、デジタル メディア テクノロジ、およびデジタル ドキュメントの専門家です。彼は GE Energy、マイクロソフトの Digital Documents チームと Casual Games チームで働いていた経験があります。
© 2008 Microsoft Corporation and CMP Media, LLC. All rights reserved; 許可なしに一部または全体を複製することは禁止されています.