IT化が進んだことによって便利になった一方、従来なかったセキュリティリスクも生まれています。技術評論社では、こうした脅威への対抗策をまとめたムック「セキュリティExpert」を9月上旬に発行予定です。本連載ではそのムックに先駆け、最新のセキュリティ動向やソリューションをご紹介していきます。第1回は今年秋~冬にかけての発売が予想されているWindows 7のセキュリティ機能について解説します。
セキュリティ機能も強化したWindows 7
Windows 7のRC版が公開されて2ヵ月が経ち、すでにダウンロードして使われている方も多いのではないでしょうか。Windows 7は以前のVistaと比べてさまざまな改良が施されていますが、多くのユーザが注目しているセキュリティ面でもいくつかの機能強化が図られました。そこで前後編に分けて、Windows 7のセキュリティ機能をチェックしていきます。
まず前編では、Windows Vistaで追加されたセキュリティ機能である「ユーザーアカウント制御(UAC) 」がどのように改良されたのか、またドライブの暗号化機能である「BitLocker」の強化点を解説します。
安全性を高めた一方、使い勝手で難のあったUAC機能を改良
UACの機能は、システムやプログラムの不正な書き換えを防ぐことを目的としてWindows Vistaから搭載され、これに合わせてユーザの権限の管理の仕組みも変更されています。具体的には、管理者権限を持つユーザであっても通常は制限付きの一般ユーザとしてプログラムなどを実行し、必要に応じて管理者権限に昇格するという考え方です。
ただ、ユーザの承認なしに管理者権限に昇格できると、悪意のあるプログラムなどでも管理者権限を利用できることになりかねません。そこでシステムの設定の変更やプログラムのインストールなど、管理者権限に昇格する必要がある場面ではダイアログを表示してユーザの確認を求める仕組みとなっています。
こうして新たなセキュリティ対策としてWindows Vistaから搭載されたUAC機能ですが、あまりにも頻繁にダイアログにより確認が求められるため、セキュリティのためとは言えユーザの使い勝手をスポイルしてしまった面がありました。これによってUACの機能を無効にされてしまうと、せっかくのセキュリティ対策も無意味となってしまいます。そこでWindows 7では単純なオン/オフではなく、4段階のレベルで調整できるようにすることで、使い勝手を改善させています。
UACの機能を4段階で調整可能
設定を行うには、「 コントロールパネル」の「システムとセキュリティ」をクリックし、「 ユーザーアカウント制御の設定」をクリックします。この画面でスライダーを動かし、UAC機能のレベルを設定します。用意されているレベルは、以下の4段階です。
常に通知する
システム上の設定の変更やアプリケーションのインストール時など、管理者権限への昇格が必要な場面ではすべてダイアログを表示します。Windows VistaでUAC機能を有効にしている場合と同じ動作です。
プログラムがコンピューターに変更を加えようとする場合のみ通知する
プログラムのインストール時などでは、「 常に通知する」と同様に管理者権限への昇格を求めるダイアログが表示されますが、ユーザ自身の操作によるシステムの設定の変更などではダイアログは表示されません。この設定がデフォルトになっています。
プログラムがコンピューターに変更を加えようとする場合のみ通知する(デスクトップを暗転しない)
基本的には上記の「プログラムがコンピューターに変更を加えようとする場合のみ通知する」と同様です。UAC機能でダイアログが表示される際、通常はダイアログ以外の画面領域が暗転するようになっており、ダイアログ上のボタンを押す以外の操作はできなくなりますが、この設定では画面は暗転せず、ほかのアプリケーションを操作することが可能になります。
通知しない
UACの機能が無効となり、すべての操作において管理者権限の昇格を求めるダイアログは表示されません。
Windows 7の「ユーザーアカウント制御(UAC) 」の設定画面。スライダーでレベルを設定することが可能
下から2番目のレベルでは、ダイアログは表示されても画面は暗転せず、それ以外のウィンドウを操作することが可能
このようにWindows 7では、使い勝手とセキュリティをバランスさせるために、オンとオフの中間に2つのレベルを付け加えたというわけです。デフォルトの「プログラムがコンピューターに変更を加えようとする場合のみ通知する」であれば、ユーザの手によるWindowsの設定変更であれば確認がなくなるため、ずいぶんと煩わしさは解消されるのではないでしょうか。
リムーバブルメディアにも対応したBitLocker
ここ数年、ノートPCやUSBメモリの紛失による情報漏えいが大きくクローズアップされるようになりました。こうした状況の中、注目を集めるようになったのがHDDやUSBメモリを暗号化し、仮に紛失しても正当なユーザでなければ中身を参照できないようにするソリューションです。
Windows Vistaでも、Ultimateエディションでは同様の仕組みを「BitLocker」として提供しています。当初はWindowsがインストールされたブートドライブのみの対応でしたが、SP1においてそれ以外のボリュームの暗号化も可能になり、使い勝手を高めていました。
さらにWindows 7でも、EnterpriseおよびUltimateエディションでBitLockerが提供されています。今回「BitLocker To Go」という機能が追加され、リムーバブルメディアの暗号化にも対応しました。これにより、USBメモリの紛失による情報漏えいといったリスクにも対応できるようになったわけです。
この機能を利用するとリムーバブルメディアの暗号化が行われ、パスワードを入力しないと内容を参照できないように設定することが可能です。暗号化されたリムーバブルメディアをほかのPCに接続すると、鍵マーク付きのドライブアイコンが表示されます。パスワードを設定している場合は、それを入力することによって使用することが可能になります。
設定も簡単です。暗号化されていないUSBメモリを接続し、マイコンピュータで右クリックすると、メニューとして「BitLockerをオンにする」という項目が表示されます。これを選択するとダイアログが表示されるので、あとはウィザードに従って操作すれば完了です。
リムーバブルメディアを右クリックして表示されるコンテキストメニューに「BitLockerをオンにする」という項目が追加された
パスワードの入力画面。ここで設定したパスワードを入力しなければ、リムーバブルメディア内のファイルを参照することはできない
暗号化されたリムーバブルメディアは、鍵アイコンが追加される
暗号化したメディアをXP/Vistaでも利用可能
またWindows XPやVistaでも暗号化したリムーバブルメディアを使えるように、リムーバブルメディア内に「BitLocker To Goリーダー」というツールがインストールされます。これを実行するとパスワードの入力が求められ、正しいパスワードを入力すればリムーバブルメディア内のファイルにアクセスすることが可能になります。
Windows VistaでBitLockerで暗号化したUSBメモリを接続し、「 BitLocker To Goリーダー」を実行するとパスワード入力ダイアログが表示される
USBメモリはリムーバブルメディアとして広く使われていますが、その小ささ故に紛失するケースは少なくありません。Enterprise及びUltimateエディション限定ですが、OS標準の機能で、こうしたリスクを軽減できるメリットは大きいと言えるのではないでしょうか。
