Windows Vistaの発売から2年が経過しましたが、多くの企業がまだアップグレードを行っていません。そして、多くの場合、Vistaへの移行を躊躇する理由は、セキュリティへの懸念に起因しています。
マイクロソフトは、最新のオペレーティングシステムであるWindows 7でこれに応えました。現在パブリックベータ版が公開されており、年内に出荷予定です。Windows 7では、新しいセキュリティ機能が追加され、人気の機能が拡張され、お馴染みの機能も強化されています。ここでは、最もアップグレードに消極的な企業顧客でさえも納得させるであろう、10数点のセキュリティ強化点をご紹介します。
移行ツールの改善
Microsoftは、Windows 7は、従来のOS移行よりも企業全体への導入が迅速かつ容易になると発表しています。この期待される改善点の多くは、ダイナミック・ドライバー・プロビジョニング、マルチキャスト・マルチストリーム転送、仮想デスクトップ・インフラストラクチャといった新しいツールによるものです。
ダイナミック・ドライバー・プロビジョニングでは、ドライバーはイメージとは別に一元的に保存されます。ITプロフェッショナルは、個々のBIOSセットまたはPCハードウェアのプラグアンドプレイIDに基づいてインストールを調整できます。Microsoftによると、不要なドライバーのインストール数を減らすことで、潜在的な競合を回避し、インストールを高速化できます。Windows 7では、Windows Vistaと同様に、ITプロフェッショナルはシステムイメージをオフラインで更新できるだけでなく、さまざまなドライバー、パッケージ、機能、ソフトウェア更新プログラムを含むイメージライブラリを維持管理することもできます。
Windows 7では、新しいマルチキャスト・マルチストリーム転送機能のおかげで、特定のイメージをネットワーク全体に展開したり、デスクトップに個別のイメージをインストールしたりする作業が高速化されました。展開サーバーは、各クライアントに個別に接続するのではなく、ネットワークを介して複数のクライアントに同時にイメージを「ブロードキャスト」します。
仮想デスクトップ インフラストラクチャ (VDI) は、デスクトップ展開モデルの1つであり、ユーザーがリモートからデスクトップにアクセスできるようにすることで、データ、アプリケーション、オペレーティングシステムを一元管理します。VDI は、Windows Aero、Windows Media Player 11 ビデオ、マルチモニター構成、VoIP (Voice over IP) および音声認識用のマイクサポートをサポートしています。新しい Easy Print テクノロジにより、VDI ユーザーはローカルプリンターに印刷できます。ただし、VDI を使用するには Microsoft からの特別なライセンスが必要であり、インストール済みのオペレーティングシステムのすべての機能は利用できません。
企業資産の保護
OS をインストールすると、組織はログイン認証によって資産を保護できます。Windows Vista には指紋スキャナー用のドライバーが含まれていましたが、Windows 7 では、IT プロフェッショナルとエンドユーザーがこれらのデバイスをより簡単にセットアップ、構成、管理できるようになります。Windows 7 は、管理者の許可なしにスマートカードとスマートカードリーダーのサポートに必要なドライバーを自動的にインストールすることで、Windows Vista で提供されていたスマートカードのサポートを拡張します。
ITプロフェッショナルは、Microsoftのディスク全体暗号化システムであるBitLockerを使用することで、Windows 7ボリュームのコンテンツをさらに保護できます。Windows Vistaユーザーは、必要な隠しブートパーティションを作成するためにハードドライブのパーティションを再分割する必要がありますが、Windows 7ではBitLockerを有効にすると自動的にそのパーティションが作成されます。Windows Vistaでは、ITプロフェッショナルは保護されたボリュームごとに固有の回復キーを使用する必要があります。しかし、Windows 7ではデータ回復エージェント(DRA)がすべての暗号化ボリュームに拡張されているため、BitLockerで暗号化されたWindowsマシンでは1つの暗号化キーのみで済みます。
BitLocker To Goは、Windows VistaおよびWindows XPを実行しているユーザーとBitLockerで保護されたファイルを共有できる新機能です。BitLocker To Goデスクトップリーダーは、BitLockerで保護されていないシステム上の保護されたファイルへのシンプルな読み取り専用アクセスを提供します。保護されたファイルのロックを解除するには、ユーザーは適切なパスワード(またはスマートカードの認証情報)を入力する必要があります。
アプリケーション制御
Windows 7では、グループポリシー設定の拡張機能であるAppLockerも導入されました。AppLockerを使用すると、組織はユーザーがどのアプリケーションのどのバージョンを実行できるかを指定できます。例えば、Adobe Acrobat Readerバージョン9.0以降のインストールは許可する一方で、特定の承認なしに旧バージョンのインストールはブロックするといったルールを設定できます。AppLockerには、ポリシー作成プロセスを大幅に簡素化するルール生成ウィザードが搭載されており、カスタムホワイトリストを作成するための自動ルール作成機能も備えています。
Windows MEで初めて導入されたシステムの復元機能は、Windows 7で待望のアップデートを受けました。まず、システムの復元では、各復元ポイントで削除または追加される特定のファイルのリストが表示されます。次に、復元ポイントがバックアップでも利用できるようになったため、ITプロフェッショナルをはじめとする関係者は、より長期にわたる幅広い選択肢を利用できるようになります。
アクションセンターは、Windows 7ユーザーがタスクやよく使う通知を1つのアイコンにまとめて見つけられる、コントロールパネルに統合された新しい機能です。アクションセンターには、セキュリティセンター、問題、レポート、解決策、Windows Defender、Windows Update、診断、ネットワークアクセス保護、バックアップと復元、回復、ユーザーアカウント制御など、既存の機能に関するアラートと設定が含まれています。Windows 7ではポップアップアラートが廃止され、新しいタスクトレイアイコン(X印の付いた旗)に置き換えられました。このアイコンから、問題に直接アクセスしたり、アクションセンターで詳細情報を確認したりできます。
Windows Vistaの通知で最も有名で迷惑なのは、おそらくユーザーアカウント制御(UAC)機能によるものです。この機能は、システム設定を行う必要があるたびに管理者からの警告を表示します。Vistaでは選択肢は明確です。メッセージを受け入れるか、UACを無効にするかのどちらかです。Windows 7では、追加のオプションがあります。スライダーバーでコンピューターの適切な通知レベルを設定できます。デフォルトでは、UACはプログラムがPCに変更を加えようとした場合にのみ通知します。
パフォーマンスの向上
https://www.pcworld.com/reviews/product/30429/review/windows_defender_11.html に掲載されているMicrosoftのスパイウェア対策製品は、Windows 7で待望のパフォーマンス強化を実現しました。しかし、Microsoftはソフトウェアエクスプローラーツールを削除し、このユーティリティはスパイウェアの検出や削除には影響しないと主張しています。確かにその通りかもしれませんが、ソフトウェアエクスプローラーを使えば、ユーザーが知らないプログラムやプロセスも含め、実行中のプログラムやプロセスを確認することができます。おそらくMicrosoftは最終ビルドまでにこの決定を覆すでしょう。
Windows 7のもう一つの新機能は、Windows Filtering Platform(WFP)です。これは、サードパーティベンダーがWindowsのネイティブファイアウォールリソースをさらに活用し、システムパフォーマンスを向上させることを可能にするAPIとシステムサービスの集合体です。Microsoftは、WFPは開発プラットフォームであり、ファイアウォールそのものではないことを強調していますが、WFPはWindows Vistaのファイアウォールの問題のいくつかに対処しています。
Vistaでは、Microsoftはホーム、ネットワーク、パブリック、ドメインといった異なるネットワーク接続の種類ごとにプロファイルという概念を導入しました。しかし、この概念では、リモートユーザーが社内VPNにアクセスするたびに、企業のIT担当者は制限を受けることになります。これは、ファイアウォールが既に「ホーム」または「パブリック」のいずれかに設定されており、後から社内ネットワークの設定を適用できなかったためです。Windows 7と特にWFPでは、複数のファイアウォールポリシーが許可されているため、IT担当者はリモートクライアントと社内ネットワークに物理的に接続されているクライアントの両方に対して、単一のルールセットを維持できます。Windows 7は、DNSレコードが偽装されていないという信頼性を高める、新たに確立されたプロトコルであるドメインネームシステムセキュリティ拡張機能(DNSSEC)もサポートしています。
モバイルユーザー向け機能
Windows 7には、モバイルユーザー向けに設計された2つの機能強化があります。DirectAccessを使用すると、モバイルワーカーはインターネットにアクセスできる環境であればいつでも、VPNを必要とせずに企業ネットワークに接続できます。DirectAccessは、モバイルコンピューターがインターネットに接続できる場合、ユーザーが企業ネットワークにログオンしているかどうかに関係なく、グループポリシー設定を更新し、ソフトウェア更新プログラムを配布します。これにより、モバイルユーザーは企業ポリシーを常に最新の状態に保つことができます。また、BranchCacheを使用すると、イントラネットWebサイトまたはファイルサーバーからアクセスされたデータのコピーがブランチオフィス内にローカルにキャッシュされます。リモートユーザーは、本社への接続を使用する代わりに、BranchCacheを使用して共有データにアクセスできます。
Windows 7では、イベント監査機能も強化されています。監査構成の管理、特定のユーザーまたはグループによる変更の監視、より詳細なレポート機能により、規制要件やビジネス要件への対応が容易になります。例えば、Windows 7は、特定の情報へのアクセスが許可または拒否された理由をレポートします。
