これまで、Windows VistaはWindowsオペレーティングシステムの中で最も安全なバージョンでした。Windows 7はVistaの基盤をさらに強化し、より安全なコンピューティングエクスペリエンスを提供します。マイクロソフトはVistaに関するユーザーからのフィードバックを取り入れ、ユーザーエクスペリエンスを向上させ、セキュリティ機能が直感的で使いやすいものとなるよう努めています。ここでは、Windows 7における重要なセキュリティ強化の一部をご紹介します。
コアシステムセキュリティ
Windows Vistaと同様に、Microsoftはセキュリティ開発ライフサイクル(SDL)に基づいてWindows 7を開発しました。この新しいOSは、安全なコンピューティング環境となるよう徹底的に構築され、カーネルパッチ保護、データ実行防止(DEP)、アドレス空間レイアウトのランダム化(ASLR)、必須整合性レベルなど、Vistaの保護に役立った主要なセキュリティ機能も維持されています。これらの機能は、悪意のあるソフトウェアやその他の攻撃から保護するための強固な基盤を提供します。特に注目すべき重要な要素がいくつかあります。
強化されたUAC
UAC(ユーザーアカウント制御)については、おそらくご存知でしょう。Windows Vistaで導入されたこの機能は、最小限の権限によるアクセスを強制し、組織がユーザーに管理者権限を付与することなくオペレーティングシステムを導入できるようにすることで、総所有コスト(TCO)を削減することを目的としています。MicrosoftがUACに導入した主な目的は、ソフトウェア開発者に優れたコーディングプラクティスを強制し、オペレーティングシステムの機密領域へのアクセスを制限させることでしたが、多くの人はUACをセキュリティ機能と捉えています。
ユーザーがUACについて考えるとき、通常はアクセス許可を求めるプロンプトを思い浮かべます。Vistaの導入以来、MicrosoftはUACプロンプトをトリガーする(あるいは標準ユーザーによるタスクの実行を完全に妨げる)イベントの種類と数を削減する上で大きな進歩を遂げてきましたが、UACはVistaに対して依然として多くの否定的なフィードバックの対象となっています。
Windows 7では、Microsoftはプロンプトを起動するアプリケーションとOSタスクの数をさらに削減しました。また、UACのインターフェースもより柔軟になりました。コントロールパネルの「ユーザーアカウント」で「ユーザーアカウント制御設定の変更」を選択すると、スライダーで機能を調整できます。
設定スライダーでは、UAC 保護のレベルを「常に通知」(基本的に Windows Vista が提供する UAC 保護レベル)から「通知しない」まで 4 段階から選択できます。言うまでもなく、「常に通知する」を選択すると、最も高い保護効果が得られます。UAC を完全に無効にするのではなく、「通知しない」に設定する利点は、UAC のポップアップは表示されなくなりますが、Internet Explorer の保護モードなど、UAC の主要な保護機能はそのまま残ります。
統合指紋スキャナのサポート
多くの Windows ユーザーは、ユーザー名とパスワードなしでログインできるようにオペレーティング システムを設定していますが、これはコンピューターの世界では、家の玄関のドアを開けっ放しにして「ここから入力してください」というネオンサインを点滅させているようなものです。Windows 7 のすべてのユーザー アカウントに、比較的強力なパスワードまたはパスフレーズを割り当てることを強くお勧めします(つまり、愛犬の名前やお気に入りのバスケットボール チームの名前は対象外です)。
パスワードでさえ、期待通りの安全性があるわけではありません。パスワードは、解読されるまでは安全であり、攻撃者が十分な覚悟を持っていると仮定した場合、パスワードを解読できるかどうかという問題よりも、いつ解読できるかという問題の方がはるかに深刻です。専門家は、セキュリティ強化のために二要素認証、つまりパスワードに加えてさらにもう一層の保護を追加することを推奨しています。多くのコンピューター、特にノートパソコンには、指紋スキャナーという生体認証機能が内蔵されています。Windows 7では、Microsoftはオペレーティングシステムと指紋スキャナーハードウェアのよりスムーズな統合を実現しています。
Windows 7では、ドライバーのサポートが強化され、さまざまなハードウェアプラットフォーム間での指紋認証の信頼性が向上しています。Windows 7では、オペレーティングシステムへのログインだけでなく、他のアプリケーションやWebサイトでのユーザー認証にも指紋リーダーを簡単に設定・使用できます。コントロールパネルの「生体認証デバイス」をクリックすると、指紋データの登録と管理、生体認証セキュリティ設定のカスタマイズを行うコンソールにアクセスできます。
生体認証デバイスコンソールには、検出された生体認証デバイスが表示されます。指紋リーダーがまだ設定されていない場合は、ステータスが「未登録」と表示されます。そのステータスをクリックすると、コンソールにアクセスできます。
1本の指または10本の指すべてをスキャンして追加できます。複数の指を追加すると、例えば主指に包帯を巻いている場合やギプスをはめている場合でも、生体認証セキュリティを引き続き使用できます。画面上で追加する指を選択し、指紋リーダーに指を置きます(または、お使いのハードウェアの種類に応じて、リーダー上で指をゆっくりとドラッグします)。データベースに登録するには、各指を少なくとも3回スキャンする必要があります。これは、パスワードを正しく入力したことを確認するために再入力する必要があるのと同じです。
データの保護
毎年何千台ものコンピュータ、特にノートパソコンが紛失または盗難に遭っています。適切な安全対策とセキュリティ対策を講じていない場合、権限のないユーザーがコンピュータにアクセスし、そこに保存されている機密データにアクセスできてしまいます。小型のUSBフラッシュドライブや、より多くのデータを保存できるその他のポータブルメディアの普及により、機密情報の紛失や盗難のリスクはさらに高まっています。
Windows 7は、EFS(暗号化ファイルシステム)やAD RMS(Active Directory Rights Management Services)のサポートなど、Vistaのデータ保護技術を継承しています。これらの技術のマイナーアップデートに加え、Windows 7ではVistaのBitLockerドライブ暗号化技術が大幅に強化され、リムーバブルメディア上のデータを暗号化するためのBitLocker to Goが追加されています。
BitLocker によるドライブの暗号化
BitLocker が Windows Vista で初めて導入された当時は、プライマリ オペレーティング システム ボリュームの暗号化のみが可能でした。Windows Vista SP2 (Service Pack 2) では機能が拡張され、プライマリ ハード ドライブ上の追加ドライブやパーティションなど、他のボリュームの暗号化も可能になりましたが、ポータブル ディスクやリムーバブル ディスク上のデータの暗号化は依然としてサポートされていませんでした。Windows 7 では、ポータブル ドライブ上のデータを保護する BitLocker to Go が導入され、パートナー、顧客、その他の関係者とデータを共有する手段も提供されます。
BitLocker ドライブ暗号化を使用する前に、ディスクボリュームを適切に構成する必要があります。Windows では、ブートプロセスを開始し、暗号化されたボリュームにアクセスするためのユーザー認証に必要なコアシステムファイルを格納する、暗号化されていない小さなパーティションが必要です。多くの人は、ドライブのパーティションを最初に設定する際にこの点を考慮しません。そこで Microsoft は、BitLocker 暗号化用にドライブのパーティションを移動し、再パーティション化するためのツールを作成しました。BitLocker ドライブ準備ツールの詳細とダウンロードについては、Microsoft の Web サイトをご覧ください。
ドライブが適切にパーティション分割されたら、BitLocker で暗号化できます。コントロールパネルで「BitLocker ドライブ暗号化」をクリックします。BitLocker コンソールに、利用可能なすべてのドライブと現在の状態(BitLocker が現在保護しているかどうか)が表示されます。画面には、BitLocker で暗号化する固定ドライブと、BitLocker to Go で保護するリムーバブルドライブが区別されています。
暗号化されていないドライブの横にある「BitLocker を有効にする」をクリックすると、暗号化プロセスが開始されます。ユーティリティは、暗号化されたデータのロックを解除するためのパスワードを設定するか、認証のためにスマートカードを挿入するよう求めます。その後、BitLocker は BitLocker 回復キーをテキストファイルまたは印刷物として保存するよう促します。パスワードを忘れた場合や、何らかの理由で認証に失敗した場合、データのロックを解除するには BitLocker 回復キーが必要になります。
プロセスが開始されると、通常通りWindowsを使用できます。ツールはバックグラウンドでデータを暗号化します。ドライブの暗号化が完了したら、「BitLockerの管理」をクリックし、Windowsへのログオン時に暗号化されたドライブを自動的にロック解除するように設定できます。
TPMなしでBitLockerを使用する
デフォルトでは、BitLocker は BitLocker 暗号化キーを保存し、BitLocker で保護されたデータの暗号化と復号化を容易にするために、Trusted Platform Module (TPM) チップを必要とします。残念ながら、多くのデスクトップ PC やノートパソコンには TPM チップが搭載されていませんが、それでもまだ問題は残っています。
Microsoftは、互換性のあるTPMなしでBitLockerドライブ暗号化を使用するオプションを提供していますが、このオプションへのアクセスは必ずしも直感的または簡単ではありません。TPMチップなしでBitLockerを使用するには、次の手順に従ってください。
1. 左下にある Windows ロゴ (スタート ボタン) をクリックします。
2. スタート メニューの下部にある「プログラムとファイルの検索」フィールドに「gpedit.msc」と入力し、Enter キーを押します。
3. [コンピューターの構成] で、[管理用テンプレート]、[Windows コンポーネント]、 [BitLocker ドライブ暗号化]、[オペレーティング システム ドライブ]に移動します。
4. 「起動時に追加の認証を要求する」オプションをダブルクリックします。
5.上部の[有効]ラジオ ボタンを選択し、 [互換性のある TPM なしで BitLocker を許可する]チェック ボックスをオンにします。
6. [OK]をクリックします。
BitLocker to Goでモバイルデータを保護する
Windows Vistaでは、コンピューターを構成するドライブとボリュームを保護できましたが、リムーバブルドライブ上のデータを暗号化することはできませんでした。Windows 7では、BitLocker to Goによってこの明らかな機能不足が解消されています。
暗号化処理中も作業は継続できますが、リムーバブルドライブを最初に暗号化する際は、暗号化処理中にドライブを取り外さないでください。処理が完了する前に取り外すと、ドライブ上のデータが修復不可能な損傷を受ける可能性があります。暗号化が完了する前にドライブをシャットダウンしたり、ドライブを取り外す必要がある場合は、「一時停止」ボタンを使用して処理を一時停止してください。
BitLocker to Goを使用すると、USBメモリなどのリムーバブルメディア上のデータを保護できます。機密情報を他の人と共有する必要がある場合は、USBメモリ上の暗号化されたデータを他の人に渡し、パスワードを設定してロックを解除することができます。さらに保護を強化するには、データのロック解除にスマートカードを要求し、暗号化されたドライブとスマートカードを別々に渡すこともできます。
BitLocker to Goを使用すると、管理者はリムーバブルメディアの使用方法を制御し、リムーバブルドライブ上のデータ保護ポリシーを適用することもできます。グループポリシーを使用すると、管理者は保護されていないリムーバブルストレージを読み取り専用に設定し、ユーザーがリムーバブルストレージにデータを保存する前に、システムにBitLocker暗号化を適用するように要求できます。
新しいオペレーティング システムを最大限に活用するのに役立つ包括的でわかりやすいアドバイスとヒントについては、PC World の Windows 7 スーパーガイドをCD-ROMまたは便利なダウンロード可能なPDF ファイルで注文してください。
