マイクロソフトがWindowsサーバー2003のSP1を提供開始

セキュリティ機能を強化、管理性も大幅に向上

 2005.04.01−マイクロソフトは、Windowsサーバー2003のサービスパック1(SP1)を開発し、3月31日からダウンロードにて提供を開始した。まずは英語版だけだが、2ヵ月以内に日本語を含む18ヵ国語への対応を完了させる。セキュリティを高めるための新機能が追加されており、同社では既存のWindowsサーバー2003ユーザーのすべてがSP1を適用するように促すとともに、以前のWindowsNTやWindows2000サーバーを利用している企業に対して、この機会にバージョンアップするよう強力に働きかけていく。

 Windowsサーバー2003は、同社の“Trustworthy Computing”(信頼のおけるコンピューティング)に基づいたSD3+C(Secure by Design、Secure by Default、Secure by Deployment、Communications)思想に基づいて開発されたOS(基本ソフト)で、Windows2000サーバーのときは発売後18ヵ月後までに発見されたぜい弱性の数が62個だったのに対し、Windowsサーバー2003ではそれが24個に抑えられている。しかし、それでもぜい弱性は次々に発見されており、ウイルス発生までの時間も大幅に短縮化、攻撃方法も巧妙化するなど、セキュリティの脅威はますます高まっているのが現状。

 そこで、今回のWindowsサーバー2003 SP1では、これまでに個別に提供されてきたセキュリティ修正や不具合修正など約100個のパッチをすべて含めると同時に、セキュリティの耐性を高めるため、さらにそれらセキュリティ設定の管理性を向上させるための新機能をいくつか追加した。「既存のシステムの信頼性、セキュリティ、パフォーマンス向上と、新たなセキュリティ機能により積極的なセキュリティ対策を支援する」というのが今回のSP1の位置づけになるという。

 具体的にセキュリティを強化する新機能として、データ実行防止(DEP)、RPCインターフェースの制限、DCOMセキュリティの強化、Windowsファイアーウォール、セットアップ後のセキュリティ更新、セキュリティの構成ウィザード、リモートアクセス検疫サービス−があり、最初の3つはSP1を導入すると自動的に有効とされる。あとの4つは管理者の選択によってSP1適用後に有効にすることができる。

 DEP機能は、WindowsXPのSP2にも搭載されたもので、インテルおよびAMDのCPUに組み込まれているメモリー保護機能をOS側から利用できるようにしたもの。悪意あるコードの実行からシステムを保護することができ、バッファーオーバーランも防止できる。XPのSP2では重要なプロセスだけを保護する設定になっていたが、今回のSP1ではすべてのプロセスが対象となっている。また、DEP未対応のCPUを搭載したシステムでも、ソフトウエア的にDEP機能を有効にすることが可能。同社では、あらかじめパートナーと650種類のアプリケーションでテストを実施したが、DEPで影響を受けるアプリケーションはごく少数だったという。問題が生じたプログラムについては、DEPの対象から除外すればいいということだ。

 WindowsファイアーウォールもXPのSP2で搭載されたものだが、Windowsサーバー2003のSP1ではデフォルトで無効に設定されているという違いがある。ただし、Windowsサーバー2003が新規インストールされた場合は、「セットアップ後のセキュリティ更新」が完了するまでは自動的に有効になる。この「セットアップ後のセキュリティ更新」は、サーバーが最初に起動してからその時点の最新のセキュリティアップデートが適用されるまでの間にサーバーが攻撃されることを防ぐためのもの。システムが最新の状態になるまでは外部からの接続要求(Inbound connections)を拒絶してくれる。

 セキュリティの構成ウィザードは、セキュリティポリシーを作成し、セキュアな設定を簡単に実行するための管理ツールで、ウィザードに従って対話的に操作していくだけでふさわしい設定が完了する。ネットワーク上のサーバーに遠隔から適用することも可能。このウィザードでは、最初にサーバーの役割を選択する。すでにインストールされているサーバーの役割がリスト表示されるので、その中から利用したい機能を選択。さらにそのサーバーが実行するクライアント機能をやはりリストの中から選び、管理に利用するオプションを選択すると、そのセキュリティポリシーの設定によって変化するサービスの構成が一覧表示されるので、それを確認してOKするだけ。ウィザードはこのあとに、ポートの設定とそれを利用するアプリケーションの承認、レジストリーの設定、監査ポリシーの設定−と続くが、最初にサーバーの役割と管理オプションを選んだあとは、ほぼデフォルトのままでかまわないということだ。

 また、リモートアクセス検疫サービスは、VPNなどを通して外部からネットワークへのアクセスが試みられた際、そのパソコンのユーザーIDとパスワードを求めるだけでなく、最新のセキュリティ更新プログラムの適用状況、ウイルス対策ソフトの導入の有無およびパターンファイルの更新状況、Windowsファイアーウォールの設定状況などを検証することができる。検証完了までは、そのパソコンのリモートアクセスを停止させることが可能。

 同社では、今回のSP1開発に当たり、広範囲のベータプログラムを実施し、7万部を配布してテストを重ねてきた。同時に、パートナーや開発者向けの技術トレーニングを実施し、約650種類のアプリケーションに対して互換性などの共同検証を行ってきた。なお、x64版のWindowsサーバー2003(英語版)も同時にマスターアップしており、SP1適用済みの状態でパッケージングが完了次第、販売が開始される模様。x64版WindowsXP(英語版)も同様のスケジュールとなっている。