第1回：Windows XP SP2で変わるセキュリティ機能（1/4 ページ）

Windows XP SP2がいよいよリリース間近に近づいてきた。PCの使いやすさを向上する多くの機能強化がなされているが、もっとも大きな点はセキュリティ機能だ。SP2をインストールすることによって変化するWindows XPのセキュリティ機能を見ていこう。

[本田雅一，ITmedia]

　Windows XP Service Pack2（SP2）が、出荷の遅れを伴いつつもやっとリリースされる。マイクロソフトはSP2のリリース候補第2版（RC2）を6月中旬に配布開始し、ユーザーからのフィードバックを反映して8月のリリースに向けて準備を進めていた。同社によると、日本語正式版は8月後半から9月初旬をめどにリリースすべく進行しているという。

　SP2が従来のサービスパックに比べて注目を浴びている理由は、これによってWindows XPのセキュリティ機能が大きく変化するためだ。また機能だけでなく、ソフトウェアの互換性にも影響が出る可能性もある。

　SP2をインストールすることによって変化するWindows XPのセキュリティ機能を追いかけてみることにしよう。

※当記事はRC2を使用している。正式版とは多少異なる場合がある

セキュリティ脅威に対する多重のケア

　SP2では、具体的にどのようなセキュリティ対策が施されているのだろう。各機能の詳細を紹介する前に、マイクロソフトがSP2で示したセキュリティ対策の大まかな概要を説明しておこう。

SP2では脅威を減らすため、多重のセキュリティ機能を搭載している

　まずインターネットからの脅威を極力減らすため、SP2はデフォルト設定では不必要な通信を行わないよう、ファイアウォール機能の強化を図っている。しかし、それでもセキュリティホールが放置されていれば、ファイアウォールを突破してPCが危険にさらされる可能性がある。電子メールやCD-ROMなどを通じた感染は、ファイアウォールでは防ぐことができない。そこで既知のセキュリティホールをきちんとふさぐため、SP2では更新プログラムの自動インストールを強く推奨するメッセージが出されるようになった。

　だが、更新プログラムでは未知のウイルス／ワームに対しては無力である。SP2はウイルス対策ソフトがインストールされているか否かを自動的にチェックし、インストールを強制する機能が組み込まれている。また、正常なプログラムを装い、隙間を縫って入り込むウイルス／ワームに対しては、実行可能なコードが利用するメモリ以外をプログラムとして動作させないようにすることで、ウイルス／ワーム感染を水際で止める仕組みが備わっている。

　主にこの4つの対策で多重にケアしているのがSP2だ。また、SP2には改善された「Internet Explorer」や「Outlook Express」が含まれており、電子メールやWebサイトを通じての被害を起きにくくする工夫もされている。

　それでは具体的な機能強化点を見ながら、SP2のセキュリティ対策の実際を紹介することにしよう。

ファイアウォールの強化

　Windows XPには標準で「Internet Connection Firewall」（ICF）というファイアウォール機能が搭載されていた。ICFはルータのIPマスカレードと同様の仕組みを利用し、コンピュータが要求していないネットワーク接続を受け付けない。つまりICFを有効にさえしてあれば、インターネット側から一方的な接続要求があってもブロックした。サードパーティ製のパーソナルファイアウォールのように、Windows XP上で動作するネットワークアプリケーションの外部接続要求までは検査を行わないが、少なくともウイルスやワームに侵されていないコンピュータならば、セキュリティを高める上で非常に有効な手段である。

　マイクロソフトによると、SP2にはICFを改良したWindowsファイアウォールが搭載され、すべてのネットワーク接続に対してデフォルトで有効となる（それまで無効に設定されていた場合も、SP2インストール時点で有効へと設定し直される）。

従来のICFに比べ、Windowsファイアウォールはインターフェース的にも大きく変わっている

　ICFがIPマスカレードと同等の機能だったのに対し、SP2から搭載されるWindowsファイアウォールには、“ステートフルフィルタリング”と呼ばれる通信状況に応じて不必要と思われる通信ポートを無効にする仕組みが導入される。同様の機能は最近の高機能ルータにも搭載されているため、ご存知の読者も多いだろう。ステートフルとは、アプリケーションが利用しているポートを常にモニタしながら、利用していないポートを自動的に閉じることを意味している。

　このほか、Windowsファイアウォールには非常に細かな、しかし重要な変更が多数加わっている。例えば、Windowsが起動してからファイアウォールが動作するまでのわずかな時間差をなくし、ネットワーク接続が開始されると同時に外部からの攻撃を防ぐように変更されている。従来はネットワークサービスが開始されてから、その後ファイアウォールのコンポーネントが起動していた。そのため、ネットワークにつながっているがファイアウォールに守られていない期間が短時間ながら発生していたのだ。近年はネットワークに接続しているだけで感染するワームも登場しており、小さなタイムラグでもあっという間に感染する可能性がある。

　これに対しWindowsファイアウォールには、ブート時ポリシーという静的ルールが設定される。コンピュータがDNSやDHCPなどのネットワーク作業を実行してドメインコントローラからポリシーを取得するまで、それ以外の接続を受け付けないポリシーが適用される仕組みだ。

　また、ポートごとにローカルサブネットからの通信しか受け付けない（つまりインターネットからの接続を禁止する）設定も可能になった。ファイル共有やUPnPなど基本的にLANでしか使わないポートは、あらかじめインターネットからの接続が禁止されるなど（解除も可能）、ファイアウォールが確実に機能するよう、デフォルト設定も見直されている。

　さらには利用するアプリケーションや、接続するネットワークごと、別々のファイアウォール設定を行える。例えば、外出先で利用する機会の多い無線LANではほとんどのポートをふさいでおき、有線LANで社内ネットワークに接続する場合には、必要なポートを空けておく、特定の実行ファイルのみに対してポートを開放するといったことが可能になった。

　その一方で、互換性の問題が出る可能性も高い。