Longhornのセキュリティ、鍵を握る「LUA」の行方は?(1/2 ページ)

Microsoftは「ユーザーに余計な権限を与えない」という最小権限の原則に則った「LUA」モデルに取り組んでいる。しかし、これをLonghornに実装する計画についてはこのところ黙している。(IDG)

» 2005年04月11日 17時08分 公開
[IDG Japan]
IDG

 Microsoftが今月開催する年次カンファレンスWindows Hardware Engineering Conference(WinHEC)の参加者は、数千のプログラムの開発・実行方法を変える可能性を持つ、新しいWindowsのパーミッションモデルを初めて体験できるかもしれない。だが同社がLonghornの最終的な開発作業に向けて準備を進める中で、新しいユーザー権限モデル「Least-Privilege User Account(LUA)」の計画をめぐっては依然として疑問が残っている。

 Microsoftは、LUAはWindowsシステム上での管理者権限へのアクセスを制限することで、ハッカーやウイルス作者による攻撃をやりにくくすると主張している。しかし同社はここ数カ月、LUAをLonghornに実装する計画について口を閉ざし、LUA対応製品向けの新しいロゴプログラムなど、懐疑的な独立系ソフトベンダー(ISV)によるLUA(「ルーア」と読む)の採用を促すためのインセンティブを検討している。ISVと業界専門家への。聞き取り調査により明らかになった。

 最小権限は、アプリケーションとユーザーに対してOS上で絶対に必要となる以上の権限を与えないよう勧めるコンピュータセキュリティの原則。ソフト開発コミュニティーで広く受け入れられている原則だが、ここ数年、OS・アプリケーション開発企業がソフトの使い勝手の向上に取り組む中で、しばしば見落とされてきたと、Gartnerのインターネットセキュリティ担当副社長ジョン・ペスカトーレ氏は指摘する。

 Microsoftは、ユーザーが管理者権限なしで一般的なタスクをもっと簡単に実行できるようにすることで、Longhornで最小権限の利用を後押しするとしている。例えば、制限のあるユーザー権限でもより簡単にマシンの表示・電源管理設定の変更やVPNの利用ができるよう、Windowsを修正する可能性があるという。ほかにも、管理者権限の変更が必要な、グローバルにアクセスできるプログラムファイルではなく、ユーザー固有の設定を「マイプログラム」フォルダに保存し、ユーザーごとのアプリケーションのインストレーションを作成できるように変更を加えると、MicrosoftのWebページの文書には記されている。

 同社はまた、開発者がアプリケーションの適切な動作に必要な許可を定義できるアプリケーションマニフェストを提案している。ISVはこのマニフェストに署名して、アプリケーションの完全性を保証することが可能だ。IT部門が署名したマニフェストを導入すれば、ネットワーク管理者は、ネットワーク上でアプリケーションにどの程度信用を持たせるべきかを決定できるとこの文書では説明されている。

 この変更は、これまで多くのWindowsユーザーとアプリケーション開発者の間で優先度が低かった重要なセキュリティコンセプトをよみがえらせることを目的としている。

 「アプリケーションランタイム許可という概念は、よく理解されているとも、適切に取り扱われているとも思わない」と話すのは、アプリケーション開発企業Vertexのチーフアーキテクト、ジェイソン・リマー氏。「UNIXでは『これはroot権限で実行するのか?』と聞いたものだが、Windowsオペレータはそんなことを考える必要はなかった。LUAは人々にその選択を強いることになる」

 例えば、Windowsプログラムは通常ユーザー固有のファイルを、プログラムファイルディレクトリや、通常のユーザーがアクセスできない、設定情報を含むWindowsレジストリの保護された領域など、OSの重要な領域に保存するとPluralsightの共同創設者キース・ブラウン氏は2004年4月から公開されているMSDNのLUA関連文書で述べている。

 コードを書く際に開発用マシンに管理者としてログインしているアプリケーション開発者は、管理者権限を前提としてプログラムを作成しているが、このようなプログラムは限定的な権限を持つユーザーが実行したときに問題を起こすとブラウン氏は指摘する。同氏は、Windowsソフトのうち90%は管理者アクセスなしではインストールできず、70%はユーザーが管理者でなければ適切に実行されないと推定している。

 ネットワーク管理者は、ネットワーク上で厳格なユーザー権限を施行し、サーバなどのリソースへのアクセスを制限しているが、個々のWindowsユーザーは、ユーザー権限だけでは一般的なプログラムを走らせることすら難しいため、ローカル管理者としてWindowsにログオンしていることが多い。ウイルス、ワーム、ボット、スパイウェアの作者は、こうした昇格された権限を利用して、不正プログラムをインストールしたり、自分の作ったコードが検出されて遮断あるいは削除されないようにWindowsの設定を変更したりしていると専門家は指摘する。

 LUAモデルを厳格に施行すれば、ワームやウイルスがWindowsシステムを乗っ取るのは難しくなるだろう。しかしMicrosoftは、LonghornでLUAモデルをサポートする新機能を導入しても、ユーザーや開発者の行動を変えるのに苦労するかもしれないと専門家は注意を促している。

 「ここで取り上げているLUAの枠組みは、10年前からあったものだ。ベンダーは安直な方向に走り、(プログラムファイルディレクトリに)プログラムの設定を放り込んでいるのが事実だ。Microsoftなどのソフトベンダーは、怠けたコードの書き方をやめなくてはならない」とTerabyte Computersのブライアン・ベルギン社長は話す。

 LUAの機能と原則の採用を推進するために、MicrosoftはMacrovisionと密に協力して、Longhorn向けにLUAのコンセプトを取り入れたアプリケーションインストール・セットアッププログラムを開発してきたと、MacrovisionのInstallShield製品担当プロダクトマネジャー、ボブ・コリガン氏は語る。

 インストールはLonghorn向けLUAの中で難しい部分だ。ファイルをWindowsファイルシステムの異なる領域に書き込まなくてはならないし、通常のユーザーアカウントではアクセスできない場合が多いWindowsレジストリの設定変更が必要になるからだ。

 「LUAの到来により、ISVと企業は、インストールの時点でアプリケーションの動きをよく考えざるを得なくなるだろう」(コリガン氏)

 Macrovisionは、自社のアプリケーションの中でLUAの複雑さをいくらか単純化したい考えだ。同氏によると、例えばInstallShieldの将来版では、ISVがユーザーと管理者の機能を分離するインストール・セットアッププログラムを構築できる。これにより、ユーザーは管理者的なアクセスがなくても一部のソフトをインストールできるようになり、管理者レベルの権限が誤って管理者以外の人間に拡大されることはなくなるという。

       1|2 次のページへ

Copyright(C) IDG Japan, Inc. All Rights Reserved.

注目のテーマ