Windows Vistaのセキュリティは有望そうだ（2/2 ページ）

[Larry Seltzer，eWEEK]

　IE 7は、Windows VistaとWindows XPにおいて新しいセキュリティ関連機能をたくさん提供するが、最も重要な機能はXPでしか動作しない。IEはデフォルトでは「Protected Mode」という制限付きのモードで動作する。大胆で危険かもしれない作業をするには、特別な許可が必要になる。これはIE向けの特殊なタイプのUser Account Protectionだ。

　User Account Protectionと同様に、この機能はソーシャルエンジニアリングが伸ばした足につまづく可能性がある。これが完ぺきに動作したとしても、（攻撃者は）Windowsが危険かもしれないと警告していることを本当にやりたいとユーザーに思わせればいいのだ。IE 7にはほかにもクールで便利なセキュリティ機能がたくさんあるが、それらはすべてWindows XPでも提供されている。

　以前から提供されていた機能の好例が、NAP（ネットワークアクセス保護）だ。Windows Server 2003でデビューしたと思う。これは、クライアントをネットワークに接続する前に必要なセキュリティなどの要件を定義するプログラムとポリシーのセットで、Ciscoの「Network Access Control Program」やZone Labsの「Integrity」製品ラインと似ている。その要件は、Windowsを特定のパッチで更新しているとか、ウイルス対策ソフトを最新の状態で走らせているとか、ほかのプログラムがインストールされているとか、ほとんど何でもありだ。

　このVistaの進化は、NAPのクライアントコンポーネントをバンドルしただけという単純なものかもしれないが、この機能の使用を奨励すれば有効なものだろう。いつかこのようなシステムがISPが使えるほどシンプルになり、それによりISPが自社のネットワークから汚いクライアントを閉め出せるようになるとわたしは夢見ているが、その日はまだはるか遠い。

　もちろん、セキュリティ機能の変更はもっとたくさんある。Windows Firewallはついに送信されるトラフィックをフィルタリングするようになる。EFSディスク暗号化機能は改良される。Windowsプログラムがどのリソース（TCPポートなど）を使っているかをシステムが把握できるようにプロファイルを作成でき、ほかにもあらゆるものが警告を出すようになる。アップデート中に実行されるマルウェア削除ツールも搭載される。これら機能の多くは重要だ。わたしは向こう数カ月のうちに、これらをもっと深く調べるつもりだ。

　Microsoftがセキュリティに真剣に取り組むのはこれが初めてではなく、セキュリティの脅威に対する勝利を宣言するのは時期尚早だ。同社はこうした問題の今後について、かなり慎重だ。とはいえ同社には優秀なスタッフがおり、1990年代後半に安全でないサービスをたくさん開始された後で、それらを終了させる傾向が数年続いた。もしもすべてのWindowsユーザーがVistaを使ったら、インターネットはもっと安全な場所になるだろう。

原文へのリンク