XPではもう限界！――セキュリティと生産性アップのためにできること：さよならWindows XP

無線ネットワークとデバイスの進歩により、どこからでもリッチなデスクトップ環境を安全に利用できるようになった。一方で、課題となるのがセキュリティだ。OSのマイグレーションが解決のカギを握る。

[敦賀松太郎，ITmedia]

リモートアクセスが抱える課題

　仕事の生産性を向上させるには、いつでもどこにいても、社内にいるときと同じIT環境を使えることが望ましい。それは、今に始まったことではなく、この10年来言われ続けてきたことだ。

　時間や場所を問わずに社内のIT環境にアクセスする仕組みと言えば、VPN接続がある。しかし、VPN接続環境を構築するのは容易なことではなく、リモートアクセスだけのために追加の投資をしようという企業は少数だった。

　それでも一部には、生産性の向上を考えてモバイルデバイスを配布し、VPN接続環境をわざわざ構築する企業もあった。社内ネットワークには検疫ネットワークの仕組みを構築して、社内でも外出先でも同じデバイスを使うようにした。安全性を高めるために認証用のICカードやUSBキーなどを用いるわけだが、VPN経由で社内に接続するのにユーザーが操作しなければならない手順が多く、ログオンしてから社内ネットワークに接続して認証されるまでに時間がかかる。だから、社内のリソースにアクセスする必要性があるとき以外は、切断した状態で使われることが一般的だ。

　ところが、ネットワークを切断した状態で利用している場合、モバイルデバイスは社内ネットワークから管理できないことになる。更新プログラムやポリシーはユーザー自身が能動的に適用しなければならず、それをしない限り社内ネットワークの情報にアクセスすることは困難になる。つまり、ユーザーが何もしなければ時間が経つにしたがって利便性が損なわれ、ひいては生産性も低下していくことになる。

Windows 7のOS標準機能で実現

　いつでもどこからでも社内と同じ使い勝手と安全性の環境を実現するには、どうすればよいか。その答えの1つとなるのが、リモートユーザーが使うモバイルデバイスのOSをWindows XPやWindows Vistaの旧OSからWindows 7へ乗り換えることだ。

　Windows 7（EnterpriseまたはUltimate）では、「DirectAccess」という機能をサポートしている。これは、Windows Server 2008 R2と連携して機能するもので、認証用デバイスなどの特別なハードウェアを用意することなく、モバイルデバイスをインターネットに接続するだけで、社内ネットワークが利用できるようになる。

　DirectAccessは、IPSec over IPv6によって暗号化されたトンネルを利用し、社外で利用するデバイスと社内ネットワークをIPv6で接続する。接続すると、ユーザーがログオンする前にActive Directoryドメインの認証が実行され、必要な更新プログラムやポリシーの適用が自動的に行われる。ユーザーがログオンしてからは、インターネット上でも社内ネットワークのように安全にデータをやりとりできる。

VPNとDirectAccessの違い（Microsoft Technetより）

　VPN接続と比べた利点として挙げられるのが、インターネットへのアクセス速度だ。VPNではインターネットへのアクセスも社内ネットワーク経由で行うことになるが、DirectAccessでは社内ネットワークとインターネットへのアクセスのトラフィックが完全に分離されているので、速度低下の心配もない。ちなみにWindows 7には帯域に余裕のないWAN回線において、ネットワークに接続されたPC同士がキャッシュを共有することでアクセス速度を改善する「BranchCache」という機能もある。

データ暗号化とアプリ制御もサポート

　DirectAccessによって、安全性の担保と生産性の向上を両立した社内ネットワークへのアクセス環境が構築できるわけだが、課題はまだある。モバイルデバイスを紛失したり、盗難の被害に遭ったりした場合の機密情報をどうやって守るかということだ。

　それを実現する機能としてWindows 7（EnterpriseまたはUltimate）に用意されているのが、ドライブを暗号化する「BitLocker」である。Windows Vistaで初めて搭載された機能だが、Windows 7ではローカルメディアだけでなく、USBメモリやUSBハードディスクなどのリムーバブルメディアの暗号化にも対応した。それが「BitLocker To Go」という新機能だ。

　暗号化は、ユーザーが操作しなくてもポリシーにより強制することができる。たとえ私物のUSBメモリを挿したとしても、保存したデータを暗号化してしまえるので、機密情報の持ち出しや流出を防止することが可能になる。

BitLocker To Goの設定画面（日本マイクロソフトのWebサイトより）

　もう一つ、Windows 7（EnterpriseまたはUltimate）に搭載されている有効なセキュリティ機能が「AppLocker」だ。これは、Windowsそのものの使用可能時間制限を設定したり、指定したプログラム以外をインストール／実行できないようにしたりといったことが可能になるものだ。

　例えば、何度社員教育しても根絶できないファイル共有ソフト、オンラインゲームなどの使用を禁止するような場合、AppLockerは非常に有効だ。これまでも「ソフトウェアの制限のポリシー」である程度の制限を設定することが可能だったが、AppLockerはプログラムの発行元や署名を条件にして禁止したり、特定のユーザーやグループを対象に設定したりできる柔軟性を備えている。

安全性と生産性向上のためにも移行を

　今回は、安全性の担保と生産性の向上を両立させるという観点から、DirectAccess、BitLocker To Go、AppLockerなど、Windows 7の見逃せない機能を中心に取り上げた。本連載を通じて、Windows XPからWindows 7への移行すべき理由をさまざまな視点から探ったが、それでもWindows XPで十分だという声が聞こえてくる。

　個人で所有・利用するPCであれば、Windows XPを使い続けるかどうかを判断するのは、もちろん自己責任である。また、外部ネットワークと接続されていない閉じた環境で使われるアプライアンスシステムにWindows XPが使われ続けるということはあり得る。

　しかし、企業が業務のクライアントOSとして、今後もWindows XPを使い続けるのには相応のリスクを覚悟しなければならない。

　今すぐにWindows XPからWindows 7へ移行できないのであれば、2012年内にも登場が予定されている次期バージョン、Windows 8を待つのも選択肢の1つになるだろう。いずれにせよ、Windows XPのサポートが完全に終了する2014年4月までには、最新のWindowsへ移行を進めることが求められる。