マイクロソフト、提供間近のWindows Server 2003 SP1の機能を紹介

マイクロソフトから、ファイアウォールなどの新機能を追加するWindows Server 2003 SP1の詳細が発表された。ほぼセキュリティに特化した内容で、堅牢なプラットフォーム環境の確立を目指す。提供開始時期は未定だが、ダウンロード提供は無償で行われる。

[柿沼雄一郎，ITmedia]

　マイクロソフトは3月29日、Windows Server 2003の機能を強化するService Pack 1（SP1）の概要を発表した。Windows Server 2003をより信頼性の高いプラットフォームへと進化させていくための重要なコンポーネント群という位置付けで、同社はこの発表を機に、旧バージョンのサーバOSを利用するユーザーのマイグレーションを一気に加速させる狙い。

　同社Windows Server製品部 部長の高沢冬樹氏は、SP1開発までの経緯を語った。従来よりもさらにセキュアなコンピューティング環境を目指して開発の進められたWindows Server 2003は、発売から1年半が経過しても「緊急または重要」の脆弱性の報告数が、Windows 2000の半分以下の24にとどまっている。しかしながら、累積したパッチ（更新プログラム）管理の複雑さや、更新プログラム提供からウイルス発生までの時間が短縮されていることなどをあげて、「より安全な環境を一元的にユーザーへ提供することが重要だと考え、既存の更新プログラムすべてと新しいセキュリティ関連機能を持ったSP1を提供することとなった」（高沢氏）

Windows Server製品部 部長 高沢冬樹氏

　SP1は、大きく2つの構成要素からなる。1つは、既存環境の信頼性およびセキュリティ確保、そしてパフォーマンスの向上を目指すもの。つまり、Windows Server 2003出荷から現在までに公開された更新プログラム類である。その数はおよそ100ほどあるが、SP1ではこれを一度に適用可能なため、管理者の負担を大幅に軽減できる。また同社Windows Server製品部 シニアプロダクトマネージャの高田信純氏によれば、構成コンポーネントの見直しが行われており、この効果がTPCやTPC-H、SAP、SSLなどのベンチマークで10％以上の性能向上として表れているともいう。

　SP1を構成するもう1つの要素は、Windows XP SP2で導入されたWindowsファイアウォールなど、更新プログラム以外の新機能となる。この日に説明されたものは、以下の7つの機能だ。

• データ実行防止（DEP）
• RPCインターフェイスの制限
• DCOMセキュリティの強化
• Windowsファイアウォール
• セットアップ後のセキュリティ更新
• セキュリティの構成ウィザード
• リモートアクセス検疫サービス

　これらのうち、前半の3つについてはSP1適用直後から有効となる。残りの4つについてはユーザーが任意に有効にするものとなる。高田氏からは、ユーザーインタフェースが用意されている以下の機能について解説およびデモが行われた。

　データ実行防止（DEP）は、悪意のあるコードの実行からシステムを守る機能。ワームやウイルスによって生成されたコードが、メモリの非実行可能領域に展開、実行されてシステムを攻撃することを防ぐ。インテルおよびAMDが対応を表明しているハードウェアDEPのほか、SP1ではソフトウェアのみでのDEPにも対応している。Windowsの例外処理にチェックを加えるもので、Windows自身のプログラムやサービスのほか、任意のプログラムにも適用できる。

　Windowsファイアウォールは、Windows XP SP2にも搭載されており、従来のICF（インターネット接続ファイアウォール）に代わるソフトウェアベースのステートフルホストファイアウォールとなる。IPv4およびIPv6に対応し、あらかじめ設定されたポート以外からの外部アクセスを遮断する。

　OSが新規にインストールされて、最初の起動からWindows Updateによる最新更新プログラムの適用までの間は、無防備な状態でそのサーバがネットワーク上にさらされることになる。セットアップ後のセキュリティ更新では、この間のすべての着信接続をブロックする。最初のログイン時にダイアログが表示され、適切な更新プログラムの適用が行われるまで着信のフィルタリングが続けられる。

　また、利用しないサービスやポートを対話的に設定し、外部からの攻撃ポイントを削減していく手助けとなるのがセキュリティの構成ウィザードである。サーバの役割という観点から、使う機能と使わない機能を選択していくことで、不要なサービスやプロトコルは自動的に停止される。これにより可能な限り外部との接触を避ける設定が行われ、サーバのセキュリティを保つことができる。

　ワームやウイルスに汚染されたノートPCのアクセスによって、社内ネットワークがダメージを受けることがある。こうした事態を防ぐのが、リモートアクセス検疫サービスだ。あらかじめ設定したセキュリティポリシーに照らし合わせ、リモートアクセスしてきたクライアントに対してその状態を調べ、更新プログラムが適用されていなかったり、アンチウイルスプログラムのパターンファイルが古かったりしたものについては、その最新の適用が行われるまでアクセスを遮断する。

　気になる互換性については、「昨年からSP1ベータプログラムを実施し、OEMやISVパートナー、さらには一般ユーザーに対しても雑誌付録やダウンロード提供などで合わせて7万部を配布した。ISVとは約650の既存アプリケーションの検証も行っている」（高沢氏）と、準備体制を入念に整えてきたことをアピール。安心して移行へ望んでもらえるだろうと期待を語った。「ただし、これで万全ということはあり得ません。今後もワークアラウンドなど速やかに対応していくことが大切だと考えています」（高沢氏）

　SP1の適用および動作に必要なシステムは、Windows Server 2003に準じる。また、すべてのエディションに対応する1つのモジュールとしてSP1が用意される。

　なお、米国でのアナウンス同様、Windows Small Business Server 2003のSP1提供については、国内でも若干遅れて提供が開始される見込み。

　現在、同社のWebページからはRC2版がダウンロード可能になっている。SP1 正式版の提供時期については、「開発は最終段階（シェイクダウン）に入っており、新規の問題が発生しなければすぐにもリリース可能」（高沢氏）として、極めてリリースが近いことを示唆した。