Vista採用の理由はセキュリティ?――調査報告書が指摘

ある調査によると、ほとんどのユーザーは「セキュアなOSという評判だから」という理由でVistaに移行しているようだ。しかしVistaがこの評判に値するかどうかについては、専門家の間で意見が分かれている。

» 2007年05月24日 15時52分 公開
[Lisa Vaas,eWEEK]
eWEEK

 エンタープライズセキュリティに関する最近の調査報告書によると、調査回答者がWindows Vistaを導入した最大の理由として挙げているのが、この新OSはセキュリティに優れていると言われているからというものだった。

 「Fourth Annual Enterprise Security Survey」と題されたこの調査は、セキュアファイル転送ソフトウェアのメーカーであるVanDyke Softwareが、独立調査会社のAmplitude Researchに委託して実施したもの。

 報告書によると、セキュリティが理由でVistaを採用した回答者の52.3%は、Microsoftの最新OSに組み込まれた改良型ファイアウォールとウイルス対策機能に特に関心を抱いていた。

 MicrosoftのUAC(ユーザーアカウント制御)についてはセキュリティ研究者の間で厳しい批判があるが、Vista採用者の14.28%が制限付きユーザーアカウント機能が移行の最大理由だとしている。

 UACは、通常使用時にPCユーザーのアカウントの権限を制限するLUP(Least User Privilege)というコンセプトをベースとする機能である。ユーザー権限を昇格できるのは、特定の管理操作を実行するのに必要な場合に限られる。Vistaで導入されたこういった制限は、高いユーザー権限を利用した攻撃に対する脆弱性に対処するのが目的だ。

 Microsoftでは、UACはセキュリティの大幅な改善であり、同社がWindowsのセキュリティ強化に真剣に取り組んでいることを示すものだとしている。これに対して、ジョアンナ・ルトコウスカ氏やSymantec Researchのサイエンティスト、オリー・ホワイトハウス氏などのセキュリティ研究者らは、不適切な権限昇格を許可するようユーザーがだまされる恐れがあると指摘している。

 この問題に関するルトコウスカ氏のブログ記事に続いて、ホワイトハウス氏が「An Example of Why UAC Prompts in Vista Can't Always Be Trusted」(VistaのUACプロンプトが常に信頼できるとは限らない理由の一例)と題された論文を発表した後、MicrosoftはUACがソーシャルエンジニアリング攻撃に弱いことを認めた。UACそれ自体は、ファイアウォールのような強固なセキュリティ境界ではなく、セキュリティ「機能」としての意味合いが強いからだ。

 カリフォルニア州クパティーノに本社を置くSymantecのSecurity Responseチームのディレクター、オリバー・フリードリックス氏によると、UACがセキュリティ境界であるという認識が根強く残っているという。「Microsoft自身がUACはセキュリティ境界ではないことを認めているにもかかわらず、人々の間にこの認識は根深く染み込んでいる」と同氏は米eWEEKの取材で述べている。

 フリードリックス氏によると、早期採用者と同様、Vistaユーザーが今後も同OSを使い続けても、システム攻撃の危険に新たにさらされる心配はないという。「しかし、Vistaのセキュリティ技術への過信は危険だ」と同氏は指摘する。

 「全般的に見れば、Vistaは実際、よりセキュアなOSだ」とフリードリックス氏は話し、このセキュリティ強化に貢献しているコア技術として、ASLR(Address Space Layout Randomization)、安全な構造化例外ハンドラ、新しいヒープマネージャなどを挙げる。ASLRは、攻撃者が重要な機能のアドレスを割り出すのを困難にする技術で、これにより攻撃コードを正しく実行させるのが困難になる。新しいヒープマネージャでは、特定タイプのヒープ使用攻撃に対する抵抗力が強化されたことで、動的メモリ割り当てという観点でセキュリティが改善された。

 フリードリックス氏によると、Vistaが攻撃にさらされる危険性は主として、サードパーティーアプリケーションやWebアプリケーションなどの部分に残されており、攻撃者は今後、これらの部分に狙いを集中するようになるという。

 しかしこういった改善はあるものの、Vistaには欠陥がまったくないというわけではない。Microsoftが4月初めにパッチを提供した.aniファイルの脆弱性は、Windows(Vistaを含む)がカーソル/アニメーションカーソル/アイコンのフォーマットを処理する方法に存在する。この脆弱性は非常に深刻なものであったため、Microsoftは月例のPatch Tuesdayサイクル以外の日にパッチを提供した。こういった異例のパッチリリースは、この1件を含めてこれまでで3回しかない。

 今回の調査でVistaを採用していると答えた217人のユーザーのうち、同OSの採用理由として使い勝手の改善を挙げた人は22.11%で、「その以外の理由」と答えた人は11.05%だった。

 今回の調査では、そのほかにもVistaに関連した状況が明らかになった。調査に協力した300人のうちVistaのテストを完了したと答えた人は6.66%で、現在テスト中だとした人は44%、Service Pack 1(SP1)が出てからテストすると答えた人は18.33%、テストをしていないという回答は31%だった。

 自社でVistaを導入する計画をしているかという質問に対しては、300人の回答者のうち、正式リリース版をテストした後で自社に配備する予定だと答えたのは19%だった。SP1がリリースされた後で自社でVistaを配備する予定だという回答は20%、Vistaを導入する予定だが、Vistaがプリインストールされた新規PCを購入する場合に限られるという回答は19%だった。また、42%の回答者は、自社では今のところVistaを配備する予定はないと答えている。

この記事に関連するキーワード

Windows Vista | Microsoft | セキュリティアップデート


Editorial items that were originally published in the U.S. Edition of “eWEEK” are the copyrighted property of Ziff Davis Enterprise Inc. Copyright (c) 2011. All Rights Reserved.