Windows 7のアップグレードは？ セキュリティは？ 4つの疑問を検証する（5/7 ページ）

[Andrew Garcia，eWEEK]

　Windows 7 UltimateとEnterpriseには、UACを補完する興味深い機能がある。「AppLocker」（XPとVistaの「Software Restrictions Policies」の後継機能）と呼ばれており、アプリケーションをホワイトリスト化する、つまりコンピュータ上で実行するアプリケーションを具体的に許可できる。ユーザーあるいは管理者は、許可されたアプリケーションの実行のみを認めるポリシーを策定でき、ほかのアプリケーションは（マルウェアだろうと、単に認証されていないコードだろうと）起動できなくなる。

　AppLockerポリシーの管理は、MicrosoftのおなじみのGroup Policyアーキテクチャで行う。Group Policyエディターを使うと、既存のポリシーを確認し、新しいポリシーを作成できる。ポリシーを施行するか、あるいは単にユーザーが新しいセキュリティ方針に違反するアプリケーションを使っていないか監査するかも決められる。

　AppLockerでは、アプリケーションコードは3つのカテゴリーに分けられ（Windows実行可能コード、Windowsインストーラ、スクリプト）、それぞれ別々に設定しなければならない。あるカテゴリーにはポリシーを施行し、別のカテゴリーは監査のみにするという選択も可能だ。

　アプリケーションの認証方法は幾つかある。きめ細かくアプリケーションを識別するために、アプリケーションのハッシュ（認定されていないアプリケーションには最適な方法だ）、（署名済みアプリケーションの）パブリッシャー、または実行可能ファイルのファイルシステムパス（ファイルあるいはフォルダへのパス）に基づいて実行を許可するかどうかのポリシーを策定することもできる。

　Windows 7ではGroup Policyエディターに簡単なルール作成方法が幾つか用意されているため、取っつきやすくなっている。ワンクリックでデフォルトのルールを作成して、基本ルールとして設定することができる。基本ルールの下では、WindowsおよびProgram Filesディレクトリのプログラムは誰でも実行でき、ローカルの管理者はすべてのファイルを実行できる。

　こうした利用の仕方だと、UACと最小権限コンピューティングがうまく連係する。権限を制限されたユーザーが許可されたフォルダのプログラムしか実行できないようAppLockerで設定して、UACの厳格なモードを施行してユーザーによるこれらフォルダへの書き込みを禁止したら、ソーシャルエンジニアリング攻撃で不正なコードをインストールさせるのは難しくなる。

　もっと細かな設定をする場合、管理者は自動的にルールを生成できる。例えば、フォルダ（Program Filesなど）を指定すると、ウィザードが適切な種類の実行可能ファイルをすべて識別し、ハッシュかパスに基づいてポリシーを設定する。デジタル署名付きのプログラムのみの実行を許可すれば、ポリシーの範囲をさらに制限できる。

　こうした詳細なルールの方が効果的で制限が厳しいが、メンテナンスの手間もかかることに留意しておくべきだ。パッチやアップグレードによって、ポリシー設定の刷新が必要になる。

　AppLockerの潜在的な問題の1つが、Application Identityサービスという特別なサービスの実行が必要になるという点だ。まず、管理者はこのサービスが自動的に起動し、動作し続けるようにしなくてはならない。セキュリティ企業は通常、重要なセキュリティサービスが攻撃に遭っても持ちこたえられるよう、追加の保護を提供しているが、WindowsがApplication Identityでそうした対策を取っているのかは分からない。Application Identityサービスは動作していないが、AppLockerポリシーは動いているという場合は、同サービスが動作しているかが分かりにくい。