■マイクロソフトは9月2日,Windows XPの最新サービス・パック「Windows XP Service Pack 2 セキュリティ強化機能搭載」をリリースする。名前が示すように,このサービス・パックは単なる修正パッチの集合ではない。セキュリティに関して大幅な改善が実施される。 ■例えば,パーソナル・ファイアウオールである「Windowsファイアウオール」がデフォルトで動作するようになる。多くのユーザーが使うInternet ExplorerやOutlook Expressの挙動は大きく変化する。新機能の「データ実行防止機能」では,悪名高いバッファ・オーバーフローも防止できる。 ■これらの変更で,Windows XPはどのくらい“安全”になるのだろう。また,大幅な仕様変更がどのような影響を与えるのか,既存のユーザーやシステム管理者にとっては気になるところだ。Windows XP SP2の全貌を,いち早く紹介する。 (本連載は『日経Windowsプロ』2004年8月号に掲載された特集「緊急報告!Windows XP SP2の全貌」に最新の情報を反映させたものです) (中田 敦)
|
・第1回 総論:OSの基本からセキュリティを強化するWindows XP SP2
・第2回 Windowsファイアウオール編
・第3回 Internet Explorer/Outlook Express編
・第4回 データ実行防止編
・第5回 展開編
マイクロソフトは9月2日,「Windows XP Service Pack 2 セキュリティ強化機能搭載」(以下XP SP2)をリリースする。XP SP2は,通常のサービス・パックのような不具合を修正するモジュールだけの集合体ではない。名称にわざわざ「セキュリティ強化機能搭載」とあるように,セキュリティを強化する大幅な改良をWindows XPに実施するものだ。 マイクロソフトは当初,修正モジュールをまとめた従来通りのXP SP2を2003年内にリリースする予定だった。しかし,2003年に入ってWindowsのぜい弱性を突いたワームが大流行し社会的問題になったことから,2003年8月に方針を転換。計画を大幅に変更しリリース時期を当初の予定から半年以上も遅らせてまでして,セキュリティ強化の新機能をXP SP2によって追加することにした(図1)。
根本的な部分からセキュリティを改善 しかし,XP SP2で実施されるセキュリティ強化の本質は,実はこのようなすぐに実感できる表面的な部分ではない。悪意を持った攻撃を防ぐために,「多層防御」の考えに基づいてOSの基本的な部分に対する改善をいくつも実施している(表1)。
例えば,外部からのネットワークを介した直接的な攻撃に対しては,「Windowsファイアウオール」を使って外部からのアクセスを原則禁止することで防止する。これまでネットワーク攻撃の入り口として悪用されることが多かったいくつかのサービスに関しては,標準で停止するようにしたり,ユーザー認証を必須としたりするといった変更を実施する。 ユーザーがWebサイトや電子メール経由で危険なファイルを誤ってダウンロードしたり実行したりしてしまう問題に対しては,Internet Explorer(IE)やOutlook Express(OE)のセキュリティをさらに強化することで対応する。ユーザーが危険なサイトを見てしまったり,問題のあるプログラムを誤ってインストールしてしまったりすることがまずあり得ないようにIE/OEの動作を厳しく制限して,Webサイトや電子メールを安全に閲覧できるようにする。 正しいプログラムに存在するバグを悪用する「バッファ・オーバーフロー攻撃」に対しては,ハードウエアと連携した根本的な対策を実施した。Athlon 64などAMD64アーキテクチャのプロセッサが用意する機能を利用して「データ実行防止(DEP)機能」を使えるようにする。 DEPとは,バッファ・オーバーフローの疑いのあるプログラムを強制的に終了させるというもの。これにより,バッファ・オーバーフローを利用してOSやアプリケーションを乗っ取るBlasterのようなワームの多くは,そもそも動作さえできなくなる。
XP SP2は「もろ刃の剣」 その半面,OSの基本的な仕様に大きな変更を加えたことで,これまで使っていたアプリケーションやシステム全体に影響を与えそうだ。 もちろん,マイクロソフトでは既存環境との互換性や相互運用性を保つために様々な工夫を実施している。しかし,それでもXP上で特にサーバーのような動作をするソフトを実行しようとすると「Windowsファイアウオール」が邪魔をすることがある。またIEの仕様変更の影響でマイクロソフト製のアプリケーションでも正常に動作しなくなったりする。 Windows XP SP2は,セキュリティが大幅に強化される一方で,既存システムに悪影響を及ぼすかもしれない「もろ刃の剣」なのである。 本特集では,XP SP2に追加されるセキュリティ機能の中核を詳しく解説する。XP SP2によってどうやってセキュリティ・リスクが減り,逆にどのような副作用が生じるのか,編集部で検証した結果を掲載している。また第6回では特に企業ユーザーが注意すべき点をまとめているので,XP SP2への対応策を考える際の参考にしてほしい。
【用語解説】
*バッファ・オーバーフロー |
あなたにお薦め
今日のピックアップ
-
生みの苦しみにもがく富士通Japan、「改革の成果はこれからだ」
-
半田病院のランサムウエア被害は「日本の縮図」、調査報告書があぶり出した3つの課題
-
KDDI通信障害で新事実、長期化の背景にVoLTE交換機から加入者DBへの過剰信号
-
米国がスパコンで世界初のエクサFLOPS機、中国はTOP500入りを回避か
-
個人情報流出被害が国内で6月後半に相次ぐ、ランサムウエアより怖い攻撃の正体
-
多機能で目移りしてしまう無線LANルーター選び、6つのポイントを重視しよう
-
相次ぐSQLインジェクション攻撃、矢野研は10万件超の個人情報が漏洩か
-
アバターが着用するスニーカーが140万円で即完売、Web 3.0を支える「NFT」とは
-
スルガ銀行が外国人向け新サービス、3カ月のサイト構築支えた多言語化SaaSの実力
-
アンカーのライト付きWebカメラ、面白いがサイズが気になる
-
起業家育成の「スタートアップスタジオ」が見据える日本の課題とは
-
「Google ToDoリスト」で日々の作業を管理、メールで届いた内容もそのまま登録可能
おすすめのセミナー
-
DX時代のベーシックスキル
わかりやすい構成のeラーニングで、DX時代の働き方の基本となるビジネススキルを、先人の知見、先進...
-
2022年度 1級土木 第2次検定対策講座
オリジナルの「必勝テキスト」で体系的に理解 [添削指導コース]ならプロの講師とマンツーマン、あな...
-
ビジネスプロデュース会議 2022年度
社会課題起点のビジネスを構想し、事業の立ち上げを主導していける人材育成の通年型講座です。必要なス...
-
CIO養成講座 【第31期】
業種を問わず活用できる内容、また、幅広い年代・様々なキャリアを持つ男女ビジネスパーソンが参加し、...
-
技術の喪失を防ぐ トヨタ流「設計ノウハウ書」の作り方
トヨタ自動車の元設計者から設計効率を最大化し、品質不具合を最小化する設計改革について学びます。本...
-
トヨタ流「勝ち残る設計」実践講座(全4回セット)
トヨタ自動車の元設計者から設計効率を最大化し、品質不具合を最小化する設計改革について学びます。(...
-
電動化に必須の車載機器の高耐熱設計と放熱設計を事例でマスター
車載電子機器に関する熱マネジメントを各部品の実装設計段階から、製品の実装設計と同時に協調して行う...
-
ITリーダー養成180日実践塾 【第12期】
8回のセミナーでリーダーに求められる“コアスキル”を身につけ、180日間に渡り、講師のサポートの...
注目のイベント
-
ITインフラ Summit 2022 Summer
2022年 7月 12日(火)、13日(水)
-
ヒューマンキャピタル2022/ラーニングイノベーション2022
2022年7月13日(水)~15日(金)
-
ESG経営入門:ここから始めるカーボンディスクロージャー
2022年7月13日(水)
-
日経クロストレンドフォーラム 2022
2022年7月20日(水)、21日(木)
-
経営課題解決シンポジウム ~セキュリティ編~
2022年7月下旬
-
都道府県CIOフォーラム(年次総会)
2022年8月下旬
-
FinTech Impact Tokyo 2022 金融デジタル戦略会議
2022年8月下旬
-
IT Japan 2022
2022年8月24日(水)~8月26日(金)
-
ITイノベーターズ会議「サービス強化とCX向上に効くデジタル戦略②(仮)」
2022年9月9日(金)
-
DTTF(Digital Twin&Transformation Forum)2022 IoT/AI/VRで切り拓く10年後のビジネスモデル
2022年9月中旬
おすすめの書籍
-
闘病した医師からの提言 iPadがあなたの生活をより良くする
困っている障がい者・認知症・高齢者のためのアクセシビリティ活用術
-
“未”顧客理解 なぜ、「買ってくれる人=顧客」しか見ないのか?
「買わない人」から目を背けるのは、もう止めませんか?ビジネスでは買う人=顧客が大事にされますが、...
-
次世代リーダーに捧ぐ 経営の定石
SDGsやESGなど、企業経営に社会貢献が求められる時代に「社会(ステークホルダー)に資する経営...
-
世界レベルの工場の経営・運営を目指す 工場長の教科書
「工場力強化の達人」が、必須の知識・スキルを体系化。ものづくり力・競争力・稼ぐ力が飛躍的に上がる...
-
製造現場を守る7箇条 ストップ品質不正
無理な目標、職場の格差、多重兼務、権限長期化…、「デキる社員」が不正の温床、防御のカギは現場が握...
-
2022年版 技術士第二次試験 建設部門 最新キーワード100
技術士試験の最新の出題内容や傾向を踏まえて21年版を大幅に改訂。必須科目や選択科目の論述で不可欠...
日経BOOKプラスの新着記事
日経クロステック Special
What's New
総合
- 注目スタートアップが見せた未来の景色
- 出展企業ならではの出会いが新しいビジネス展開へ
- 「2025年の崖」を乗り越え新ステージへ
- クラウド活用の最前線を語る
- 企業ITプラットフォーム構築とERP導入の勘所
- 「改革支援メニュー」で課題ごとに対応
- ベンダーが受け身ビジネスから脱却する方法
- コンテナ特有の攻撃リスクと対処法とは?
- 【先進事例紹介】DXを迅速化する必須技術
- コンテナ監視の落とし穴を回避するには?
- メタバースとサステナブルの本質とは
- 「日本企業のクラウドセキュリティ」要点は
- 製造業DXと今なすべきセキュリティ
- 変革を果たしたハイエンドストレージ
- 脱炭素に向けたPowericoの取り組み
- 圧倒的な存在感「ETFE」にさらなる進化
- 技術革新支えるAGC至高のフッ素ゴム
- 全てのニーズを叶える進化した革新的CPU
- 共創でデザインする想定外の未来
- “正しいPDF”で時間もコストも削減
- テレワークでも共同作業 その方法とは?
- 社員の本音を知って離職を防ぐ新技術
- ハイブリッドワークを成功させる秘訣とは?
- 「まずは電話で問い合わせ」が激減
- クラウドストレージが繋ぐ生協と組合員の絆
- 新しい働き方とはー。DX、人と組織の活用
- ハイブリッドな研修で研修効果を最大に!
- 事例紹介!DXで推進する働き方改革新時代
- 企業の組織課題解決に健康データを活用!
- 企業成長には「○○な人事戦略」が必要
- 新世代インテリジェントストレージとは?
- 日本IBM、30社33部門に感謝状を贈呈
- エネルギー自給自足率の高い住まいを提供
- 士業でレッツノートが選ばれる理由とは?
- Hondaのカーシェアが挑む価格戦略
- 製造業に必要なサイバーレジリエンス強化
- 22年、バックオフィス業務の大変革期へ
- 「予算の組み替え」でDXの原資を生む方法
- カーボンドリブン経営を支えるサービス開始
- 土木最新技術のデータベース「NETIS」
- カタログを一括で請求することが可能です!
- 建設 AD Link
- 48V・12Vを結ぶDC/DCコンバータ
- 毎月更新。電子エンジニア必見の情報サイト
- コンストラクション倶楽部