Microsoft における Windows XP Service Pack 2 の展開によるセキュリティの向上
技術導入事例
Microsoft Information Technology (Microsoft IT) 部門では、インターネットに潜むセキュリティ脅威に対処するため、予防的に Microsoft® Windows® XP Professional Service Pack 2 セキュリティ強化機能搭載 (SP2) を展開しました。
トピック
 | 状況 |
| 解決策 |
| 展開 |
| 利点 |
| ベスト プラクティス |
| 詳細情報 |
状況
Microsoft IT 部門は、Microsoft の自社ネットワーク上に存在する 85,000 人を超えるユーザーと 150,000 台を超えるクライアント コンピュータについて、24 時間休みなく管理する責務を負っています。また、プレリリース版のソフトウェアを展開することによって製品開発チームにフィードバックを提供し、ソフトウェアが Microsoft のビジネス要件を確実に満たすように支援しています。
Microsoft の多くのユーザーは、各自のデスクトップ環境を管理できる必要があります。Microsoft では開発者環境の強化を促進しているため、ほとんどのユーザーが自分のコンピュータに対して管理者権限を持っています。このため、セキュリティやサポートに関して、通常の管理環境では存在しないような課題がいくつか存在します。また、インターネットの利用が普及するにつれて、ブラウザを介在したセキュリティ脅威がますます増大しています。
Microsoft IT 部門では、ウイルスやワーム、スパイウェアその他の悪意のあるソフトウェアから Microsoft の従業員を保護するために、ネットワーク全体のセキュリティを管理しています。自社ネットワークに導入されているセキュリティ ソリューションには、強固なパスワード、ファイアウォール、スマート カード認証、リモート アクセスのための仮想プライベート ネットワーク (VPN)、インターネット プロトコル セキュリティ (IPsec)、脆弱性スキャン ツールなどがあり、その他にも各種のセキュリティ保護のための手段や手順があります。
Microsoft IT 部門ではファイアウォールを自社ネットワークとインターネット間に設置していますが、既知のアプリケーションに関連したポートに対してだけでなく、すべてのポートに対して送られてくる不必要な受信トラフィックから、150,000 台のクライアント コンピュータすべてを個別に保護することが重要になっています。Microsoft における綿密な防御戦略には、ホスト レベルの新しい要素として、ワームやウイルスによるシステムへの損害を抑えるための動作検知型ブロック機能が盛り込まれています。また、悪意のあるトラフィックを特定し、特に重要なシステムをそれらのトラフィックから守るために、アプリケーションで対応する侵入阻止テクノロジも盛り込まれています。
解決策
Microsoft では、自社のクライアント コンピュータを保護するために Windows XP SP2 を展開しました。Microsoft では境界領域を防御するためのファイアウォールを備えていますが、Windows XP SP2 に組み込まれているファイアウォールはクライアント コンピュータにおいて有用なホスト レベルのセキュリティを実現します。
Windows XP SP2 には、これまでに提供されたセキュリティ拡張機能と製品更新プログラムが 1 つのパッケージに収められており、簡単にインストールできます。Windows XP SP2 は従来のサービス パックとは異なり、セキュリティや管理に関する重要な新機能を追加するだけでなく、拡張機能をユーザーに提供します。
セキュリティの向上
Windows XP SP2 は主に 3 つの方法でセキュリティの強化をもたらします。それらは、ファイアウォール機能の強化、Microsoft Internet Explorer におけるセキュリティの強化、および Windows の基本的なインフラストラクチャ (リモート プロシージャ コール (RPC) アクセスなど) におけるセキュリティの強化です。これらのセキュリティ拡張機能によって、クライアント コンピュータの攻撃対象範囲全体が縮小すると同時に、デスクトップの均一化が図られ、Microsoft IT 部門によるサポートが容易になり、コストが低減します。
Windows ファイアウォール
Windows XP SP2 では、Windows ファイアウォールと呼ばれる強化版のインターネット接続ファイアウォール (ICF) が提供されています。Windows ファイアウォールによって、すべてのポートへの不必要な受信トラフィックが、既定ですべてブロックされます。これらのポートは受信トラフィックに対して閉じているため、ポートに関連するアプリケーションがそれらのポートを悪用することはできなくなります。
Windows ファイアウォールを使用することによって、IT 組織やユーザーは TCP (伝送制御プロトコル) ポートや UDP (ユーザー データグラム プロトコル) ポートを個別に開けることができ、インターネット制御メッセージ プロトコル (ICMP) メッセージを必要に応じて送信することが可能です。このため、柔軟な運用ができるようになります。Microsoft IT 部門では、アプリケーションの互換性の理由から、どのポートについても開ける必要はありませんでしたが、Ping.exe などの一部のトラブルシューティング ツールで必要になる ICMP Echo Request パケットの通過を許可し、ユーザーが Windows ファイアウォールで個々のポートをコンピュータ単位で開けることができるようにしています。Microsoft ではファイアウォール内でどのポートも開ける必要がなかったため、Microsoft IT 部門では "すぐに利用することができ"、構成の安全性が高いサービス パックを展開しました。サービス パックにはファイアウォールの認証バイパス機能も組み込まれています。この機能により、IPsec による認証を受けて Windows ファイアウォールをバイパスしたシステムについて、グループ ポリシーを使用して集中的に監査、スキャンすることが可能になります。
Internet Explorer
Internet Explorer には数多くのセキュリティ拡張機能が組み込まれており、インターネットを閲覧したりインターネット対応アプリケーションを使用したりする際の安全性が高まります。悪意のあるアプリケーションが Internet Explorer から起動されるのを防ぐため、Windows XP SP2 では Internet Explorer の既定のセキュリティ動作が組み込まれています。それらを次に示します。
| • | セキュリティが向上した ActiveX® コントロールの組み込み :
| ||||||
| • | 添付されているファイルの MIME (Multipurpose Internet Mail Extensions) とファイルの種類が一致することが求められます。 | ||||||
| • | 安全性の高いゾーンで実行されるべきアクションが安全性の低いゾーンで実行されるのを防ぎます。また、ローカル コンピュータのロックダウン機能を追加します。この機能によって、グループ ポリシーを使用している IT 組織では個々のアプリケーションを制限のより厳しいサイトに割り当てることができます。 | ||||||
| • | ウィンドウのポップアップを防ぐポップアップ ブロック機能を追加します。 | ||||||
| • | スクリプトによるアクションが含まれている HTML (ハイパーテキスト マークアップ言語) ページを制限します。 | ||||||
| • | 常時表示される情報バーを Internet Explorer に追加します。ユーザーはこのバーから、Internet Explorer によって既定でブロックされる情報を参照できます (この情報バーは Microsoft Office Outlook® 2003 の通知領域と同様のものです)。 | ||||||
| • | Internet Explorer アドオン管理機能によって、Internet Explorer アドオンの制御機能が向上します。ユーザーは Internet Explorer で読み込むことができるアドオンの一覧を表示し、管理できます。従来は表示できなかったり、検出が難しかったりしたアドオンについても、表示や管理が可能です。 |
RPC によるアクセス制御
Windows XP SP2 によって、クライアント コンピュータ上の RPC インターフェイスに対する匿名リモート アクセスが禁止されます。この制限によって RPC サービスへの匿名呼び出しがブロックされます。これまでは、悪意のあるユーザーがこの呼び出しを悪用してクライアント コンピュータのセキュリティを侵害することがありました。
管理機能の強化
Windows XP SP2 ではまた、2 つの面で管理機能が強化されています。これらは、グループ ポリシーの追加 (企業向け) とセキュリティ センターの追加 (一般ユーザー向け) です。
グループ ポリシー
Windows XP SP2 によって、グループ ポリシー オブジェクト (GPO) によるクライアント コンピュータの管理機能が拡張されます。GPO を使用することで、IT 組織では Windows ファイアウォール、Internet Explorer、および RPC 機能のセキュリティ設定を効果的に管理できます。
これらの GPO の使用によって、IT 組織では特定のシステムごとに Windows ファイアウォール内のポートを選択して開くことができるほか、Internet Explorer の特定のセキュリティ設定をカスタマイズすることもできます。
グループ ポリシーがなくてもサービス パックを正常に展開することは可能でしたが、Microsoft IT 部門ではグループ ポリシーを使用して Windows XP SP2 の構成を自社全体にわたって管理できるようになりました。この結果、クライアント コンピュータが正しく構成されることを保証できるようになり、将来構成の変更が必要になった場合にも柔軟に対応できるようになりました。
セキュリティ センター
セキュリティ センターはコントロール パネルに追加されるもので、サービス パックに含まれています。セキュリティ センターはドメイン環境以外の環境では既定で有効にされます。ユーザーは自分のコンピュータで自動更新、Internet Explorer、または Windows ファイアウォールの設定を変更する場合、あるいは自分のコンピュータのセキュリティに関する情報を参照する場合に、セキュリティ センターからそれらを集中的に実行できます。また、セキュリティ センターを使用することで、ユーザーは自分のコンピュータに最新のセキュリティ更新プログラムおよび製品更新プログラムを確実に組み込むことができるほか、Microsoft が推奨するセキュリティ設定について参考情報を得ることもできます。
展開
Microsoft におけるすべてのベータ版ソフトウェアの展開と同様に、Microsoft IT 部門ではビジネス要件や製品機能について広範な計画と綿密な検討を行う作業から着手しました。たとえば、Microsoft の現在のソフトウェア製品に対するビジネス要件である、信頼性の向上、セキュリティの向上、およびサポート コストの低減について、これらが展開によって確実に満たされるように、展開の目標とプロジェクトの範囲を慎重に定義しました。
Microsoft IT 部門では、Windows XP の展開で使用したものと同じ基本的な展開フレームワークに従いました。Microsoft IT 部門による Windows XP の展開の詳細については、http://www.microsoft.com/japan/technet/itsolutions/msit/deploy/wxpdpsp.mspx を参照してください。Microsoft IT 部門による、Microsoft Windows Server™ 2003 と Microsoft Systems Management Server (SMS) 2003 を使用したソフトウェアの展開の詳細については、http://www.microsoft.com/technet/itsolutions/msit/security/depsms03.mspx (英語) を参照してください。
アプリケーションのテスト プロセス
Windows XP SP2 にはセキュリティ拡張機能が組み込まれていますが、それらの中には既存のアプリケーションに影響を与える可能性を持つものがあります。そこで、Microsoft IT 部門では、まず小規模のユーザー グループの中でアプリケーションの広範な互換性テストを実施し、それから規模の大きいユーザー グループに順次サービス パックを展開することにしました。ここでは、最初に Windows XP を展開する際に実施したテストと同様の互換性テストを行いました。
Microsoft ではおよそ 2,000 の業務用 (LOB) アプリケーションを自社ネットワークで使用しています。アプリケーションのほとんどは TCP/IP 接続がなくても適切に機能します。展開チームではネットワーク接続を使用するアプリケーション (ネットワーク スキャン ツールや Windows Messenger など) について正常に機能するかどうかをテストし、Windows ファイアウォールに関する問題がないかを確かめました。ネットワーク対応アプリケーションのほかにも、Internet Explorer を通じてアクセスされる LOB アプリケーション (HeadTrax や MS Expense など) についてテストを行い、Internet Explorer のセキュリティ拡張機能によってそれらのアプリケーションの機能に影響が出ないかを確かめる必要がありました。
Windows XP SP2 の新しいセキュリティ機能について十分な評価を行った結果、展開テスト チームでは、特に重要な LOB アプリケーションのリストから、サービス パックの影響を受ける可能性が高いと考えられる 30 のアプリケーションを絞り込みました。そして、頻繁に使用している 150 のアプリケーションがさらに影響を受ける可能性があると判断しました。展開チームではこれら 180 のアプリケーションを、Windows XP SP2 とのアプリケーション互換性についてテストする必要がある中心的なアプリケーション グループとしました。そのほか、Internet Explorer やネットワーク対応アプリケーションを通じてアクセスする必要があるいくつかの LOB アプリケーションのうち、Windows ファイアウォールの影響を受ける可能性のあるものについても、テストを実施する時間を確保しました。Windows 製品チームではサード パーティ アプリケーションの広範なテストを同時に実施し、それらがサービス パックと一緒でも問題なく動作することを確認しました。
Windows XP SP2 の導入に関連したハードウェアの潜在的な問題を特定するため、展開テスト チームでは、比較的頻繁に使用されているデスクトップ、ラップトップ、Tablet PC の各コンピュータ構成の中から 40 の構成を選択し、ハードウェア互換性テストのためのラボ環境を準備しました。テスト チームではこのシステムのグループをアプリケーションのテスト プロセス全体を通じて使用しました。
このラボで、100 〜 300 のユーザーによる新機能の初期機能テストを実施し、より多くの対象ユーザーに展開する前にアプリケーション互換性の潜在的な問題がないかを特定する作業を主に実施しました。
初期のラボ テストの際、Microsoft IT 部門では Windows XP SP2 を主に社内のダウンロード サーバーから展開しました。このため、ラボ テストの参加者はサービス パックをオン デマンドでインストールすることができました。それ以降の展開では、SMS を使用し、すべてのテスト システムで必ず同じプレリリース バージョンの製品が使用されるようにしました。
テスト ケースでは、まず基本機能を検証するため、Internet Explorer で余分なセキュリティ機能を無効にした状態でインターネット対応アプリケーションを実行しました。次に、通常のインストール (アップグレードと新規インストールの両方を含む) の後に有効になる設定を Internet Explorer で使用した状態で、アプリケーションを実行しました。ネットワーク対応アプリケーションについては、まず Windows ファイアウォールを無効にした状態でアプリケーションを使用して基本機能を検証し、それからすべての Windows ファイアウォール設定を有効にした状態で再びテストを実施しました。テスト チームではテスト作業グループを構成し、これらのグループに対して、グループ ポリシーを使用して Internet Explorer と Windows ファイアウォールのセキュリティ機能を制御しました。これによって、テスト プロセス中に Internet Explorer や Windows ファイアウォールのセキュリティ機能をテスト作業グループごとに簡単に有効または無効にすることができました。
互換性の問題
アプリケーション互換性テストの結果、アプリケーションに関連した問題はわずかしかありませんでした。Microsoft IT 部門でテストを実施した 296 の LOB アプリケーションのうち、アプリケーション レベルでの調整を必要としたものは 24 だけでした。このうち 19 はインターネット対応アプリケーションでした。これらのアプリケーションについては、セキュリティが強化された Internet Explorer の環境で動作するように、該当する業務単位 IT グループ (BUIT) で若干のコード変更を加える必要が生じました。テスト チームではこれら 19 のインターネット対応アプリケーションを調べた結果、それらのアプリケーション互換性の問題はセキュリティ保護がなされていないコーディングに原因があることを突き止めました。Internet Explorer のセキュリティ環境が強化されたことによって、このようなアプリケーションについてはネットワーク上で許容レベルのセキュリティを実現できるように修正を加える必要が生じたものです。
たとえば、MS Expense アプリケーションは、使用していた ActiveX コントロールの 1 つが署名されていなかったために実行できませんでした。このアプリケーションは Windows XP SP1 では問題なく動作していましたが、より制限が厳しくなった Windows XP SP2 のセキュリティ環境では動作しなくなりました。しかし、ActiveX コントロールに適切な署名を付けた結果 (この変更は容易に実装されました)、通常のアプリケーション機能が回復しました。
残りのネットワーク対応アプリケーションのうち 4 つについては、サービス パックによって形成されるより厳しいセキュリティ コンテキストの中で動作するように、それらをすべて修正しました。このようなアプリケーションの 1 つに、リモート アクセス サービスを可能にする Secure Remote User (SRU) アプリケーションがあります。
SRU アプリケーションは、Microsoft 社内ネットワークへのリモート アクセス ログオン時にスクリプトを使用して、セキュリティ保護された接続ポリシーやプロシージャを実施します。Microsoft IT 部門ではこれらのスクリプトを更新して、Windows ファイアウォールの新しいアプリケーション プログラミング インターフェイスがスクリプトで使用されるようにしました。
Windows XP SP2 にはファイアウォールの認証バイパス機能が組み込まれています。この機能により、クライアント コンピュータと通信しようとしているシステムを IPsec で認証できるようになります。ファイアウォールの認証バイパス機能のしくみによって、ファイアウォール ポートを閉じたままで、あらかじめ定義された特定の IPsec 認証済みコンピュータで IP ベースのトラフィックを Windows ファイアウォールを通じて渡すことが可能になります。たとえば、ファイアウォール認証バイパス機能を使用することで、脆弱性スキャンを実行するコンピュータでは、特定のポートを開いていなくても、ネットワーク上の各システムに対して日常的なセキュリティ スキャンを引き続き実行できるようになります。
テスト チームでは、Windows ファイアウォールとのアプリケーション互換性の問題のうち、基礎部分のアプリケーション コードに若干の修正を加えるだけでは解決できなかった問題を 1 つ発見しました。それは、リモート アシスタンス アプリケーションに関するものでした。Microsoft のヘルプ デスク技術者は、コンピュータ関連の問題解決を支援するために、ユーザーへのリモート アシスタンスのセッションを日常的に起動しています。通常、ユーザーから起動されたセッションは Windows ファイアウォールで正常に機能しますが、ヘルプ デスクから起動されたセッションは Windows ファイアウォールによってブロックされます。
Microsoft IT 部門では社内ネットワークを IPsec によって既に論理セグメント化していました。そのため、ヘルプ デスク技術者のシステムだけが IPsec を使用して通信を起動できるように、GPO を変更しました。この結果、ヘルプ デスク技術者は Windows ファイアウォールのポートを開かなくてもリモート アシスタント アプリケーションを使用できるようになりました。
Microsoft IT 部門における IPsec を使用したネットワークのセグメント化の詳細については、「Improving Security with Domain Isolation: Microsoft IT implements IP Security (IPsec)」(http://www.microsoft.com/technet/itsolutions/msit/security/ipsecdomisolwp.mspx) (英語) を参照してください。Microsoft のヘルプ デスクではリモート アシスタントを使用してサポート コストを低減しています。
ハードウェアの考慮事項
Windows XP SP2 の展開にあたっては、既存のクライアント システムのハードウェアをアップグレードする必要はまったくありませんでした。サービス パック導入のためのハードウェア要件は Windows XP の場合とまったく同じです。参考までに、インストール プロセスでは最大で 1.5 GB の空きディスク領域が必要になります。インストールの直後には 150 MB のディスク領域が解放されます。10 日後にダウンロード キャッシュの期限が切れた後には、さらに 500 MB が解放されます。
展開方法
Microsoft ではソフトウェアの配布のために主に社内ダウンロード サーバーと SMS を使用していますが、自動更新によるインストールをテストすることも選択しました。これは、モバイル作業者やリモート作業者にとって SMS の制約を受けないという利点があるためです。初期のプレリリース版の展開中には使用できなかった自動更新を使用することで、Microsoft ではサービス パックをインストールするユーザーに必要となる帯域幅の量を管理できるようになり、更新プログラムを受信するユーザーの操作感が向上しました。
Microsoft では次の展開方法を使用できます。
| • | SMS Microsoft IT 部門では SMS を使用してソフトウェアを配布していますが、プレリリース版のソフトウェアについてはユーザーがインストールするかどうか、そしていつインストールするかを選択できるようにしています。すべてのユーザーがプレリリース版で柔軟に作業できるとは限らないため、このような選択機能が必要になります。 |
| • | 自動更新 Microsoft IT 部門では、Windows XP SP2 の自動更新に参加するよう呼びかける通知をユーザーに送りました。約 10,000 のユーザーが、サービス パックが利用可能になった時点で通知を受け取り、インストールすることを選択しました。通知から 1 週間のうちに、9,000 のユーザーがサービス パックをインストールしました。自動更新によるダウンロードはバックグラウンドでゆっくりと実行され、使用可能なネットワーク帯域幅を利用してインターネット経由で行われます。また、"SMS の場合と同様に"、ユーザーはいつ更新プログラムをインストールするのかを選択できます。 |
| • | 社内ダウンロード サーバー Microsoft IT 部門ではダウンロードの代替手段として、SMS クライアントではないコンピュータを持つユーザーや、ソフトウェアをすぐにダウンロードする必要があるユーザーのために、オン デマンドによるインストールを提供しています。 |
| • | Windows Update Windows XP SP2 が一般リリースされた後、更新プログラムが http://windowsupdate.microsoft.com で利用できるようになります。ユーザーは Windows Update の Web サイトからインストールを開始できます。このサイトでは、更新を直ちに実行するか、自動更新機能を有効にするか、またはインストール CD を入手するかを選択できるオプションをユーザーに提供しています。 メモ 組織で互換性テストの実施中に Windows XP SP2 のインストールを無効にする方法の詳細については、http://www.microsoft.com/japan/technet/prodtechnol/winxppro/maintain/sp2aumng.mspx を参照してください。 |
利点
Windows XP SP2 の展開によって、Microsoft IT 部門では、社内ネットワーク全体のセキュリティの向上や、管理機能の向上、サポート コストの低減などの利点がもたらされています。
セキュリティの向上
Windows ファイアウォールによって不必要な受信トラフィックがすべてブロックされるため、ネットワークのセキュリティが向上します。過去に発生していた攻撃事例の多くは、既知のサービスに関するアプリケーションの弱点を悪用したものでした。現在では、これらのサービスが使用するポートが、すべての不必要な受信接続要求に対して既定で閉じられるようになりました。
同様に、RPC サービスの変更によって RPC インターフェイスへのリモート匿名アクセスが制限され、攻撃対象の範囲が狭まりました。
Internet Explorer のセキュリティも向上しており、ユーザーが悪意のあるコードを含む Web サイトを閲覧したり、電子メール メッセージに埋め込まれた悪意のあるサイトへの URL (Uniform Resource Locator) を気が付かないうちに開いたりすることを防止できます。
管理機能の向上
Windows XP SP2 によって、Windows ファイアウォール用と Internet Explorer 用のグループ ポリシーのサポートが追加され、Microsoft IT 部門ではセキュリティ機能をより適切に管理できます。
従業員のクライアント コンピュータのセキュリティを確保したいと考えている IT 組織では、サービス パックをさまざまな方法で構成するよう選択できます。IT 組織では、サービス パックを "すぐに利用できる状態で" インストールし、最善のセキュリティ設定を導入するよう選択できます。または、グループ ポリシーを使用してセキュリティの例外を設定することもできます。後者の選択では、Windows XP や Windows XP SP1 よりも高度なセキュリティが提供されると同時に、互換性の問題のあるアプリケーションについて開発者がセキュリティ強化の作業を行っている間、引き続きそれらのアプリケーションを通常どおり実行することも可能になります。
サポート コストの低減
セキュリティや管理機能が向上するだけでなく、Windows XP SP2 を自社全体で展開することによって、Microsoft では以前の更新プログラムをすべて組み込んだ単一のオペレーティング システム構成を標準とすることが可能になります。このような標準化によって、ヘルプ デスクのトレーニング量、顧客からのサポート通話数、およびハードウェア関連の問題がいずれも減少するため、全体のサポート コストが低減します。また、このような標準化によって、インターネットを悪用した攻撃やネットワークへの侵入、悪意のあるコードなどにより、セキュリティの問題への対応が発生したり、作業者の生産性が低下する状況を回避することで、そうした作業にかかる金銭的コストも大幅に低減されます。
ネットワーク全体のセキュリティと個々のユーザーのコンピュータのセキュリティが強化され、セキュリティ違反に伴う IT 部門のサポート コストが実質的に低減します。これらのコスト低減は大規模に効果を及ぼす場合もあります。これは、サービス パック展開のためのコストは、展開前に実施するアプリケーション互換性テストのコストを考慮したとしても、Windows XP SP2 によって発生が抑えられるセキュリティの問題を管理するためのコストに比べて低くなる可能性が高いためです。必要なハード ディスク容量が増えるという点を除けば、展開に際してハードウェアのアップグレードが必要になることはなく、サービス パックの入手に要するコストはダウンロード コストを除いて実質的に 0 です。
ベスト プラクティス
Windows XP SP2 の展開を通じて Microsoft IT 部門が得たベスト プラクティスを次に示します。
| • | Windows XP の展開計画をサービス パック展開のためのモデルとして利用する。Windows XP SP2 展開の際に必要になるアプリケーション テストの作業は、通常のサービス パックの場合と比べて広範囲に及び、オペレーティング システムの完全なアップグレードの場合に匹敵するほどの作業量になります。 |
| • | 展開前にラボ環境でアプリケーション互換性テストを行うための計画を立てる。この計画には、自社開発アプリケーションとサード パーティ アプリケーションの両方を含めます。LOB アプリケーションを社内で開発している組織では、それらのアプリケーションについて開発者が自分で Windows XP SP2 の互換性をテストすることをお勧めします。これは、開発者自身がアプリケーションの動作を最もよく理解しているためです。また、これらのアプリケーションの互換性テストに LOB アプリケーションのユーザー グループが参加するようにします。これは、アプリケーションの使用頻度が高く、動作をよく理解していることから、互換性の問題を早期に発見するのに役立つと考えられるためです。 |
| • | アプリケーションを分析する前に、代表的なアプリケーションについて問題がないかテストする。共通の問題が明らかになった後に、それらの問題の原因を分析し、次に、その成果を他のアプリケーション テストに応用します。 |
| • | アプリケーション互換性テストの結果を利用して、ネットワーク全体のセキュリティの向上を図る。たとえば、Microsoft では互換性の問題のあったアプリケーションについて見直しを行い、若干の修正を加えました。その結果、アプリケーションのセキュリティが高まりました。 |
| • | ラボ環境でのテストが完了した後に、アプリケーション互換性テストの結果を評価し、グループ ポリシーを使用して Windows ファイアウォールや Internet Explorer などのセキュリティ機能に必要な変更を加え、その後企業全体での展開を始める。 |
| • | 展開の前にヘルプ デスクのサポート トレーニングを実施する。Microsoft におけるサポート問題のほとんどはサービス パックによって追加された新機能に関連したものであり、アプリケーションの互換性に関して報告された問題はわずかでした。 |
| • | サービス パックを展開するための総合的なコミュニケーション計画を立てることで、サポート コストの低減を図る。これには、サービス パックの入手方法やインストール方法を示したユーザー向け情報や、ユーザーが自分で問題を解決することを支援するリソース、ヘルプ デスクへの連絡先情報などを盛り込みます。 |
| • | 可能であれば、展開に SMS を利用する。サービス パックの展開前に正確なコンピュータ リソースの一覧 (使用可能なハード ディスク容量、必要な基本入出力システム (BIOS)、デバイス ドライバなど) を作成しておくと便利です。この情報は SMS を利用して容易に生成できます。 |
| • | クライアントからサーバーに対してクエリを実行するビジネス プロセスがある場合は、IPsec とグループ ポリシーを使用して Windows ファイアウォール内のポートを開くことを検討する。または、Active Directory® ディレクトリ サービス環境がない場合は、スクリプトの使用を検討する。 |
IT 組織では、アプリケーション互換性テストに必要な人員に加えて、従来のサービス パック展開の際に必要だったレベルよりも若干高めの IT サポート要員を確保するよう計画を立てる。Microsoft IT 部門における展開で最も関連性のあったサポート分野は次のとおりです。
| • | サービス パックに実装された新しいセキュリティ機能に関連する、アプリケーション互換性の問題 |
| • | サービス パックの新機能に関するユーザーからの質問 (アドオン管理ツールやポップアップ ブロック ツールの使用方法など) |
ラボ環境での初期テストによって、アプリケーション互換性の問題が明らかになります。IT サポート組織では、影響を受けるアプリケーションのコードを調整したり、グループ ポリシーを使用して (特定のアプリケーション用にポートを開くなどして) サービス パックにセキュリティ上の変更を加えたりすることで、それらの問題を軽減します。IT サポート要員はまた、サービス パックに組み込まれている新機能について説明した文書を提供することによって、ユーザー支援のための要件を減らすこともできます。
Microsoft IT 部門ではサービス パックをまだ開発中の段階で展開しました。このため、Microsoft IT 部門の人員からのフィードバックによって、他の数多くの問題が解決されました。このような問題には、製品の改良に関するもの以外に、インストール中断の問題、リモート アクセス接続の問題、ワイヤレス LAN の設定の問題などがありました。たとえば、製品チームでは展開チームの提案を受け、ファイアウォールの認証バイパス機能をサービス パックに追加しました。
テスト チームでは、展開テストの過程で発見したアプリケーション互換性の問題について、影響を受けたアプリケーションに若干の変更を加えたか (該当する BUIT またはアプリケーション グループによって変更がなされました)、またはファイアウォールの認証バイパス機能の追加 (およびその後の実装) によって、それらの問題を解決しました。BUIT またはアプリケーション グループがアプリケーションに対して加えた小規模の変更によって、それらのアプリケーション全体のセキュリティが高まり、Microsoft IT 部門で Windows ファイアウォール内のポートを開かなくても引き続き使用できるようになりました。影響を受けたアプリケーションに若干の修正を加え、またファイアウォールの認証バイパス機能を使用することによって、Microsoft IT 部門ではリリース版の Windows XP SP2 をすぐに利用できる状態、つまり、セキュリティの高い構成で、展開することができました。
詳細情報
Windows XP SP2 の詳細については、以下の Web サイトを参照してください。
IT ショウケース Windows XP 導入ペーパー :
http://www.microsoft.com/japan/technet/itsolutions/msit/deploy/wxpdpsp.mspx
Windows XP SP2 情報 :
http://www.microsoft.com/japan/technet/prodtechnol/winxppro/maintain/winxpsp2.mspx
http://www.microsoft.com/japan/technet/prodtechnol/winxppro/maintain/sp2chngs.mspx
縦深防御に関する情報 (英語) :
http://www.microsoft.com/technet/security/bestprac/overview.mspx