お疲れさまでした。これで、このガイドは終了です。組織内で Microsoft® Windows® XP Professional Service Pack 2 (SP2) オペレーティング システムを実行しているコンピュータのセキュリティに影響するリスクの評価方法への理解が深まったことと思います。インフラストラクチャのクライアント コンピュータに対してセキュリティを計画および設計する方法についても理解していただけたはずです。 このガイドには、Windows XP、Microsoft Windows Server™ 2003、および Windows 2000 の各ソリューションをさまざまな組織設定で実装してきたコンサルタントやシステム エンジニアの意見が集約されています。このガイドの目的は Windows XP で作業するための最新のベスト プラクティスを提示することであり、このガイドで示した規定の情報はどの組織にも適用できます。 組織の環境に関係なく、セキュリティは重大な問題です。しかし、多くの組織では、セキュリティを組織の機敏性や柔軟性を妨げるものと誤解しているため、その関心は高くありません。セキュリティを入念に設計することを重要なビジネス要件として捉え、すべての情報技術 (IT) プロジェクトの開始時に計画することで、セキュリティ戦略を正しく実施し、コンピュータ システムの可用性やパフォーマンスを向上させることができます。逆に、セキュリティ戦略を後でプロジェクトに追加した場合は、利便性、安定性、および管理の柔軟性が下がります。そのため、どの組織でもセキュリティを最優先に検討することをお勧めします。 トピッククライアントをセキュリティで保護するWindows XP Professional では、デスクトップおよびラップトップ コンピュータをセキュリティ上の脅威から保護するための一連のセキュリティ ソリューションが用意されています。ドメインに参加していないコンピュータのユーザーは、選択できるセキュリティ オプションが限られていますが、ドメインに参加しているユーザーもスタンドアロン ユーザーも、それぞれのコンピュータに安全にアクセスできることに利点があります。 エンタープライズ クライアントクライアント コンピュータが組織のネットワークの一部である場合、ネットワーク管理者は、このガイドで説明した Active Directory® ディレクトリ サービスのグループ ポリシー セキュリティ機能を使用してコンピュータを構成できます。ネットワーク管理者が適用するグループ ポリシー設定は、ユーザーが各自のコンピュータで構成するローカル設定に優先します。グループ ポリシーを使用すると、管理者は、多くの異なる種類のクライアント コンピュータを含む環境を管理できます。 セキュリティ強化 - 機能制限クライアントこのガイドで説明したセキュリティ強化 - 機能制限 (SSLF) 環境では、アクセス、サービス、およびインフラストラクチャ環境の問題を重視します。この環境では、セキュリティ制御およびユーザー認証が強化されていることに加え、管理者はネットワークおよびクライアント ワークステーション上のリソースやオブジェクトへのアクセスをより細かく制御できます。このような制御は、データやリソースを安全に保つ必要がある管理者にとって不可欠であり、必然的に SSLF クライアント コンピュータで実行できる作業を制限します。しかし、この種類の環境ではセキュリティ要件が高いので、機能の制限は必要です。 スタンドアロン クライアントスタンドアロン クライアント コンピュータで使用できるセキュリティ ポリシー設定は、Active Directory ドメインに属しているクライアント コンピュータに比べると限られていますが、重要なセキュリティ機能はスタンドアロン クライアントでも使用できます。スタンドアロン コンピュータでこれらのポリシー設定を適切に構成すると、脆弱性を悪用されるリスクを最小限に抑えることができます。スタンドアロン環境では、コンピュータをドメインベースのグループ ポリシーで管理できないため、管理のオーバーヘッドが増大します。ただし、このガイドで説明したツールを使用すると、管理のオーバーヘッドを低減できます。 ソフトウェア制限ポリシーソフトウェア制限ポリシーを使用すると、管理者は、ドメイン環境またはスタンドアロン環境のクライアント コンピュータで実行されるソフトウェアを識別し、そのソフトウェアを実行できるかどうかを制御できます悪質なスクリプトやコードをブロックしたり、不要なアプリケーションの実行を防止したりできます。ソフトウェア制限ポリシーは、スタンドアロン システム用に構成したり、ドメインベースのグループ ポリシーを使用して管理したりすることで、システムの整合性および管理性を向上できます。 まとめこのガイドでは、3 つの異なるコンピュータ環境で Windows XP SP2 を実行しているコンピュータのセキュリティ リスクを効果的に評価し、優先順位を付け、軽減する方法について説明しました。組織のネットワーク インフラストラクチャのセキュリティを計画および設計する方法や、このガイドで定義した 3 つの環境内のコンピュータで特定の脆弱性を評価および軽減する方法を詳しく説明しました。 また、組織が 3 つの環境のポリシー設定を実装するかどうかを決定するときに考慮する必要のあるトレードオフの観点から、推奨される設定の理由を説明しました。個々のポリシー設定がコンピュータの機能性、管理性、パフォーマンス、および信頼性に対してもたらす影響について詳しく説明することで、実際の環境で実装する設定を適切に判断できるように配慮しました。 ネットワーク内のクライアント コンピュータのセキュリティを保護する作業は、一度限りのプロジェクトではなく、継続的なプロセスであることを理解することが重要です。組織では、その予算とスケジュールに、セキュリティ関連の作業と計画を組み込む必要があります。このガイドで説明したすべてのポリシー設定を実装すると、Windows XP Professional を運用しているほとんどの組織でセキュリティを強化できます。ただし、また新たに重大な脆弱性が発見された場合、環境は再び攻撃を受けやすくなります。そのため、環境内のオペレーティング システム、アプリケーション、およびデバイスのセキュリティ上の問題に関して常に最新の情報を入手できるように、さまざまなリソースをチェックすることが重要です。 このガイドの作成を担当したチーム メンバー一同、このガイドが便利で実用的でわかりやすい資料として皆様のお役に立てることを願っています。 関連情報次のリンク先には、Windows XP Professional のセキュリティに関する追加情報があります。 | • | 一般的な質問と回答、作業手順、最新のダウンロードなどへのリンクについては、http://support.microsoft.com/winxp の「Microsoft Windows XP サポート ページ」 (英語情報) を参照してください。 | | • | Windows XP でのセキュリティの維持については、http://www.microsoft.com/japan/mscorp/twc/security/default.mspx の「信頼できるコンピューティング: セキュリティ」サイトを参照してください。 | | • | Microsoft TechNet にあるセキュリティの情報については、http://www.microsoft.com/japan/technet/security/default.mspx を参照してください。 | | • | Windows XP Professional の計画については、http://www.microsoft.com/japan/technet/prodtechnol/winxppro/plan/default.mspx の TechNet にある「Windows XP Professional - 計画」を参照してください。 | | • | Windows XP Professional のセキュリティ ヒント集については、http://www.microsoft.com/japan/technet/itsolutions/howto/sechow.mspx を参照してください。 | | • | 暗号化ファイル システム (EFS) を使用したデータの暗号化と暗号化解除については、http://www.microsoft.com/resources/documentation/windows/xp/all/proddocs/en-us/sag_seconceptsunencrypt.mspx を参照してください。
|
| 
