セキュリティの新機能
|
トピック
 | はじめに |
| 利点 |
| 新機能および改善点 |
| まとめ |
はじめに
企業のコンピューティング環境は、従来のローカル エリア ネットワーク (LAN) の枠を超え、イントラネット、エクストラネット、およびインターネットのサイトなどを組み合わせたものに拡大しています。このため、システム セキュリティの強化は以前にも増して重要な課題となっています。Windows Server 2003 オペレーティング システムは、セキュアなコンピューティング環境を提供するために、多くの新しい重要なセキュリティ機能を備え、Windows 2000 Server に組み込まれていたセキュリティ機能を強化しました。
Trustworthy Computing
ウイルスがなくならない以上、ソフトウェア セキュリティには常に注意を払う必要があります。これらの問題に取り組むため、マイクロソフトは、Trustworthy Computing の実現をすべての自社製品に反映すべき優先課題として掲げてきました。Trustworthy Computing は、家庭で毎日使用する電化製品のように安全で信頼性の高いデバイスをコンピュータやソフトウェアを使用して開発するフレームワークです。Trustworthy Computing のためのプラットフォームはまだ製品化されていませんが、その実現に向けた着実な一歩として、Windows Server 2003 の基本設計の見直しが行われています。
共通言語ランタイム
共通言語ランタイム (CLR) ソフトウェア エンジンは、信頼性を向上させ、安全なコンピューティング環境を提供するための Windows Server 2003 の主要コンポーネントです。CLR により、一般的なプログラミング ミスによって生じるバグやセキュリティ ホールの数が減少します。したがって、攻撃に対する弱点が少なくなります。
CLR は、アプリケーションがエラーなしで実行できることを検証し、セキュリティ権限が適切かどうかをチェックします。また、適切な処理をするコードのみが実行されます。このため、コードのダウンロード元またはインストール元、信頼された開発者からのデジタル署名があるかどうか、およびデジタル署名後に変更されたかどうかなどがチェックされます。
利点
Windows Server 2003 は、ビジネスを行うためのセキュアで低コストなプラットフォームを提供します。
| 利点 | 説明 |
低コスト | アクセス制御リストと Credential Manager などの簡素化されたセキュリティ管理プロセスによって実現します。 |
オープン標準の導入 | IEEE 802.1X プロトコルの導入により、ビジネス環境での盗聴を容易に防ぎ、無線 LAN をセキュアな状態に保つことができます。 |
モバイルコンピュータおよびその他の新しいデバイス | 暗号化ファイル システム (EFS)、証明書サービス、および自動スマート カード登録などのセキュリティ機能によって、ビジネス環境で使用するすべてのデバイスを容易にセキュアな状態に維持することができます。 |
新機能および改善点
Windows Server 2003 による利点
| • | ビジネスを行うためのセキュアなプラットフォーム |
| • | 公開キー インフラストラクチャに最適なプラットフォーム |
| • | インターネット ビジネスのセキュアな展開 |
ビジネスを行うためのセキュアなプラットフォーム
Windows .NET サーバーでは、ビジネスを行うためのセキュアなプラットフォームを提供するために多くの新しい機能が追加され、これまでの機能が改善されました。
| 機能 | 説明 |
インターネット接続ファイアウォール | Windows Server 2003 は、インターネット接続ファイアウォール (ICF) と呼ばれるソフトウェア ベースのファイアウォールを使用してインターネット上のセキュリティを確保します。 ICF は、インターネットに直接接続されたコンピュータ、または ICF が実行されており、インターネット接続の共有 (ICS) 機能が有効になっているホスト コンピュータの内側にあるコンピュータを保護します。 |
セキュアな IAS/RADIUS サーバー | インターネット認証サービス (IAS) は、ユーザー認証とユーザーへの権限付与を管理するリモート認証ダイヤルイン ユーザー サービス (RADIUS) です。IAS を使用すると、ダイアルアップ、仮想プライベート ネットワーク (VPN)、およびファイアウォールなどのさまざまな接続テクノロジを使用して接続を管理することができます。 |
セキュアな無線 LAN およびイーサネット LAN | Windows Server 2003 では、無線 LAN やイーサネット LAN に接続するユーザーとコンピュータの認証と権限付与を行うことができます。これは、Windows Server 2003 が IEEE 802.1X プロトコルをサポートすることにより実現されました(IEEE 802 標準は、LAN へのアクセス方法や LAN の制御方法を定義します)。 |
ソフトウェアの制限のポリシー | Windows Server 2003 では、実行可能プログラムがコンピュータ上で実行されないように、システム管理者がポリシー、すなわち実行に関する制限を適用することができます。 |
イーサネット LAN および無線 LAN のセキュリティの改善点 | Windows Server 2003 では、イーサネット LAN と無線 LAN の両方に対し、IEEE 802.11 仕様に基づき、自動登録またはスマート カードを使用して展開された公開証明書をサポートするセキュリティを提供します。 |
Web サーバーセキュリティの向上 | どんな組織にとっても、情報のセキュリティは非常に重要な問題です。Web サーバーのセキュリティを強化するために、インターネット インフォメーション サービス 6.0 (IIS 6.0) は出荷後すぐに使用しても最大限のセキュリティが得られるように設定されています。つまり、デフォルトのインストール設定が 「ロック」 されます。 |
オフラインファイルデータベースの暗号化 | オフラインのファイル データベースを暗号化するためのオプションが提供されます。Windows 2000 ではキャッシュに入れられたファイルは暗号化できなかったので、これは大きな進歩です。 |
FIPS に準拠した、カーネルモードで実行可能な暗号化モジュール | この暗号化モジュールは、カーネル モードでドライバとして実行でき、連邦情報処理標準規格 (FIPS) に準拠した暗号化アルゴリズムを実装しています。このアルゴリズムには、SHA-1、DES、3DES、およびこの規格に準拠した乱数ジェネレータが含まれています。 |
新しいダイジェストセキュリティパッケージ | 新しいダイジェスト セキュリティ パッケージという機能は、RFC 2617 と RFC 2222 と共にダイジェスト認証プロトコルもサポートしています。これらのプロトコルは、Microsoft Internet Information Server (IIS) および Active Directory® サービスの両方でサポートされています。 |
システムセキュリティの強化 | 次の点を始めとして、全体的なシステム セキュリティを高めるための重要な改善が行われました。 SSL (Secure Sockets Layer) を使用した場合のパフォーマンスが 35% 向上した。 IIS が既定でインストールされていない。IIS を展開するには、[コントロール パネル] で [プログラムの追加と削除] を選択して、インストールする必要があります。Microsoft Visual Studio® のバッファ チェック機能 (ハッカーは、よくバッファ オーバーランを利用してシステムに侵入します)。 |
Credential Manager | Windows Server 2003 の Credential Manager には、パスワードや X.509 証明書などのユーザーの資格情報を安全に格納することができます。 |
SSL のクライアント認証機能の強化 | Windows Server 2003 では、SSL のセッション キャッシュを複数のプロセスで共有することができます。これにより、ユーザーがアプリケーションに対して認証を求める回数が減少し、アプリケーション サーバー上での CPU サイクルを節約することができます。 |
Windows Server 2003 用セキュリティの構成ウィザード (Windows Server 2003 Service Pack 1 に含む) | セキュリティの構成ウィザードを使用すると、攻撃を受けやすい部分を削減するためのセキュリティ ポリシーを追加すると同時に、Web サーバー、ドメイン コントローラ、またはその他の機能の要件に基づき、Microsoft Windows を実行するサーバーを素早く、容易に構成できます。 |
公開キー インフラストラクチャに最適なプラットフォーム
Windows Server 2003 では、スマート カードなどの関連テクノロジと共に、公開キー インフラストラクチャを容易に展開することができます。
| 機能 | 説明 |
証明書の自動登録と自動更新 | この 2 つの重要な機能が新しく追加されたことにより、X.509 証明書の管理に必要なリソースを大幅に削減することができます。 |
Windows インストーラのデジタル署名のサポート | デジタル署名がサポートされたことにより、Windows インストーラパッケージと外部キャビネットにデジタル署名を行えるようになりました。これにより IT 管理者は、よりセキュアな Windows インストーラパッケージを提供できるようになりました。これは、パッケージをインターネット経由で送信する場合に特に大きな利点となります。 |
証明書の失効リスト (CRL) の強化 | Windows Server 2003 の証明書サーバーは、デルタ CRL をサポートしています。CRL を使用すると、失効した X.509 証明書を効率的に発行でき、ユーザーは新しい証明書を容易に取得することができます。 |
インターネット ビジネスのセキュアな展開
企業は、企業のイントラネット外にいる社員、お客様、およびパートナとのセキュアな通信手段を求めています。Windows Server 2003 を使用すると、データやリソースを使用する必要のあるユーザーや企業のために自社のネットワークへのアクセスを安全に拡張することが容易になります。
| 機能 | 説明 |
パスポートの統合 | パスポート ID を Windows Server 2003 内の Active Directory にマッピングすることができます。たとえば、パスポート ID を Active Directory の ID と関連付けることにより、ビジネス パートナは IIS 経由でリソースにアクセスする権限を得ることができ、直接 Windows ネットワークにログオンする必要がなくなります。パスポートの統合により、IIS を使用したシングル サインオン機能が提供されます。 |
フォレスト間の信頼のサポート | 取引先の企業またはパートナが Active Directory のフォレストを展開している場合には、Windows Server 2003 を使用して自社のフォレストと取引先のフォレストとの間に信頼関係を確立することができます。 |
まとめ
企業が競争力を維持するために、効率的でセキュアなネットワーク環境を活用することがますます重要となっています。Windows Server 2003 を導入することにより、既存の IT 投資を有効に活用し、フォレスト間の信頼関係を確立したり、パスポート統合機能を利用することによって、パートナ企業、企業のお客様、サプライヤとの緊密なビジネス関係を確立することができます。
Windows Server 2003 では、セキュアなビジネス環境を構築するための多くのサービスが提供されます。機密性の高いデータを暗号化し、ソフトウェアの制限のポリシーを設定してウイルスやトロイの馬からネットワーク システムを保護できます。Windows Server 2003 は、公開キー インフラストラクチャを展開するためにも最適のオペレーティング システムです。その自動登録機能や自動更新機能を使用すると、企業全体にスマート カードや証明書を容易に展開することができます。
セキュリティの確立と維持
マイクロソフトは、お客様のセキュリティの確立と維持を全面的に支持しようと努めています。お客様の社内のコンピュータ環境を健全でセキュアな状態に保つには、頻繁なアップデートにより、マイクロソフトが提供する最新のセキュリティ機能を常に利用することが最良の方法です。
また、TechNet セキュリティ センター にアクセスして、マイクロソフト製品に関するセキュリティ情報を参照することができます。