Windows XP Service Pack 2 セキュリティ強化機能搭載の機能概要

トピック

	Windows セキュリティ センター
	Windows ファイアウォール
	Internet Explorer
	Outlook Express

Windows セキュリティ センター

Windows セキュリティ センターでは、セキュリティ状態の監視、セキュリティ設定の変更、およびセキュリティ問題を一元的に管理できます。

セキュリティ センターはコントロール パネル内にあり、Windows ファイアウォール、自動更新、ウイルス対策ソフトウェアの 3 つの重要なセキュリティ コンポーネントの状態を表示します。また、セキュリティ センターは、これら以外のセキュリティ関連事項を参照したり、セキュリティ関連のサポートとリソースを検索したりするための開始点でもあります。セキュリティ センターはバックグラウンドで動作し、これらの 3 つの重要なセキュリティ コンポーネントの状態を常にチェックします。

Windows ファイアウォール

ダイヤルアップ、ケーブル モデム、DSL など、使用するインターネット接続の種類に関係なく、ファイアウォールを使用することは重要です。インターネット接続時にファイアウォールが起動されていない場合は、ハッカーがコンピュータにアクセスし、ファイルの破壊や異常動作の原因となる有害なコードをインストールする可能性があります。

Windows ファイアウォールは SP2 に含まれており、既定で有効に設定されています。セキュリティ センターは、Windows ファイアウォールが有効に設定されているかどうかを常に監視し、無効に設定されている場合は警告を表示します。

自動更新

また、Windows セキュリティ センターは自動更新が推奨値 ("推奨される更新を自動的にダウンロードし、次の時刻にインストールする: <毎日 3:00>") で設定されているかどうかをチェックします。自動更新が無効に設定されている場合や、推奨設定値が使用されていない場合は、Windows セキュリティ センターにより警告されます。

ウイルスに対する防護

Windows セキュリティ センターにより、ウイルス対策ソフトウェアの存在が検出されます。また、そのソフトウェアが最新版であるかどうか、リアルタイムのスキャンが有効に設定されているかどうかのチェックが行われます。これにより、データの破壊や、貴重なリソースの消費原因となるウイルスとワームからコンピュータを防御します。

セキュリティ コンポーネントが足りない場合や、コンピュータ セキュリティを低下させる設定をしている場合は、Windows セキュリティ センターは通知領域に赤い盾のアイコンを表示し、ログオン時に警告メッセージを表示します。このアイコンまたは警告をクリックすると、Windows セキュリティ センターが開き、問題に関するコメントと問題を解決するためのアドバイスが表示されます。

セキュリティ センターにより検出されないファイアウォールやウイルス対策ソフトウェアをユーザーが実行している場合は、そのコンポーネントに関する警告を受信しないように設定することもできます。

Windows セキュリティ センターにより、ファイアウォールが有効に設定されていること、ウイルス対策ソフトウェアが最新の状態であること、コンピュータが Microsoft からの最新の重要な更新プログラムで更新されていることを簡単に確認できます。

Windows セキュリティ センターの詳細については、「セキュリティ設定の一元管理」を参照してください。

ページのトップへ

Windows ファイアウォール

Service Pack 2 の Windows ファイアウォール (旧称 : インターネット接続ファイアウォール (ICF)) には、セキュリティ強化のための大幅な変更が加えられています。次に主要な変更点と強化点について説明します。

既定で有効

Service Pack 2 より前は、Windows XP に付属していたファイアウォールは既定で無効に設定されていました。ファイアウォールを有効に設定するには、ウィザードを起動するか、[ネットワーク接続] フォルダに移動して、手動で設定を有効にする必要がありました。

Service Pack 2 のインストールでは、Windows ファイアウォールが既定で有効に設定され、すべての新規インストールや、アップグレードの既定の防御レベルが向上します。また、システムに新規に追加されるネットワーク接続も保護されます。

起動時のセキュリティ

Windows の以前のバージョンでは、ネットワークの起動から Windows ファイアウォールが保護を提供するまでの間に時間の開きがあり、その間、コンピュータが攻撃の危険にさらされていました。

Windows XP Service Pack 2 では、ファイアウォール ドライバが起動時フィルタというルールを適用し、起動時とシャットダウン時の短時間に受ける攻撃からコンピュータを防御します。Windows ファイアウォールが起動された後は、ユーザーのファイアウォール設定が読み込まれ、起動時フィルタは削除されます。これにより、コンピュータは起動時およびシャットダウン時に攻撃を受けることは少なくなります。

Windows ファイアウォールの例外リスト

ネットワークやインターネットの接続や双方向の通信が必要なプログラムを実行すると、セキュリティの警告を受ける場合があります。たとえば、マルチプレイヤーのインターネット ゲームの多くが使用するポートは、Windows ファイアウォールで既定でブロックされています。これらのポートは、多くの場合、ハッカーやワームがコンピュータに侵入するために使用するのと同じポートです。

ゲームに使用するポートは、Windows ファイアウォールの例外リストに追加して開くことができます。ポートはゲーム中にのみ開き、終了すると閉じられます。

ゲームやプログラムでポートを使用する場合を除いて、これらの開いたポートをブロックすることで、コンピュータは悪意のある攻撃から防御され、高い安全性を維持することができます。

"例外を許可しない" 動作モード

この機能により、Windows ファイアウォールの例外リストのすべての例外を簡単に無効にできます。あるプログラムを使用するために例外が必要な場合であっても、例外はすべて無効にしてセキュリティを強化することが望ましいときがあります。たとえば、インターネット カフェや空港のホットスポットでコンピュータを使用している場合は、ウイルスや他のセキュリティ上の脅威に脆弱である可能性があります。

Windows ファイアウォールを "例外を許可しない" に設定することで、公共の場所で自分のコンピュータを使用しても、近くにいるハッカーからの危険を減らすことができます。その後で、より安全な場所でコンピュータを使用する場合は、例外リストを簡単に有効に戻すことができます。

既定の復元

Windows ファイアウォール例外リストにアプリケーションやポートを追加していくことで、いつの間にか Windows ファイアウォールが、要求しない受信トラフィックを許可する設定になってしまい、コンピュータのセキュリティが脅かされる可能性があります。Windows ファイアウォールの前のバージョンであるインターネット接続ファイアウォール (ICF) では、このような設定を簡単に元に戻すことはできませんでした。

このオプションを使用すると、Windows ファイアウォールを既定の設定に戻すことができます。また、既定の設定を変更して、カスタム構成を作成することもできます。

マルチキャストとブロードキャストのサポートの強化

マルチキャスト ネットワーク トラフィックとブロードキャスト ネットワーク トラフィックには、テレビ会議、ビデオ会議、ストリーミング メディア、Web キャストなどがあります。これらの通信は 1 対多の形態を基本としていますが、ファイアウォールで通常使用されるステートフル フィルタ処理は、電子メールなどの 1 対 1 のネットワーク コミュニケーションは受信しますが、1 対多のマルチキャスト コミュニケーションとブロードキャスト コミュニケーションを受信しないことがあります。

このため、Windows ファイアウォールでは、マルチキャストとブロードキャストを使用するプログラムやサービスが Windows ファイアウォールでの設定変更を行わなくても動作するよう強化されています。

Windows ファイアウォールの詳細については、「Windows ファイアウォールの理解」を参照してください。

ページのトップへ

Internet Explorer

ここでは、Web 閲覧時の操作性向上およびセキュリティ強化に役立つ Service Pack 2 のテクノロジのいくつかについて概説します。

Internet Explorer ポップアップ ブロック機能

Internet Explorer ポップアップ ブロック機能は Service Pack 2 の新機能です。この機能により、不要なポップアップ ウィンドウのほとんどは表示されなくなります。この機能は、Internet Explorer の [ツール] メニューからアクセスし、表示をさらに詳細に制御できます。ポップアップの表示を許可する Web サイトと許可しない Web サイトを指定します。

この機能は既定で有効に設定されていますが、次のような状況下ではポップアップ ウィンドウが表示されます。

ポップアップ ブロック機能が有効になっているときに、Web サイトがブロック対象のポップアップ ウィンドウを開いた場合、そのことが情報バーと音によりユーザーに通知されます。

情報バーの通知をクリックすると、以下のオプションが表示されます。

ポップアップを許可するサイトを追加または削除する、通知音をオンまたはオフするなどの設定ができます。

Internet Explorer アドオンの管理

ActiveX コントロール、ブラウザ ヘルプ オブジェクト、ツール バーなどのアドオンは Web 閲覧の操作性を高めますが、システムを不安定する原因にもなります。アドオンには有害なコードが含まれていることもあるため、セキュリティ上の危険が生じることもあります。以前は、クラッシュが頻繁に発生する場合、その原因がアドオンにあるのかどうかをユーザーが判断するのは困難でした。

Internet Explorer アドオンの管理機能により、Internet Explorer で読み込まれるアドオンの一覧を表示したり、変更したりできるようになりました。この機能は Internet Explorer の [ツール] メニューからアクセスでき、システムのセキュリティと安定性の向上に役立ちます。たとえば、ユーザーが意図せずインストールしてしまったアドオンが、知らないうちに Web ページ上でのユーザーの操作を記録して、その内容を中央サーバーに報告していることがあります。以前は、このようなアドオンを特定して除去するには、専門的なソフトウェア スキルや技術的なスキルが必要でした。

Internet Explorer アドオンの管理機能では、このようなアドオンを簡単に検出して無効化することができます。アドオンの有効化と無効化を個々に簡単に切り替えることができ、アドオンの使用頻度、アドオンの発行元の名前などの情報も表示されます。

また、個々の ActiveX コントロールの更新に関するオプションもあります。コントロールを更新するオプションを選択すると、Web サーチにより、コントロールの発行元に更新があるかどうかの検索が行われます。更新が見つかると、ダウンロードとインストールが行われます。ActiveX コントロールを最新の状態にしておくことは、システムとセキュリティ問題の発生防止に役立ちます。

Internet Explorer 情報バー

Service Pack 2 をインストールすると、Internet Explorer の既定の設定により、特定のコンテンツがブロックされるようになります。情報バーにはブロックされているコンテンツについての警告と共に、コンテンツを表示する、この制約を維持する、および設定変更のオプションが表示されます。警告はすべて Internet Explorer のツール バーと閲覧中の Web ページの間に表示され、次のページに移動すると消えます。

ユーザーが情報に従って行動を起こすことができるよう、情報バーには、情報を目立つように表示する領域が確保されています。情報バーに表示される警告内容は、その警告の種類によって異なります。たとえば、よく発生するメッセージは "このサイトには、次の ActiveX コントロールが必要な可能性があります" というメッセージです。情報バーをクリックすると、警告に関連するメニューが表示され、表示するコンテンツとブロックするコンテンツを指定できます。

Internet Explorer ローカル コンピュータ ゾーンのロックダウン

Internet Explorer で Web ページを開くと、ページの位置と割り当てられているセキュリティ ゾーンに基づき、そのページで許可される動作に制約が加わります。いくつかのセキュリティ ゾーンがあり、各ゾーンで異なる制約が課せられます。たとえばインターネット上の Web ページは、通常、他のゾーンよりも制約の多いインターネット ゾーンに割り当てられます。企業ネットワーク上の Web ページは、通常、制約の少ないイントラネット ゾーンに割り当てられます。

Service Pack 2 がリリースされる前は、ローカル ファイル システム内のコンテンツは安全であると考えられていました。そのため、これらのコンテンツはローカル コンピュータ ゾーンに割り当てられ、より少ない制約下で実行されていました。しかし、ローカル コンピュータ ゾーンを利用してコンピュータやシステムを攻撃するハッカーの存在が明らかになりました。

Service Pack 2 の既定の設定では、Internet Explorer でローカル コンピュータ ゾーンに制約を課すようになっています。制約対象のコンテンツが実行されようとすると、Internet Explorer の情報バーに警告が表示され、クリックして制約を解除するオプションが表示されます。このオプションにより、コンテンツへのアクセスを許可できます。

Internet Explorer の詳細については「Internet Explorer に追加された Service Pack 2 のセキュリティ機能」を参照してください。

ページのトップへ

Outlook Express

Service Pack 2 で Outlook Express に加えられた変更点と強化点は、プライバシーとセキュリティ問題への対応能力が強化されたことです。電子メールを通じて送信される、有害の可能性のあるコードに対する防衛能力が高まります。

テキスト形式モードの使用

以前のバージョンの Windows XP を実行しているコンピュータでは、Outlook Express が HTML コンテンツ内の HTML ヘッダー スクリプトを処理して実行するため、有害の可能性のあるコードに対しての脆弱性が認められていました。

Service Pack 2 では、Outlook Express の既定のビューがテキスト形式に変更されたため、ヘッダー スクリプト内に潜む悪意あるコードに対しての防衛能力が高まりました。テキスト形式の電子メールでは、HTML ヘッダーの処理が不要なため、通常、この変更点について目に見える変化はありません。Outlook Express の [ビュー] メニューを利用して、以前のようにメッセージを HTML で表示することもできます。

HTML コンテンツのブロック機能

これは Outlook Express の機能で、既定で有効に設定されています。ユーザーが知らないうちに自分の電子メールをスパム送信者に確認させてしまうことを防ぐことで、頻繁に送られてくるスパム メールを最終的には減らすことができます。スパム メッセージには、リモート Web サーバー上のイメージへの参照が隠されていることがよくあります。これらのイメージは 1 ピクセルほどの大きさしかなく、受信者はこれを目で確認することができません。

このイメージを含む電子メール メッセージを開くと、以前のバージョンの Outlook Express では自動的に Web サーバーとの通信を開始し、そのイメージをダウンロードして表示していました。この要求が行われることで、応答したサーバーはユーザーの電子メール アドレスの有効性を確認し、有効リストにその電子メール アドレスを追加してしまうため、その後、そのユーザーにさらなるスパム メールが送信されることになります。

[HTML 電子メールにある画像および外部コンテンツをブロックする] を有効にすると、Outlook Express の既定の動作が変更され、ユーザーの許可なしに Web サーバーから外部コンテンツがダウンロードされることがなくなります。コンテンツをダウンロードするかどうかを選択するか、この機能を無効にすることもできます。この機能は、Outlook Express の [ツール] メニューからアクセスできる、[オプション] ダイアログ ボックスの [セキュリティ] タブ内にあります。

また、この機能によって、ダイヤルアップ接続を利用するユーザーが直面していた迷惑な接続の問題も抑制されます。以前は、電子メール メッセージをダウンロードして、ネットワークとの接続を切断した場合、オフラインでメッセージを表示していると、モデムが外部コンテンツをダウンロードするために自動的にダイヤル アウトを開始していました。しかし、電子メール メッセージに含まれる外部 HTML コンテンツへの参照のほとんどは、インターネット ゾーンに属するサイトへの参照であるため、既定でこれらのコンテンツは表示されず、ダイアルアップ ネットワーク接続も要求されません。

添付ファイルの管理の統合

Outlook Express は、Service Pack 2 の添付ファイルの管理のインターフェイスをサポートしており、電子メールの添付ファイルのチェックと検証に利用しています。添付ファイルの管理機能を使用することで、すべての Windows アプリケーションに関して、一貫性のある統一された方法で、添付ファイルのセキュリティ問題に対応できます。

Outlook Express の詳細については「Outlook Express の新しいセキュリティ機能の使用」を参照してください。

ページのトップへ