Windows XP Professional でモバイル コンピュータのセキュリティを保護

トピック

はじめに
モバイル コンピュータに対するセキュリティ上の脅威とは
Windows XP におけるセキュリティ テクノロジ: その 1
Windows XP におけるセキュリティ テクノロジ: その 2
まとめ
関連リンク

はじめに

この記事では、モバイル コンピュータ (ラップトップ コンピュータまたはノートブック コンピュータとも言います) 固有のセキュリティに関する脅威について説明します。また、それらの脅威に対処するソリューションを提供する Microsoft Windows XP Professional オペレーティング システムのセキュリティ ツールとプライバシ サービスについても取り上げます。

この記事で示すセキュリティ上の利点には、ドメインに接続していないコンピュータ対象のものは、それほどありませんが、ある場合には、その都度明記します。

組織は内部管理を見直し、モバイル コンピューティングの保護を最優先課題にしているという記事が、最近ありました。このセキュリティに関する希望にこたえるため、Microsoft Windows XP には広範な機能が装備されています。それらの機能は、セキュリティを強力に保護するだけでなく、情報セキュリティ技術者がオペレーティング システムに期待する柔軟性と能力も兼ね備えています。セキュリティで保護された作業環境実現のために、情報セキュリティ マネージャは、Windows Server やグループ ポリシーの展開をカスタマイズすることもできます。

Windows XP Professional および Windows XP Home Edition のセキュリティ最新情報では、Windows XP で利用可能な新しいセキュリティ機能とポリシーが詳しく説明されています。その中のセキュリティ関連トピックの多くを、モバイル コンピューティングのセキュリティの観点から、この記事でも取り上げます。

この記事の構成

この記事は以下の 2 つのセクションから構成されています。

• モバイル コンピュータに対するセキュリティ上の脅威とは

• モバイル コンピューティングに関して最も懸念されるセキュリティ上の脅威を明らかにし、対応する Windows XP Professional のソリューションを概説します。

• Windows XP におけるセキュリティ テクノロジ

• Windows XP Professional に組み込まれているセキュリティ テクノロジについて詳しく説明します。

モバイル コンピュータに対するセキュリティ上の脅威とは

このセクションでは、モバイル コンピュータに対するセキュリティ上の脅威を列挙し、それらの脅威に対処するために Windows XP Professional で取られている対策を紹介します。

企業内において、物理的な警備範囲を超えてモバイル コンピュータを持ち出した場合、コンピュータおよびそれに格納されているデータの盗難が第一に懸念されます。万一コンピュータが盗まれた場合、データが失われるだけでなく、許可していない人がリモート ダイアルアップまたはワイヤレス ネットワーキングを通じて社内ネットワークに侵入してくるという可能性が拡大します。

警告： モバイル コンピュータは、コンピュータに関するあらゆるセキュリティ上の脅威にさらされる可能性があります。

データの損失と盗難

データの損失をセキュリティ上の脅威とは思えないかもしれません。しかし、実際には脅威なのです。Microsoft TechNet から刊行されている 『セキュリティに関する 10 の鉄則』 には、「鉄則 3 : 悪意のある攻撃者があなたのコンピュータに対して物理的なアクセスを無制限に行える場合、もはやそれはあなたのコンピュータではない」と、あります。

モバイル コンピュータおよび多くの新しいタイプの携帯デバイスは、携帯用ではないコンピュータに比べて、設計上、非常に盗難に遭いやいものになっています。この携帯マシンに会社の重要なデータが収められていることが多々ありますが、それが盗まれたら、セキュリティ上のリスクとなります。『Computerworld』誌の記事 では、大手通信会社の会長がノート パソコンを盗まれた際に学んだ、セキュリティ上の教訓を紹介しています。

データの損失に対する保護策

Windows XP Professional 暗号化ファイル システム (EFS) を使用すると、データが盗まれても被害を受けないようにすることができます。このセキュリティ機能により、ハード ドライブ上のデータは判読できなくなるので、適切な資格情報を持たない人にとっては無意味なものになります。

Windows XP ではまた、Intellimirrorｮ テクノロジが採用されており、［マイ ドキュメント］フォルダをリダイレクトすることができるので、ユーザーのデータを集中的に格納することができます。EFS およびネットワーキング ベースのファイルをローカル キャッシュ化する機能のおかげで、最高レベルのセキュリティ、データへの常時アクセス、およびネットワーク ファイルの集中的バックアップが可能です。

注 EFS、オフライン フォルダ、およびファイルのキャッシュ化は Windows XP Professional の機能であり、Windows XP Home Edition には搭載していません。

ネットワークへの侵入

盗まれたモバイル デバイスまたはセキュリティの低いモバイル デバイスから情報が漏れたことが原因で、ネットワークに侵入されるというのは、深刻なセキュリティ上の脅威です。実際、ネットワークへの侵入の多くが、盗んだモバイル コンピュータを使用する個人によるものです。

Windows XP の以下の機能により、ネットワークに侵入されるリスクを制限できます。

• アクセス制御管理により、インターネットに関連する匿名アクセスを抑制できます。

• 単純な共有 により、guest アカウント向けのネットワーク リソースにしかアクセスできなくなります。

• Guest アカウントを使用させること により、ドメイン内を認証済みではないユーザー アカウントからアクセスできないようにします。

• スマート カードを利用した自動登録および自己登録機関により、認証のための層が増え、企業ユーザーにとってセキュリティを強化できます。

• Credential Manager を使用すると、格納またはキャッシュ化されているユーザーの資格情報を暗号化して、認証されたユーザーだけが格納されている資格情報にアクセスできるようにすることができます。

• インターネット接続ファイアウォール (ICF) Windows XP オペレーティング システム搭載のコンピュータ上で、基本的な侵入防止機能を果たします。インターネット接続の共有と併用した場合、ICF は、パブリック ネットワークに直結されたコンピュータでだけでなく、ホーム ネットワークの一部であるコンピュータでも使えるように設定しています。

有線および無線のセッションにおける盗聴

企業および個人のデータ セキュリティを脅す別の手段に、ネットワークの盗聴があります。

有線および無線ネットワーク方式で遠隔地のコンピュータを利用することが、一般的なビジネス形態になってきています。しかし、それにはセキュリティ上のリスクが伴います。既定では、電子メールのヘッダおよび本文は平文で伝送されます。したがって、暗号化を適用しないと、途中でメッセージが読まれたり改ざんされたりする可能性があります。あるいは、ヘッダの書き換え、送信者の身元の隠蔽や変更、メッセージのリダイレクトなどがありえます。ですから、企業がデータの伝送にパブリック インフラストラクチャを利用し続ける限り、有線および無線のネットワーク使用におけるセキュリティがますます重要になってきます。

企業のセキュリティ管理に関する問題点

企業が展開できるテクノロジとして、 IEEE 802.11 ネットワーキング プロトコルを採用することに関心が高まっています。しかし、企業のセキュリティ管理の問題が残っています。具体的には、以下のような問題があります。

• オープンで可視的なサービス セット識別子 (SSID) のセキュリティ機構には、もともと弱いところがあります。

• 市販のツールを使った Wired Equivalent Privacy (WEP) キーへの攻撃 が理論的に可能です。

• IEEE 802.11 WEP のキー管理には、キーを配付するためのプロトコルが欠けています。

• ワイヤレス 802.11 ad hoc ネットワーク モードには認証および暗号化のサービスが欠けているため、会議室のような領域でユーザーがピア ツー ピアの通信を行う場合、セキュリティ上の懸念が生じます。

リモート コンピューティング セッションの保護

Windows XP では、リモート コンピューティング セッションが傍受される危険性を、以下の方法で抑制しています。

• インターネットを通じた通信を保護する

  仮想プライベート ネットワーク (VPN)、統合的なトンネリング、暗号化のテクノロジを使用します。具体的には、Internet Protocol Security (IPSec)、Layer 2 Tunneling Protocol (L2TP)、公開キー インフラストラクチャ (PKI)、および Point–to–point Tunneling Protocol (PPTP) が挙げられます。

• 構成不要のネットワーキングおよび高度な移動機能を提供する

  ワイヤレス ネットワーク間の移動が容易になります。

• IEEE 802.1 プロトコルをサポートする

  ワイヤレス デバイスの管理、ワイヤレス アクセス ポイント経由のデータ フローの制御、ワイヤレス ネットワーク アクセス ポイントに接続したワイヤレス ステーションへの定期的なチャレンジ信号の送信と再認証などが容易になります。

• WEP をサポートする

  WEP は IEEE 802.11 のワイヤレス アクセス ポイントのセキュリティを図る第一世代のプロトコルです。 (企業ネットワークでは、IEEE802.11 ネットワーク構成に対するワイヤレス通信が傍受される脅威を防ぐために、IEEE 802.1 を構成に組み込むべきです)。

• コールバック アクセスをサポートする

  これは、モバイル

  ユーザーがダイアルアップ接続してきた際、リモート アクセス サーバーがいったん接続を切断し、逆にサーバーからモバイル ユーザーに接続し直す、モバイル ネットワーク アクセス テクノロジです。

• リモート アクセスおよび VPN をサポートする

  資格情報 keyring を含みます。

注 ワイヤレス ネットワークの構成および IEEE 802.11 プロトコルに関するセキュリティの詳細については、ワイヤレス LAN テクノロジと Windows XP を参照してください。

パスワード破り

ネットワークへの侵入は、多くの場合、モバイル コンピュータを盗んだ個人またはアクセスを許可しているユーザーのマシンに進入できるネットワークへのアクセスを許可していないユーザーによって発生します。通常、ドメインに属するモバイル コンピュータのセキュリティは、比較的高いと言えます。なぜなら、ドメインのメンバの資格情報は集中的に格納・管理しており、ドメイン コントローラを通じてのみ変更可能だからです。ドメイン コントローラは、最善の管理がなされていれば、ネットワーク内で最も防御の厳重なマシンであると言えます。

資格情報の保護

リモート コンピューティング ダイアルアップ アプリケーションは、エンド ユーザーによるネットワーク アクセス資格情報のキャッシュ化を許可しますので、企業のネットワーク セキュリティの助けにはなりません。強力なパスワードを励行させ、システム電源管理のスタンバイ モードおよびスクリーン セーバーからの処理再開にパスワード入力を要求し、リモート アクセス資格情報のキャッシュ化を禁止するようなパスワード ポリシーを、ネットワーク セキュリティ管理者は、制定すべきです。

Windows XP では、パスワードのような機密データを危険にさらす機会を削減します。そのために、Security Account Manager (SAM) に格納されているパスワードのハッシュを、 Syskey で暗号化しています。

スタンドアローン コンピュータの保護

ドメインに属さないモバイル コンピュータには、セキュリティ ポリシーが適用されていないため、より一層危険にさらされていると言えます。便利さを優先させるため、既定では、ドメインに属さない Windows XP コンピュータの場合、構成されたユーザー アカウントには、パスワードがありません。家庭に設置されているデスクトップ コンピュータの場合はそれでもよいでしょう。しかし、小企業や個人のモバイル ユーザーの場合は、手間をかけて、強力なパスワードを持つアカウントを構成すべきです。

機密データの漏洩

事実上、ほとんどすべての社員が、何らかの機密資料を自分のコンピュータに収めています。それらの資料が不適切に開示されることのないように、保護する必要があります。機密資料はネットワーク サーバーに格納するよう、ユーザーに奨励すべきです。このポリシーが厳しすぎる場合には、Windows XP Professional の機能を利用して、機密データが漏洩するリスクを低減することができます。

機密漏洩のリスクの低減

Windows XP Professional では、以下の方法により、機密データ漏洩リスクの低減を図っています。

• ドキュメントの内容を NTFS および EFS によって暗号化し、許可を受けていないユーザーには読めないようにします。

• ダイアルアップ接続も制御対象に含むネットワーク アクセスを制御することにより、情報の開示を、許可を受けているユーザーだけに限定します。

• ブランクのパスワードを制限することにより、基本的なセキュリティ原則を励行させます。

スタンドアローン コンピュータの保護

社内にあるがドメインに属さないモバイル コンピュータのユーザーも、機密データを自分達のマシン上に格納しています。ドメインに接続されていないマシンに関しては、NTFS および EFS を使用するとともに、強力なユーザー パスワードを適用することが、最善の防御策となります。

Windows XP におけるセキュリティ テクノロジ: その 1

このセクションでは、モバイル コンピューティングをサポートする Windows XP のセキュリティ テクノロジに焦点を当てて説明します。しかし、デスクトップ コンピュータにのみ適用されるセキュリティ テクノロジはここでは取り上げません。

注 Windows XP のセキュリティ テクノロジの詳しくは、Windows XP Professional および Windows XP Home Edition のセキュリティ最新情報 を参照してください。

Windows NT 4.0 および Windows 2000 のセキュリティ モデルに詳しい読者は、Windows XP Professional に多くの共通したセキュリティ機能があることに気付きます。同時に、大幅に変更された周知の機能、また、システムのセキュリティ管理能力向上のための新しい機能も、多数あることに気が付くことでしょう。

Windows XP にはセキュリティを管理するための方法がいくつか装備されています。Windows XP のセキュリティ機能の仕組みを知ることは、モバイル コンピュータもドメイン管理下において、セキュリティの高い環境を設計し維持する方法を理解するためのフレームワークとなります。

モバイル コンピューティングのセキュリティ フレームワーク

Windows XP Professional には、選択したファイルやアプリケーションをはじめとするリソースを、デスクトップ コンピュータおよびモバイル コンピュータで保護するために使用可能な、数多くの機能を装備しています。その例として、アクセス制御リスト (ACL)、セキュリティ グループ、およびグループ ポリシーが挙げられます。その他に、それらの機能を構成し管理するためのツールも用意されています。それらの機能とツールが相まって、ビジネス ネットワークのための強力で柔軟性に富むアクセス制御インフラストラクチャが形成されます。

Windows XP には、個別に設定可能なセキュリティ関連項目が何千とあります。また、Windows XP には、あらかじめ定義されたセキュリティ テンプレートも用意されていて、無修正のまま使用することも、セキュリティ構成をカスタマイズするためのベースとして使用することもできます。

セキュリティ テンプレートの使用

企業は以下の場合にセキュリティ テンプレートを適用することができます。

• フォルダや共有ファイルのようなリソースを作成し、既定のアクセス制御リストの設定を受け入れるか、またはアクセス制御リストの設定をカスタマイズする場合。

• ユーザーを User、Power Uer、Administrator のような標準セキュリティ グループに区分し、それぞれのセキュリティ グループに適用される規定のアクセス制御リストを受け入れる場合。

• オペレーティング システムに付随する、Basic、Compatible、Secure、および Highly というグループ ポリシー テンプレートを使用する場合。

設定とツール

Windows XP のセキュリティ機能 (ACL、セキュリティ グループ、およびグループ ポリシー) には、それぞれ既定の設定があります。それを、特定の組織、特にその組織のモバイル コンピュータの状況に適合するよう、修正することができます。企業はまた、アクセス制御を設定および修正するための、関連ツールを使用することもできます。Microsoft 管理コンソール (MMC) スナップインをはじめとするそれらのツールの多くは Windows XP Professional のコンポーネントです。その他のツールは Windows XP Professional Resource Kit (英語) に収録しています。

モバイル コンピューティングのための主要なセキュリティ機能

モバイル コンピューティングをサポートする Windows XP のセキュリティ機能の概要を以下に一覧し、各機能の詳細を説明します。

• グループ ポリシー オブジェクトおよびスマートカードを用いた認証

• ネットワーク認証の管理 － インターネットへのログインに使用する Guest アカウント

• Syskey による SAM データベースの強力な暗号化

• モバイル ネットワーク アクセス テクノロジ

  • 仮想プライベート ネットワーキング

  • 802.1X － 暗号化キーの管理

  • Infrared Data Association (IrDA) － アクセスおよびファイル転送のユーザーによる制御が可能に

  • Point–to–point Protocol over Ethernet (PPPoE) クライアント

  • コールバック

• 暗号化ファイル システム

  • EFS と NTFS

  • オフライン ファイルおよびオフライン ファイル データベースの暗号化

• 証明書サービス

• 資格証明の管理 (保存されているパスワードを含む)

注 Windows XP のセキュリティ機能のほとんどは、デスクトップ コンピュータとモバイル コンピュータの両方で使用可能です。しかし、それらの主要な基本的テクノロジは、この記事では取り上げていません。Windows XP のセキュリティ テクノロジの詳しくは、Windows XP Professional および Windows XP Home Edition のセキュリティ最新情報を参照してください。

グループ ポリシー オブジェクトおよびスマートカードを用いた認証

Windows XP Professional には、企業が機密データを保護し、ネットワーク ユーザーの管理をサポートするための、堅牢なセキュリティ機能を装備しています。その主要な機能の 1 つにグループ ポリシー オブジェクト (GPO) があります。

GPO を使用すると、システム管理者は、単一のセキュリティ プロファイルを複数のコンピュータに適用できるだけでなく、スマートカード テクノロジを使用して、スマートカード上に格納されている情報に照らしてユーザーを認証することもできます。大部分のモバイル コンピュータでは、スマートカードを用いた認証をサポートしております。しかし、残念ながら、モバイル コンピュータには、通常はスマートカード リーダーが装備されていません。スマートカード リーダーが内蔵されていないモバイル コンピュータに関しては、PCMCIA または USB のどちらかをベースにしたスマートカード リーダーを用いて、スマートカードを使用することができます。

注 スマートカードを用いて認証を行うためには、対象のコンピュータがドメインに属している必要があります。したがって、ローカル ワークグループのマシン上ではスマートカードを使用することはできません。

ネットワーク認証の管理 － Guest アカウント

Windows XP Professional を搭載したモバイル コンピュータは、ドメインにではなくインターネットに直接接続するものが増えています。そのために、アクセス制御を適切に管理すること (種々のアカウントに関する強力なパスワードとアクセス許可を含みます) がこれまで以上に重要になってきました。セキュリティを高めるためには、オープンなインターネット環境には大抵関係している、どちらかというと匿名的なアクセス制御を削減する必要があります。

そのため、Windows XP Professional の既定では、ネットワークを通じてログインするすべてのユーザーが Guest アカウントを使用するよう設定しています。この変更は、ハッカーが、ローカル管理者のアカウントを使用して、インターネットからパスワードなしでログインしようとする試みを防止することを意図したものです。

Syskey による SAM データベースの強力な暗号化

Syskey は Windows マシン上のユーザー パスワードを、攻撃者によって破られにくくするためのものであり、Windows NT 4.0 で最初に導入されました。

Windows NT、Windows 2000、および Windows XP では、パスワードをハッシュ化した値が Syskey を用いて暗号化され、それから SAM データベースに格納されます。これにより、パスワードを解読しようとする攻撃を遅らせることができます。

解読攻撃の妨害

Syskey は、強力な暗号化を適用し、SAM データベースを暗号化することで、パスワードを解読しようとする攻撃を効果的に妨害します。たとえ Syskey で保護された SAM のコピーを入手することに成功したとしても、攻撃者はまず Syskey を解読する作業を行ってその内容を判定し、それからパスワードのハッシュ値を解読する作業を行う必要があります。これは、攻撃に関連する作業要因を劇的に増大させることになり、計算上、その作業数は攻撃を不可能にするものであると考えられています。このことについての詳細は、Microsoft TechNet の記事 Windows 2000 Syskey および暗号化ファイル システムにおいて噂されている脆弱性の分析を参照してください。

ドメインはワークグループよりもセキュリティが高い

ドメインに属するモバイル コンピュータは、ワークグループに属するものよりもセキュリティが高いです。なぜなら、ドメイン メンバの資格情報は集中的に格納しており、変更はドメイン コントローラを通じてのみ可能だからです。暗号化ファイル システムに最善の管理がなされていれば、ドメイン コントローラは、ネットワーク内で最も防御の厳重なマシンとなるでしょう。

モバイル ネットワーク アクセス テクノロジ

仮想プライベート ネットワーキング

VPN を使用すると、インターネットを自社の LAN への、セキュリティの高いパイプラインとして活用することができます。出張中のユーザーは、ほとんどすべてのローカル インターネット サービス プロバイダ (ISP) にダイアルインすることができますので、 VPN セッションを設定し、インターネットを介して自社の LAN に接続することができます。VPN を使用した場合、企業は長距離電話料金を大幅に削減することができます。また、モバイル ユーザーはこれまでよりも長い時間にわたって安い料金で LAN に接続した状態を保つことができます。

今日の最も一般的な VPN プロトコルである Point–to–Point Tunneling Protocol (PPTP) のサポートに加えて、Windows XP Professional では、新しい、そして、さらにセキュリティの高い仮想接続の確立方法をサポートしています。それには、 Layer–2 Tunneling Protocol (L2TP) と Internet Protocol Security (IPSec) が含まれています。これらのプロトコルを使用すると、安心して会社のネットワークに接続することができます。

PPTP、L2TP、および IPSec に関するさらに詳しい説明は、技術情報を参照してください。

802.1 － 暗号化キーの管理

Windows XP は 802.1 セキュリティ機能をサポートしているため、社内の LAN 内アクセス ポイントからアクセス ポイントへ容易に移動することができます。また、ホット スポットからホット スポットへ移動することもできます。たとえば、空港のラウンジからインターネット カフェへといったぐあいです。その際、ログオンし直さずに、ネットワークに身元が識別され、アクセスし続けることができます。

アクセスは、ユーザーとポートの両方またはどちらか一方に基づいて制御します。それにより、提供される種々様々なサービスに対して、木目の細かい識別とアクセス制御を行うことができます。また、802.1 標準で使用されているセキュリティ プロトコルのおかげで、有線接続の場合よりもセキュリティが高いという自信を持って、ネットワークを使用することができます。

IrDA

Windows XP Professional は、Infrared Data Association (IrDA) プロトコル スイートをサポートしています。それにより、物理的なケーブルを使用することなく、コンピュータ内の情報を伝送したり、プリンタのようなリソースを共有したりできます。多くのモバイル コンピュータでは、ハードウェアが IrDA をサポートしています。

IrDA 接続を確立すると、ラップトップ コンピュータを持って出張に出ている 2 人のユーザーが、ケーブルやフロッピー ディスクを使用することなく、ファイルを転送し合うことができます。両方のユーザーが 2 台のコンピュータを相互に近付けると、IrDA が自動的に接続を構成します。

Windows XP Professional では、赤外線通信を使用してファイルを送信できるユーザーを制限することができます (コンピュータの所有者を除きます)。また、ドキュメントが受信されるべき場所を指定することもできます。

Windows XP Professional は、他のコンピュータやカメラのような、赤外線通信を使用しているデバイスを自動的に検出します。

PPPoE クライアント

Windows XP では PPPoE を使用して接続を確立することができます。PPPoE およびブロードバンド モデムを使用すると、モバイル LAN のユーザーは、高速データ ネットワークから個別に認証を受けてアクセスすることができます。

コールバック

Windows XP では、コールバック モデム構成もサポートしています。コールバック機能とは、モバイル ユーザーがダイアルアップ接続してきた際に、リモート アクセス サーバーがいったん接続を切断し、逆にサーバーからモバイル ユーザーに接続し直すことです。それにより、モバイル ユーザーにとってはコストが安くて済むという利点があり、ネットワークにとってはセキュリティが向上するという利点があります。

資格証明の管理

Windows XP における資格証明の管理には、資格情報確認 UI、ユーザー名およびパスワードの記憶域、keyring の、3 つのコンポーネントがあります。これらの 3 つのコンポーネントが組み合わされて、シングル サインオン ソリューションが構成されます。

資格情報の確認

資格情報確認 UI は、認証パッケージから認証エラーが返されたときに、アプリケーションによって表示します。(これは、資格情報確認 UI 実装済みのアプリケーションにのみ適用可能です)。

ダイアログ ボックスにユーザー名とパスワードを入力、または [My Store] オブジェクトから X.509 証明書を選択します。アプリケーションから [ パスワードを記憶する ] チェック ボックスを表示させることがもきます。このチェック ボックスをオンにすることにより、後の使用に備えて資格情報を保存することができます。そのようすを下の図 4 に示します。

統合的な認証パッケージ (たとえば、Kerberos プロトコル、NTLM、SSLなど) のみが、資格情報を保存することができます。基本的な認証に関しては、資格情報確認 UI は表示されますが、ユーザーは資格情報を保存することはできません。

ユーザー名およびパスワードの記憶域

ユーザー名およびパスワードの記憶域とは、セキュリティで保護された移動可能なデータストアであり、そこにユーザーの資格情報が格納されます。その資格情報へのアクセスは、ローカル セキュリティ設定 (LSA) により制御されます。資格情報はリソースによって返されるターゲット情報に基づいて格納します。

資格情報確認 UI の [ パスワードを記憶する ] チェック ボックスをオンにし、資格情報を保存するように指定すると、資格情報は可能な限り最も一般的な形で保存されます。たとえば、あるドメイン内のあるサーバーにアクセスしている場合、資格情報は *.domain.com として保存します。このドメイン内の別のサーバーに用に、別の資格情報を保存しても、上記の資格情報が上書きされることはありません。それは、より具体的なターゲット情報に対して保存します。

統合的な認証パッケージを経由してリソースにアクセスすると、その認証パッケージは、リソースから返されたターゲット情報に適合する最も具体的な資格情報を、ユーザー名とパスワードの記憶域内から探し出します。該当するものが見つかると、ユーザーと対話することなく、その資格情報が認証パッケージによって使用されます。該当する資格情報が見つからなかった場合、リソースにアクセスしようとしたアプリケーションに認証エラーを返します。

注 このシームレスな認証を利用するために、リソースにアクセスするアプリケーション側で資格情報確認 UI を実装する必要はありません。統合的な認証パッケージをアプリケーションで使用すると、認証パッケージ側で資格情報の検索が試みられます。実際のところ、入力した資格情報を検索することができるのは、認証パッケージだけです。

Windows XP のパスワード管理 UI の例を下の図 5 に示します。

リモート アクセスにおける Credential Manager keyring の使用

ダイアルアップまたは VPN による接続が正常に確立されると、一時的な既定の資格情報を追加することにより、リモート アクセスを keyring に加えます。この資格情報には、接続の確立に使用されたユーザー名とパスワードが含まれます。なぜなら、多くの場合、それらはネットワーク上のリソースにアクセスするための資格情報と同じであるからです。その結果、リモート ネットワークへの接続と、リモート ネットワークおよびローカル ネットワークの両方のリソースの使用が、シームレスに行えるようになります。

Keyring

keyring を使用すると、ユーザー名とパスワードの記憶域内の資格情報を、手作業で管理することができるようになります。keyring へは、 [ コントロール パネル] 内の User Accounts アプレットからアクセスします。

keyring 内には、ユーザー名とパスワードの記憶域内に現在保持されているすべての資格情報が一覧に示されます。各資格情報を強調表示すると、下部にある説明フィールドにその資格情報の簡単な説明が表示されます。そして、新しい資格情報の追加、既存の資格情報の編集、または既存の資格情報の削除をそこで行うことができます。

• 資格情報の追加

  資格情報を追加しようとすると、資格情報確認 UI に似た UI が表示されます。そこにターゲットの情報を入力する必要があります。ターゲット情報には、ワイルドカード文字である ・・を使用することができます。

• 資格情報の編集

  資格情報の編集では、ターゲット情報または資格情報自体を変更することができます。対象とする資格情報がユーザー名とパスワードの両方またはどちらか一方である場合、ここからサーバー上のパスワードを変更することができます。アプリケーションによって特別に作成された資格情報を、資格情報確認 UI を使用して編集することはできません。たとえば、パスポートの資格情報は、編集することはできません。

• 資格情報の削除

  任意の資格情報を削除することができます。

ユーザー名とパスワードの記憶域の中に資格情報を保存する機能は、グループ ポリシーを通じてオンまたはオフに切り替えることができます。

モバイル セキュリティに関する秘訣。 セキュリティを最高の水準に保つために、ネットワーク管理者は keyring への資格情報の保存機能を無効できます。それにより、モバイル コンピュータを盗んだ許可されていない個人が、ネットワーク インフラストラクチャにアクセスしてくる可能性がなくなります。

Windows XP におけるセキュリティ テクノロジ: その 2

暗号化ファイル システム

機能強化された暗号化ファイル システム (EFS) により、Windows XP Professional は著しくパワーアップしました。そして、暗号化されたデータ ファイルをベースとしてセキュリティ ソリューションを展開する企業ユーザーに、さらに高い柔軟性を提供することができるようになりました。この EFS は、モバイル コンピューティング データおよびアクセスのセキュリティにおいて、基礎となる要素の 1 つです。

EFS のアーキテクチャ

EFS は公開キーの暗号化に基づくもので、Windows XP の CryptoAPI アーキテクチャを活用しています。EFS の既定の構成を取る場合、管理作業は何も必要ありません。即座にファイルの暗号化を開始することができます。あるユーザー用の暗号化のためのキーの組と証明書がまだ存在しない場合は、EFS によって自動的に作成されます。

EFS では、暗号化のアルゴリズムとして、拡張 Data Encryption Standard (DESX) または Triple–DES (3DES) を使用することができます。暗号化サービス プロバイダ (CSP) によってオペレーティング システムに組み込まれた、RSA の基本ソフトウェアおよび拡張ソフトウェアの両方を、EFS 証明書および対称型暗号化キーの暗号化に使用することができます。

注 あるフォルダを暗号化すると、そこで作成される、もしくは、そこに追加されるファイルおよびサブフォルダのすべてが自動的に暗号化されます。ファイルの変換中に、平文の一時ファイルがハード ディスク上に作成されることを防止するため、フォルダ レベルで暗号化することを推奨します。

EFS と NTFS

EFS では、NTFS ファイル システムを使用して、ディスクに格納されているファイルの機密データを保護します。EFS は、NTFS ボリューム上に格納されているファイルを暗号化および暗号化解除するための、中核的なテクノロジです。保護されているファイルを暗号化したユーザーだけが、そのファイルを開いて処理することができます。このことは、特にモバイル コンピュータのユーザーにとって有効です。なぜなら、紛失もしくは盗難にあったラップトップ コンピュータに、たとえだれがアクセスを試みたとしても、ディスク上のいかなるファイルにも実際にアクセスすることはできまないからです。Windows XP Professional では、オフラインのファイルおよびフォルダにも EFS を適用することができます。

モバイル セキュリティに関する秘訣。モバイル NTFS ボリューム上では EFS を使用します。NTFS と EFS を併用すると、ドキュメントの内容が暗号化され、許可されていない人には読み取れなくなります。このことにより、EFS によって保護されているモバイル コンピュータのデータが危険にさらされることがなくなります。

EFS を使って、個々のファイルおよびフォルダを暗号化することができます。暗号化されたファイルは、たとえ攻撃者が新しいオペレーティング システムをインストールしてシステムのセキュリティをバイパスしたとしても、読み取れない状態が維持されます。EFS は、業界標準のアルゴリズムを通じて、強力な暗号化機能を提供します。また、EFS は NTFS と緊密に統合されているので、非常に使いやすくできています。Windows XP Professional 用の EFS を使用することにより、暗号化されたファイルを共有したり、データ回復エージェントを無効にしたりするための、新しいオプションが利用可能になります。また、グループ ポリシーおよびコマンド ライン ユーティリティを通じた管理が用意になります。

モバイル セキュリティに関する秘訣。EFS を使用する場合は、パスワードを強力なものにしてください。EFS は、ローカル ユーザー証明書に基づいてファイルを保護するので、暗号化されたファイルのセキュリティの強固さは、システム上のそのユーザー アカウントのパスワードの強固さに比例します。

ファイルの機密性の維持

ログオン認証やファイルのアクセス許可のようなセキュリティ機能は、許可されていないアクセスからネットワーク リソースを保護する働きをします。しかし、コンピュータに物理的にアクセス可能な人ならだれでも、そのコンピュータに新しいオペレーティング システムをインストールして、既存のオペレーティング システムのセキュリティをバイパスすることができます。そうすると、機密データが開示されてしまいます。EFS を使用して機密データを暗号化すると、セキュリティの層が 1 つ増えて、攻撃者がコンピュータのデータ記憶域に全面的にアクセスできる場合でも、データは保護されます。

許可されているユーザーおよび指定されたデータ回復エージェントだけが、暗号化されているファイルの暗号化を解除することができます。ファイルに対するアクセス許可を持つ他のシステム アカウントは、たとえそれが Take Ownership アクセス許可であったとしても、承認なしにファイルを開くことはできません。管理者アカウントでさえも、データ回復エージェントに指定されていなければ、そのファイルを開くことはできません。許可されていないユーザーが、暗号化されているファイルを開こうとすると、アクセスは拒否されます。

EFS の仕組み

EFS を使用すると、コンピュータに関する機密情報を暗号化して格納することができます。そうすると、そのコンピュータにアクセスできる他の人は、意識的・無意識的に関わらず、その情報を開示することができなくなります。

モバイル コンピュータまたは数人のユーザーが共有するコンピュータ上の機密データのセキュリティを保護するために、EFS は特に有効です。どちらの場合も、ACL による制御をくぐり抜けるテクニックを使用した攻撃に弱いからです。

共有システムにおいては、別のオペレーティング システムを起動することにより、攻撃者はデータにアクセスできるようになります。攻撃者はまた、コンピュータを盗み出してハード ドライブを取り外し、別のシステムにハード ドライブを装着して、格納されているファイルにアクセスすることもできます。しかし、EFS を使用して暗号化されたファイルは、攻撃者が暗号化解除キーを持っていない限り、意味不明の文字にしか写りません。

EFS は NTFS と緊密に統合されているので、ファイルの暗号化および暗号化解除は、自動的に行われます。ファイルを開くと、ディスクからデータが読み出される際に、EFS により暗号化が解除されます。ファイルを保存すると、データをディスクに書き込む際に、EFS により暗号化が行われます。通常のファイル処理と変わらないので、許可されているユーザーは、ファイルが暗号化されていることにすら気が付かないでしょう。

EFS を使用する場合、既定の構成では、何の管理作業も無しに、Windows エクスプローラからファイルの暗号化を開始することができます。ユーザーの観点からすると、ファイルを暗号化することは単にファイルの属性を設定することにすぎません。暗号化属性はファイル フォルダに対しても設定することができます。そうすると、そのフォルダ内で作成されたファイル、またはそのフォルダに追加されたファイルは、自動的に暗号化されることになります。

EFS に関する設定をどこで行うかを、図 1 に示します。

ユーザーの環境に合わせた EFS の構成

既定では、EFS は有効に設定されています。ファイルを修正するアクセス許可を有していれば、ファイルを暗号化することができます。EFS は公開キーに基づいてファイルを暗号化するので、暗号化のための公開キーと秘密キーのペアおよび公開キー証明書が必要です。EFS では自己署名証明書が使用できるので、使用開始前の管理作業は必要ありません。

EFS がユーザー環境に不適切な場合、または暗号化したくないファイルがある場合は、何通りかの方法で、EFS を無効にすることができます。また、ユーザー組織の独自のニーズに合わせて EFS を構成する方法もいろいろあります。

EFS を使用するためには、すべてのユーザーが EFS 証明書を持つ必要があります。現時点で公開キー インフラストラクチャ (PKI) が整っていない場合、オペレーティング システムによって自動的に生成される自己署名証明書を使用することができます。しかし、認証機関を設置している場合、認証機関から EFS 証明書を取得するように構成した方がよいでしょう。また、システム上で EFS を使用する場合、災害からの復旧計画を検討する必要もあります。

暗号化の対象

NTFS ボリューム上の個々のファイルおよびファイル フォルダ (またはサブフォルダ) に、暗号化属性を設定することができます。暗号化属性が設定されているファイル フォルダを、一般に 嶋ﾃ号化されている・と言います。しかし、フォルダ自体は暗号化されません。したがって、ファイル フォルダに暗号化属性を設定するのに、公開キーと秘密キーも必要ありません。フォルダに暗号化属性を設定すると、EFS により以下のものが自動的に暗号化されます。

• そのフォルダ内で作成されるすべての新しいファイル

• そのフォルダにコピーまたは移動されてくるすべての平文のファイル

• 大部分の既存のファイルおよびサブフォルダ (オプション)。ただし、Windows のシステム ファイルとユーザー プロファイルは例外です。

注 暗号化されていないディレクトリから暗号化されているディレクトリに、GUI ドラッグ アンド ドロップを使ってファイルを移動した場合は、暗号化は行われません。

オフライン ファイルの暗号化

Windows 2000 において、クライアント サイドでのファイルのキャッシュ化機能が導入されました。Windows XP Professional では、それをオフライン ファイルと呼びます。オフライン ファイル機能は IntelliMirrorｮ 管理テクノロジに基づくもので、クライアント コンピュータがネットワークに接続されていないときでも、ネットワーク上で共有するファイルに、ネットワーク ユーザーがアクセスできるようにするものです。そのために、対象ファイルをクライアント コンピュータ上にキャッシュ化し、ネットワークに接続していないときでも、モバイル ユーザーはそのファイルを参照、読み込み、および編集することができます。Windows XP Professional では、それらのオフライン ファイルをリアルタイムで暗号化/暗号化解除できるようになりました。オフライン ファイルに加えられた変更が、後でユーザーがサーバーに接続したときに、システムによりサーバーに反映されます。

モバイル セキュリティに関する秘訣。Windows XP Professional のクライアントは、EFS を使用してオフライン ファイルおよびフォルダを暗号化することができます。この機能は、データのセキュリティを維持しながら、定期的にオフラインで処理をする必要のある、外勤のユーザーにとって特に有効です。

オフライン ファイル データベースの暗号化

Windows XP では、オフライン ファイルのデータベースを暗号化する選択肢も取れるようになりました。キャッシュ化したファイルを暗号化することはできなかったWindows 2000 が、改善されました。Windows XP Professional には、オフライン ファイルのデータベースを暗号化し、ローカルにキャッシュ化されているドキュメントを盗難から守り、ローカルにキャッシュ化されているデータに追加のセキュリティを提供するという選択肢が加わりました。

たとえば、機密データのセキュリティを維持しながら、オフライン ファイルを使用することができます。IT 管理者の場合は、この機能を利用して、ローカルでキャッシュ化されたすべてのドキュメントを保護することができます。機密データがオフライン ファイルのキャッシュに保存されているモバイル コンピュータが盗難にあった場合、暗号化してあれば優れた防護策となります。

この機能を使用すると、オフライン データベース全体を、暗号化および暗号化解除することができます。オフライン ファイルを暗号化する方法を構成するには、管理者特権が必要です。

オフライン ファイルを暗号化するには

1. [ マイ コンピュータ ] の [ ツール ] メニューから [ フォルダ オプション ] を選択します。

2. [ オフライン ファイル ] タブの [ オフライン ファイルを暗号化してデータを保護する ] チェック ボックスをオンにします。そのようすを下の図 2 に示します。

証明書サービス

証明書サービスは、オペレーティング システムの中核の一部であり、企業が独自の証明機関 (CA) として、デジタル証明書の発行と管理を行えるようにする働きをします。Windows XP Professional では複数レベルの CA 階層およびクロス証明信頼ネットワークをサポートしています。その中には、オフラインおよびオンラインの証明機関が含まれます。証明書サービスおよび関連するトピックについて、以下のセクションで説明します。

証明書および公開キーの記憶域

Windows XP Professional では、公開キー証明書を個人証明書記憶域に格納します。証明書は、公開されている情報であり、改ざんを防ぐために証明機関によってデジタル署名されているので、平文で格納されます。

ユーザー証明書は各ユーザー プロファイルごとに、Documents and Settings \ username \ Application Data \ Microsoft \ SystemCertificates \ My \ Certificates のもとに置かれています。これらの証明書は、ユーザーがコンピュータにログオンするたびに、システム レジストリ内の個人用記憶域に書き込まれます。移動プロファイルに関しては、任意の場所に証明書を格納することができま、ユーザーがドメイン内の別のコンピュータにログオンしても、証明書はユーザーを追って移動します。

秘密キーの記憶域

Microsoft をベースにした暗号化サービス プロバイダ (CSP) 用の秘密キーは、ルート ディレクトリ \ Documents and Settings \ username \ Application Data \ Microsoft \ Crypto \ RSA 下にあるユーザー プロファイルのもとに置かれています。その中には、基本 CSP と拡張 CSP が含まれます。

移動ユーザー プロファイルの場合、秘密キーはドメイン コントローラ上の RSA フォルダ内に収められており、それがユーザーのコンピュータにダウンロードされ、ユーザーがログオフするまで、または、コンピュータが再起動されるまで保持されています。

秘密キーは保護される必要がありますので、RSA フォルダ内のすべてのファイルが、マスタ キーと呼ばれるランダムな対称型のキーを用いて自動的に暗号化されます。ユーザー マスタ キーは長さが 64 バイトあり、強力な乱数ジェネレータによって生成されます。マスタ キーから 3DES キーが導出されて、秘密キーを保護するために使用されます。マスタ キーは自動的に生成され、定期的に更新されます。

マスタ キーは、ディスクに格納される際、部分的にユーザー パスワードに基づくキーによって、Triple-DES 方式で保護されます。このマスタ キーにより、RSA フォルダ内で作成されるファイルが、自動的に暗号化されます。

ユーザー証明書の自動登録

Windows 2000 では、マシン証明書の自動登録が導入されました。Windows XP および Windows Server では、ユーザー証明書の自動登録と更新が導入されています。コンピュータまたはドメイン コントローラの証明書の自動登録は、グループ ポリシーおよび Active Directory・を通じて有効になります。コンピュータ証明書の自動登録は、Windows XP のルーティングとリモート アクセス サーバーをはじめとするデバイスと、IPSec または L2TP/IPSec VPN との接続を促進するのに最適です。

証明書の自動登録を行うことにより、総所有コストが削減され、ユーザーおよび管理者のための証明書管理ライフサイクルが単純化されます。スマートカードを使用した自動登録および自己登録機関の機能により、企業ユーザーのセキュリティが強化されます。セキュリティを重視している組織にとって、これは、単純化されたセキュリティ プロセスに加えて得られる恩恵です。

モバイル セキュリティに関する秘訣。スマートカードは秘密キー、アカウント番号、パスワードをはじめとする個人情報を保護するための、改ざんされにくい記憶域を提供します。スマートカードを利用することにより、ソフトウェア専用ソリューションが拡大します。その例として、クライアント認証、シングル サインオン、セキュリティで保護された記憶域、およびシステム管理が挙げられます。マイクロソフトが Windows プロファイルに統合している公開キー インフラストラクチャにおいて、スマートカードは重要なコンポーネントとなっています。

証明書の要求と更新

Windows XP Professional におけるユーザーの自動登録は、証明書の要求と更新の両方の機能に適用されます。Windows Server CA から証明書を手作業で、または自動的に要求することができます。要求中の証明書は、管理者の承認が得られるか、検証プロセスが完了するまで、保留されます。いったん証明書が承認または発行されると、自動登録プロセスが完了し、証明書が自動的にインストールされます。

有効期限の切れたユーザー証明書の更新処理にも、自動登録の仕組みが活用されています。Active Directory 内の証明書テンプレートの仕様に応じて、ユーザーが処理しなくとも、証明書が自動的に更新されます。

既定では、証明書およびキーは保護されています。それに加えて、オプションのセキュリティ対策を実装し、保護を強化することができます。証明書およびキーのセキュリティを高める必要がある場合は、秘密キーをエクスポートして、安全な場所に格納することができます。

証明書の自動登録の設定に利用可能なオプションのいくつかを、下の図 3 に示します。

まとめ

Windows XP Professional は、モバイル コンピュータに対する脅威と戦うための、セキュリティとプライバシに関する一連の完全なソリューションを提供します。NTFS フォーマットの記憶域ボリューム上で暗号化されたファイル、グループ ポリシー、および暗号化により、強力なデータ セキュリティの基盤を得ることができます。緊密に統合したドメイン ベースのネットワーク認証、セキュリティで保護されたネットワーク、追跡可能なユーザーおよびマシンの証明書、ローカライズおよび暗号化された証明書記憶域、意味を持たせないパスワード ポリシーといったセキュリティ機能が Windows XP には完備しています。

マシンがドメインに属さないモバイル コンピュータのユーザーが利用できるセキュリティ オプションは少なくなります。しかし、モバイル コンピュータのユーザーは、ドメインに接続した場合でも接続していない場合でも、オンラインまたはオフラインで処理を行いながら、暗号化されたデータに安全にアクセスできるという利益を享受することができます。

関連リンク

詳細については、以下のリソースを参照してください。

• Windows 2000 Syskey および暗号化ファイル システムにおいて噂されている脆弱性の分析

• 企業セキュリティのベスト プラクティス

• この 12 部から構成されているシリーズには、以下の記事が含まれています。

  • セキュリティへの脅威

  • エンド システムのセキュリティに関する考慮事項

• Policy-Based Desktop Management in Windows XP

• ウィルスからのシステムの保護

• TechNet セキュリティ センター

• セキュリティに関する 10 の鉄則

• Windows XP Professional および Windows XP Home Edition のセキュリティ最新情報

• ワイヤレス LAN テクノロジと Windows XP

• Data Protection and Recovery in Windows XP (英語)

• Security Newsgroups (英語)

• How to Share Files Using Encrypting File System (英語)

ダウンロード

Windows XP Professional でモバイル コンピュータのセキュリティを保護
342 KB
Microsoft Word ファイル