企業クライアントOSとしてのWindows Vista「メリット」と「注意点」
移行のタイミングは? 本格導入の前に知っておくべきこと企業向けには2006年11月にリリースされたWindows Vistaであるが、企業の多くは、この新しいクライアントOSの導入に慎重になっている。Windows Aeroやフリップ3Dなどの興味深い新機能がクローズアップされる一方で、Vistaが要求する非常に厳しいハードウェア・スペックにも注目が集まっているためだ。しかし、Vistaに備わる多くの機能は企業向けに設計されたものであり、現在の企業が抱えるさまざまな課題を解決に導く能力を備えている。本稿では、 Windows Server 2008との連携で見えてくるVistaの真価や、Vistaを実際に導入する前に知っておきたい注意点について探った。
Vistaの能力を引き出すWindows Server 2008
Windows VistaとWindows Server 2008は、「Longhorn」という開発コード名の単一の開発プロジェクトとしてスタートした。そのため、両者は多数の共通したテクノロジーを採用しており、組み合わせて使用することで、管理の効率化、可用性の向上、通信の高速化など、最新テクノロジーのメリットを最大限に享受することができるのだ。まずは、VistaとWindows Server 2008を組み合わせて使用することで得られるメリットをいくつか紹介しよう。
MERIT1
豊富なグループ・ポリシー
Windows 2000 Serverから採用されているActive Directoryを導入すると、グループ・ポリシーをドメインやOU(組織単位)、サイトに簡単に展開できるようになり、ユーザーのデスクトップの制御やコンピュータのセキュリティ設定を中央から集中管理できるようになる。Windows Server 2008のグループ・ポリシーは当然ながら、Vistaがサポートする豊富なポリシーに完全に対応している。
その中でもデバイスのインストール制御やリムーバブル記憶域へのアクセス制御の機能が注目されている。USBフラッシュメモリなどのデバイスは、情報漏洩やウイルスなどの流入経路としてしばしば問題になる。Vistaの新しいポリシーでは、デバイスのインストールや書き込みを禁止することができ、それをWindows Server 2008のグループ・ポリシーでドメイン全体に簡単に展開できるのである(画面1)。
グループ・ポリシーの強化点としてはこのほか、Vistaのデスクトップ、アプリケーション、セキュリティ、プリンタ展開、帯域制御(ポリシー・ベースのQoS)などを集中管理するのに役立つポリシーが多数用意されている。また、VistaはNLA(Network Location Awareness)というネットワーク識別機能を持っており、これとグループ・ポリシーとの組み合わせにより、ネットワーク環境の変化に動的に対応したグループ・ポリシーの適用が可能となっている。
従来では、グループ・ポリシーはコンピュータ起動時かユーザー・ログオン時に適用されていたが、NLAによって、ハイバネーションやスタンバイからの復帰時やドメイン接続時、公衆アクセス・ポイントへの接続時、VPN(Virtual Private Network)セッション確立時、NAP(Network Access Protection)による検疫解除時などにポリシーが適用されるようになる。例えば、公衆アクセスポイントへの接続時にはWindowsファイアウォールで例外を許可せず、社内ネットワークに復帰した時にはピア・ツー・ピア(P2P)の通信のための例外を許可するといった切り替えを自動で行わせることができる。
MERIT2
サポート・コストを軽減するUAC
Vistaの新しいセキュリティ機能「ユーザー・アクセス制御(UAC)」は、管理者特権が必要な作業を実行する際に、ログオン中のユーザーが管理者ユーザーであれば承認を求め、標準ユーザーであれば管理者特権を持つユーザーに対して認証を求める機能である(画面2)。UACはデフォルトで有効になっており、ログオンしたユーザーが管理者ユーザーであるか標準ユーザーであるかに関係なく、標準ユーザーのロックダウンされた権限で動作する。
ホーム・ユーザーや企業のエンドユーザーにとっては、承認や認証をいちいち求められるのは煩わしいかもしれない。しかし、ユーザーがシステム構成を誤って変更したり、システムの安定性に影響するアプリケーションを意図的に、あるいは悪意のあるWebサイトなどを通じて知らぬ間にインストールしたりするのを防ぐため、UACはシステム保護に重要な役割を果たす。また企業の管理者にとっては、デスクトップ管理を容易にし、サポート・コストを軽減するのに非常に役立つ機能である。
Vistaでは、UACの導入に加えて、非管理者へのユーザー・エクスペリエンスを向上させるために、標準ユーザーへの特権が追加されている。例えば、ワイヤレス・ネットワークに接続するためのWEP(Wired Equivalent Privacy)キーの設定や、電源管理設定を変更する権限、更新プログラムのダウンロードとインストールなど、多数の標準的な作業を標準ユーザーのまま実行することができる。
管理者特権が必要なデバイスのインストールに関しても、グループ・ポリシーを利用して、プリンタなどのデバイスの種類を示すデバイス・クラスや、認定済みのフラッシュドライブなど、特定のデバイスのハードウェアIDにより、インストールする権限を標準ユーザーに許可することが可能だ。
MERIT3
セキュリティ対策に有用なNAP
企業ネットワークの全体ならびにクライアント側に設置するファイアウォールや、アンチウイルスとアンチスパイウェアのマルウェア対策、Microsoft UpdateやWSUS(Windows Server Update Services)などによるパッチ管理を導入することは、今や企業ネットワークに欠かせないセキュリティ対策である。
しかしながら、企業ネットワークに存在するクライアントで、これらのセキュリティ対策が有効かつ適切に維持されていることを把握するのは困難である。特に、常に移動するモバイル・クライアントについては、企業ネットワークに戻るまで確認することもできない。
Windows Server 2008が備えるNAP、およびNAPとともに動作するVistaとWindows Server 2008標準の「システム正常性エージェント(SHA)」/「システム正常性検証ツール(SHV)」は、Vistaのセキュリティ・センターで監視される項目と連動したクライアント検疫を可能にする(画面3)。
具体的には、Windowsファイアウォールが有効かどうか、ウイルス対策およびスパイウェア対策が有効かつ最新状態に保たれているかどうか、自動更新が有効かどうか、最新の重要なセキュリティ更新が提供済みであるかどうかを検証する。そして、ポリシーに準拠するか否かが決定され、準拠状態に応じたアクセス・ポリシーが強制される。SHAはVista以降のOSに標準搭載されているが、Windows XP SP2用のエージェントも提供される予定だ。ただし、Windows XP SP2のセキュリティ・センターの制約によって、スパイウェア対策の検証には対応していない。
NAPの特徴は、クライアントを検疫するだけでなく、ポリシーに準拠させるための修復手段を提供できる点だ。WSUSを利用した更新プログラムの配布は、NAPの標準機能だけで実現することが可能である。自動更新やWindowsファイアウォールを自動的にオンにするなど、自動修復機能も提供する。さらに、ポリシーの説明や対処方法を示すWebサイトにユーザーを誘導することも可能だ。NAPはセキュリティ・レベルの低いクライアントを強制的に排除するという検疫機能を提供するものだが、自動修復機能と組み合わせて、セキュリティ対策の実施状況を確実なものにする目的で展開するというシナリオも効果的だ。
MERIT4
IPv6が標準プロトコルに
Vistaでは、従来のIPv4に加えて、次世代の標準規格と言われるIPv6のプロトコル・スタックが標準でインストールされ、有効になる。Vistaのネットワーク機能を持つコンポーネントのほとんどもIPv6対応だ。しかし、IPv6のインフラストラクチャがないネットワークにVistaを導入したとしても、このIPv6が生かされることは少ないだろう。しかしWindows Server 2008の登場で、この状況が一変するかもしれない。
Windows Server 2008もまた、Vistaと同様にIPv6に標準で対応する。しかも、Active DirectoryやDNS(Domain Name System)、DHCP(Dynamic Host Configuration Protocol)、IIS(Internet Information Service) 7.0、セキュリティが強化されたWindowsファイアウォールを含め、ネットワーク機能を持つすべてのコンポーネントがIPv6に完全に対応する。カスタム・アプリケーションについても、.NETフレームワークや上位APIを使用するものは、コードを書き換えることなくIPv6上でそのまま使えるようになっている。
ネットワーク上でIPv4とIPv6が両方利用可能である場合は、IPv6をIPv4よりも優先的に使用する設定がとられる(画面4)。DNSの名前解決においても、AレコードとAAAAレコードの両方を問い合わせ、両方の応答を得た場合はAAAAレコードを優先して使用する。また、IPv4とIPv6の選択や切り替えでパフォーマンスが低下しないように、TCP/IPのプロトコル・アーキテクチャを再設計し、1つのアーキテクチャ(Tcpip.sysドライバ)の中で、ネットワーク層(IP層)にIPv6とIPv4を2重で持つ「デュアルIPレイヤアーキテクチャ」を採用している。これまでのWindowsでは、IPv4用のドライバ(Tcpip.sys)とIPv6用のドライバ(Tcpip6.sys)は独立したものであった。
IPv6の特徴の1つに、IPアドレスの自動設定(autoconfiguration)機能をプロトコル自身が持っていることがある。IPv6では、IPv6対応ルータやDHCP(DHCPv6)が存在しない環境では、他のノードと重複しないリンク・ローカル・アドレスを自動生成する。この機能により、IPv6について何も構成しなくても、VistaとWindows Server 2008間でIPv6による通信が可能だ。言い換えれば、VistaとWindows Server 2008が導入されたネットワークでは、知らないうちにIPv6で通信が行われ、IPv6のメリットを享受できるということである。もちろん、複数のIPサブネットを持つ企業ネットワーク全体をIPv6化するためには、IPv6対応のルータやDHCPv6などのIPv6インフラストラクチャが必要となる。
