ticketierは何ですか

この表では、この設定の概要を示しています。この設定の詳細については、グループ ポリシー オブジェクト エディタの [説明] タブを参照してください。

Windows Defender

Windows Defender は、Windows Vista に含まれているプログラムで、Windows XP 用にダウンロードすることもできます。このプログラムにより、スパイウェアやその他の迷惑ソフトウェアが原因で発生するポップアップ表示、パフォーマンス 低下、セキュリティ上の脅威からコンピュータを保護します。Windows Defender は、スタートアップ フォルダやレジストリ内の自動実行エントリなど、迷惑ソフトウェアが攻撃対象とする Windows Vista オペレーティング システムの重要なチェックポイントをリアルタイムで監視します。

また、Windows Defender により、アドウェア、キーロガー、およびスパイウェアなどの迷惑アプリケーションを検出および削除することもできます。プログラムが Windows Vista 内の保護されている領域を変更しようとすると、Windows Defender は変更を許可または拒否するかどうかを尋ねるプロンプトを表示して、スパイウェアがインストールされるのを阻止します。この監視により、Windows Vista を実行しているコンピュータの信頼性が向上し、ユーザーのプライバシー保護機能が向上します。Windows Vista で Windows Defender は既定で有効になっています。このテクノロジはスパイウェアに対する強化された保護機能を提供しますが、その他のサードパーティ製保護製品とともに使用す ることもできます。悪意のあるソフトウェアに対する最高レベルの保護機能を実現するには、Windows Defender とともに完全なウイルス対策ソリューションも展開することを強くお勧めします。

Windows Vista の新しいグループ ポリシー設定を構成して、Windows Defender の動作を制御できます。前の章で説明したグループ ポリシー設定には、Windows Defender の既定の動作を変更する設定は含まれていません。これは、通常これらの設定の値が、お使いの環境要件に固有な値であるためです。

Microsoft SpyNet コミュニティ

Microsoft SpyNet は、スパイウェアの脅威の可能性がある場合に対応方法を決定する際に役立つオンライン コミュニティです。また、新しいスパイウェアの感染が広がるのを防ぐことにも役立ちます。

危 険としてまだ分類されていないソフトウェアやソフトウェアによる変更を Windows Defender が検出したときに、他のメンバが警告にどのように対応しているかを確認できます。また、自分が行った対応が他のコミュニティ メンバの対応に役立つこともあります。これらの対応は、マイクロソフトが脅威の可能性を調査するソフトウェアを特定する際にも役立ちます。検出されたソフ トウェアについての基本情報または追加情報を送信するように選択できます。追加情報は、Windows Defender の機能の向上に役立ちます。たとえば、有害なソフトウェアが削除された場合に、コンピュータ上での検出された項目の場所を含めることができます。このよう な場合、Windows Defender は情報を自動的に収集し、コミュニティに送信します。

リスク評価

スパイウェアは、組織に数多くの重大なリスクをもたらします。これらのリスクを軽減して、データおよびコンピュータが侵害されないようにする必要があります。スパイウェアが組織にもたらす最も一般的なリスクは、以下のとおりです。

• 不正なユーザーに重要な業務データが漏洩する。
  
• 不正なユーザーに従業員の個人情報が漏洩する。
  
• 不正な攻撃者がコンピュータを侵害する。
  
• コンピュータのパフォーマンスと安定性に影響を与えるスパイウェアにより、生産性が低下する。
  
• スパイウェアの感染によりサポート費用が増加する。
  
• 重要なデータが漏洩し、組織が恐喝される。

リスク軽減

Windows Defender は、スパイウェアに関するリスクを軽減できるように設計されています。このテクノロジの定期的な更新プログラムは、Windows Update によって自動的に提供されます。または Microsoft Windows Server Update Services (WSUS) を使用することもできます。

Windows Defender が提供するスパイウェア保護機能に加え、ウイルス、トロイの木馬プログラム、およびワームを検出するようにスパイウェア保護機能を強化することが可能なウ イルス対策ソフトウェアをインストールすることを強くお勧めします。たとえば、Microsoft Forefront Client Security などの製品は、企業のデスクトップ、ラップトップ、およびサーバー オペレーティング システム用の統合されたマルウェア防御機能を提供します。

リスク軽減に関する考慮事項

Windows Defender は、Windows Vista で既定で有効になっていて、通常の操作状況において可能な限り目立たないように設計されています。Windows Vista を展開する際には次の推奨事項を考慮してください。

• サードパーティ製のリアルタイムのスパイウェアまたはアンチウイルス対策スキャナとの相互運用性をテストしてください。
  
• 組織に管理対象コンピュータが大量にある場合は、更新用の署名定義ファイルの展開を管理するシステムを設計してください。
  
• ユーザーが悪意のあるプログラムを実行するように仕向ける、スパイウェア プログラムの一般的な罠についてユーザーをトレーニングしてください。
  
• 業 務ニーズに適したように、スケジュールされているスキャンを開始する時間を調整してください。既定では、毎日午前 2:00 にスケジュールされています。コンピュータがこの時間にスキャンを実行できなかった場合は、そのことが後でユーザーに通知され、ユーザーはスキャンを実行 するように求められます。その後 2 日以内にスキャンが実行されないと、次回コンピュータを起動してから約 10 分でスキャンが実行されます。このスキャンは低優先度プロセスとして実行されるため、クライアント コンピュータに最小限の影響しか与えません。Windows Vista では入出力 (I/O) 処理のパフォーマンスが向上されているため、この低優先度スキャンがユーザーに与える影響は Windows XP よりも大幅に少なくなっています。
  
• Windows Defender は、エンタープライズ クラスのスパイウェア対策アプリケーションとしては設計されていません。また、業務向けの集中化されたレポート作成、監視、または制御機能は提供していま せん。追加のレポート作成機能または制御機能が必要な場合は、Microsoft Forefront Client Security などの追加の製品を検討する必要があります。
  
• 検出したスパイウェアを Microsoft SpyNet オンライン コミュニティに報告するための組織のポリシーを決定してください。

軽減プロセス

Windows Defender はオペレーティング システムに既定で組み込まれているため、Windows Defender を有効にするのに追加手順を実行する必要はありませんが、組織を確実に保護するためのいくつかの手順を実行することをお勧めします。

この軽減プロセスを使用するには

1. Windows Vista および Windows Defender のスパイウェア対策能力を調査します。
   
2. Windows Defender のグループ ポリシー設定を調査します。
   
3. 組織に適した追加の対ウイルス保護を評価します。
   
4. 組織内のコンピュータに最適な更新プロセスを計画します。モバイル コンピュータとデスクトップ コンピュータで、それぞれ異なる更新構成が必要になることがあります。
   
5. ユーザーがコンピュータの不審な活動を識別できるように、ユーザー トレーニングを実施します。
   
6. Windows Defender ツールを使用してサポート コールに対処するためのトレーニングをサポート スタッフに対して実施します。

グループ ポリシーを使用して Windows Defender のリスクを軽減する

Windows Defender の利用可能な設定は、グループ ポリシー オブジェクト エディタの次の場所で確認および構成できます。

コンピュータの構成\管理用テンプレート\Windows コンポーネント\Windows Defender

表 2.4 Windows Defender の制御設定

この表では、各設定の概要を示しています。それぞれの設定の詳細については、グループ ポリシー オブジェクト エディタの [説明] タブを参照してください。

Windows ファイアウォール

パーソナル ファイアウォールは、さまざまな種類のマルウェアに対する重要な防御策です。Windows XP Service Pack 2 (SP2) のファイアウォール機能と同様、Windows Vista のファイアウォールは既定でオンになっていて、オペレーティング システムが起動した直後にユーザーのコンピュータを保護することができます。

Windows Vista の Windows ファイアウォールには、受信および送信の両方のフィルタリングが含まれていて、予期しない動作をするオペレーティング システム リソースを制限してユーザーを保護します。また、ファイアウォールは、Windows Vista のネットワーク認識機能と統合されているため、クライアント コンピュータの場所に応じて特別なルールを適用することができます。たとえば、ラップトップ コンピュータが組織のネットワーク上にある場合は、ドメイン ネットワーク環境の管理者がそのネットワークのセキュリティ要件に一致するファイアウォールのルールを定義できます。ユーザーが同じラップトップを、無料のワイヤレス ホットスポットなどのパブリック ネットワーク経由でインターネットに接続しようとした場合は、異なるファイアウォール ルールを自動的に使用してコンピュータを攻撃から保護することができます。

また、Windows Vista では、ファイアウォール管理とインターネット プロトコル セキュリティ (IPsec) が統合されています。これは、Windows オペレーティング システムでは初めて採用された機能です。Windows Vista では、セキュリティが強化された Windows ファイアウォール コンソールという 1 つのコンソールが IPsec とファイアウォール管理を統合します。このコンソールでは、受信および送信トラフィックのフィルタリングと、IPsec サーバーおよびドメイン分離設定がユーザー インターフェイスに集中化されていて、容易な構成とポリシー競合の低減を実現されています。

リスク評価

ネットワーク接続は、現代のビジネスで不可欠な要素となりましたが、この接続は攻撃者の主な攻撃対象にもなりました。接続に関する脅威を軽減して、データやコンピュータが侵害されないようにする必要があります。ネットワーク ベースの攻撃が組織にもたらす最も一般的な脅威は、以下のとおりです。

• 不正な攻撃者によってコンピュータが侵害され、その後攻撃者はそのコンピュータの管理者レベルのアクセスを獲得する。
  
• 攻撃者がネットワーク スキャナ アプリケーションを使用して、開いているネットワーク ポートをリモートから判断して攻撃を行う。
  
• トロイの木馬プログラムがクライアント コンピュータから攻撃者への不正なネットワーク接続を確立して、重要な業務データが不正なユーザーに漏洩する。
  
• モバイル コンピュータが組織のネットワーク ファイアウォールの外部にあるときに、ネットワーク攻撃にさらされる。
  
• 侵害されたコンピュータが内部ネットワークに直接接続されることにより、内部ネットワーク上のコンピュータがネットワーク攻撃にさらされる。
  
• 攻撃者が内部コンピュータを侵害し、組織が恐喝される。

リスク軽減

Windows Vista のファイアウォールは、細かい設定を行うことなくクライアント コンピュータを保護します。ファイアウォールは、管理者またはグループ ポリシーによって変更が行われるまで、ほとんどの不要な受信トラフィックをブロックします。

また Windows ファイアウォールには、送信ネットワーク トラフィックのフィルタリング機能も含まれていて、このルールは既定では、すべての送信ネットワーク トラフィックで [許可] に設定されています。グループ ポリシー設定を使用して Windows Vista ファイアウォールでこれらのルールを設定して、クライアントのセキュリティ設定を常に一定に保つことができます。

リスク軽減に関する考慮事項

Windows Vista でファイアウォールを使用する際に考慮すべきことは、以下のとおりです。

どのようにリサイクルは私たちをbenifitことができますか？

• 組織のコンピュータで必要なアプリケーションの相互運用性をテストしてください。必要なポートのみが Windows ファイアウォールによって開かれるように、各アプリケーションはネットワーク ポート要件の記録を持っている必要があります。
  
• Windows XP ファイアウォールは、ドメイン プロファイルおよび標準プロファイルをサポートしています。ドメイン プロファイルは、クライアントが、コンピュータのアカウントが存在するドメイン用のドメインコントローラが含まれたネットワークに接続したときにアクティブになります。これにより、組織の内部ネットワークの要件に固有なルールを作成できます。Windows Vista ファイアウォールには、プライベート プロファイルとパブリック プロファイルが含まれていて、ユーザーが組織のネットワーク防御の外側でクライアント コンピュータを操作した場合のクライアント コンピュータの保護を詳細に制御することができます。
  
• Windows ファイアウォールのログ記録機能を評価して、会社で採用している既存のレポート作成ソリューションまたは監視ソリューションと統合できるかどうか判断してください。
  
• 既定では、Windows ファイアウォールは、Windows Vista ベースのコンピュータのリモート制御またはリモート管理をブロックします。Windows ファイアウォールには、そのようなリモート タスク用のルールが用意されています。組織のコンピュータがこれらのリモート タスクをサポートするように設定するには、タスクが要求される各プロファイルの必要なルールを有効にする必要があります。たとえば、ドメイン プロファイルではリモート デスクトップ ルールを有効にしてヘルプデスクが組織のネットワーク上のユーザーをサポートできるようにし、パブリック プロファイルおよびプライベート プロファイルではそれを無効にして、コンピュータが社内ネットワーク外にある場合の攻撃の危険性を低減することができます。

セキュリティが強化された Windows ファイアウォールを使用してリスクを軽減する

Windows Vista には、Windows Vista ファイアウォールで使用可能な新しい機能を設定するための、新しいグループ ポリシー設定と管理 UI が含まれています。Windows Vista の強化されたセキュリティ設定は、Windows XP を実行しているクライアント コンピュータには適用されません。

これらの新機能を詳細に確認して、お使いの環境の保護能力を高めることができるかどうかを判断することをお勧めします。Windows Vista ファイアウォールの既定の動作を変更する場合は、セキュリティが強化された Windows ファイアウォールのグループ ポリシー設定を使用して、Windows Vista を実行しているクライアント コンピュータを管理することをお勧めします。

Windows ファイアウォールで使用可能な新しいグループ ポリシー設定と管理スナップインは、グループ ポリシー オブジェクト エディタの次の場所で確認および構成できます。

コンピュータの構成\Windows の設定\セキュリティの設定\セキュリティが強化された Windows ファイアウォール

セキュリティが強化された Windows ファイアウォールは、次の環境プロファイルをサポートしています。

• ドメイン プロファイル 。このプロファイルは、コンピュータがネットワークに接続され、コンピュータが属しているドメイン内のドメイン コントローラに対して認証を行ったときに適用されます。
  
• パブリック プロファイル 。このプロファイルは、コンピュータがドメインに接続されていない場合の既定のネットワークの場所です。パブリック プロファイル設定は、最も厳しい設定にする必要があります。これは、コンピュータが IT 環境のようにセキュリティを厳しく制御することができないパブリック ネットワークに接続されるためです。
  
• プライベート プロファイル 。このプロファイルは、ローカル管理者権限を持っているユーザーが、以前にパブリックに設定したネットワークにプロファイルを割り当てたときにのみ適用されます。この操作は、信頼されたネットワークでのみ行うことをお勧めします。

プロファイルは、1 度に 1 つだけ有効になります。コンピュータに複数のインターフェイスがあり、複数のネットワークの場所に接続されている場合、どのプロファイルが適用されるかの評価は次のように行われます。

1. すべてのネットワーク インターフェイスの評価結果がドメイン ネットワークの場所である場合は、ドメイン プロファイルが適用されます。
   
2. すべてのネットワーク インターフェイスの評価結果がプライベート ネットワークの場所である場合は、プライベート プロファイルが適用されます。
   
3. あるネットワーク インターフェイスの評価結果がパブリック ネットワークの場所である場合は、パブリック プロファイルが適用されます。

3 つのすべてのプロファイルでセキュリティが強化された Windows ファイアウォールを有効にすることをお勧めします。強化されたファイアウォール ルールに加え、Windows ファイアウォールは接続セキュリティ規則もサポートしています。接続セキュリティでは、通信開始前に認証が行われ、2 台のコンピュータ間で送信される情報がセキュリティ保護されます。セキュリティが強化された Windows ファイアウォールには、IPsec テクノロジが組み込まれていて、キー交換、認証、データの整合性、およびデータの暗号化 (オプション) をサポートしています。

詳細については、Microsoft TechNet の「 IPsec (英語) 」Web ページを参照してください。

付録 A の「セキュリティのグループ ポリシー設定」では、セキュリティが強化された Windows ファイアウォールのすべての設定について説明しているとともに、どの設定が環境固有の情報を必要とするかを示しています。

Windows セキュリティ センター

Windows セキュリティ センター (WSC) 機能は、Windows Vista および Windows XP SP2 を実行しているクライアント コンピュータでバックグラウンド プロセスとして実行されます。Windows Vista では、この機能は常に 4 つの重要なセキュリティ カテゴリのステータスを確認し、表示します。

• ファイアウォール
  
• 自動更新
  
• マルウェア対策
  
• 他のセキュリティ設定

WSC プロセスは、コンピュータの他のセキュリティ関連領域にアクセスする場所として機能し、セキュリティ関連のサポートとリソースをこの 1 箇所から見つけることができます。たとえば、ユーザーがウイルス対策ソフトウェアを持っていない場合、WSC と互換性のあるウイルス対策ソリューションを提供するベンダー製品へのリンクが提供されます。

Windows Vista の WSC には「他のセキュリティ設定」という新しいカテゴリが追加されています。このカテゴリには、Internet Explorer のセキュリティ設定とユーザー アカウント制御のステータスが表示されます。また、「マルウェア対策」というカテゴリも追加されていて、これにはウイルス対策ソフトウェアとスパイウェア対策ソフトウェアの監視が含まれています。WSC は、Windows Vista が提供する既定の保護に加え、複数のベンダーの Windows ファイアウォール用のセキュリティ ソリューションと、同じクライアント コンピュータ上で実行されているウイルス対策ソフトウェアおよびスパイウェア対策ソフトウェアを監視して、どのソリューションが有効になっていて最新であるかを示します。

Windows Vista を実行しているクライアント コンピュータで WSC は、コンピュータ上で問題が発生した場合にそれを解決するのに使用可能なベンダーへの直接的なリンクを提供します。たとえば、サードパーティ製のウイルス対策ソリューションまたはスパイウェア対策ソリューションがオフになっていたり、古くなっている場合、コンピュータ上でベンダーのソリューションを起動して問題を訂正するためのボタンが WSC に表示されます。また、ベンダーの Web サイトへのリンクが提供され、ユーザーはこれを使用してサブスクリプションのライセンス認証手続きや更新を行ったり、更新プログラムを入手することができます。セキュリティ ソフトウェアがオフになっていることや古くなっていることを把握したり、更新プログラムを容易にダウンロードできるため、可能な限り保護された状態を保つことができ、マルウェアに対する脆弱性を極力排除できます。

WSC は、Windows Vista を実行しているコンピュータで既定で実行されます。前の章で説明したグループ ポリシー設定には、WSC の既定の動作を変更する設定は含まれていません。ただし、管理者がグループ ポリシーを使用して、ドメインのメンバであるコンピュータで WSC クライアント UI が無効または有効になるように設定することはできます。WSC で利用可能なグループ ポリシー設定は、グループ ポリシー オブジェクト エディタの次の場所で確認および構成できます。

コンピュータの構成\管理用テンプレート\Windows コンポーネント\セキュリティ センター

Securitycenter.admx テンプレート ファイルには、このポリシー設定の XML 設定情報が含まれています。次の表に、この設定の説明を示します。

表 2.5 Windows セキュリティ センターの設定

この表では、この設定の概要を示しています。この設定の詳細については、グループ ポリシー オブジェクト エディタの [説明] タブを参照してください。

悪意のあるソフトウェアの削除ツール

Microsoft Windows 悪意のあるソフトウェアの削除ツールは、感染したコンピュータからマルウェアを削除するように設計されています。マイクロソフトは、ツールの新しいバージョンを、Microsoft Update、Windows Update、WSUS、および Microsoft ダウンロード センターを通じて毎月リリースします。悪意のあるソフトウェアの削除ツールは、ウイルス対策に関する全機能を備えた製品ではないため、常時ウイルスを検出して削除するウイルス対策ソフトウェアを実行することを強くお勧めします。ツールを実行すると、コンピュータがバックグラウンドでスキャンされ、感染が検出された場合にはレポートが生成されます。このツールは、スキャンしているオペレーティング システム内にはインストールされません。このツールには、Windows Vista 内のグループ ポリシー設定はありません。

リスク評価

すべてのコンピュータで、Windows Vista の一部として提供されている保護サービスに加え、リアルタイム ウイルス対策スキャナを実行することをお勧めします。ただし、これらの保護対策をインストールしても、次のようなリスクは残ります。

• インストールしたリアルタイム ウイルス対策スキャナが特定のマルウェアを検出しない。
  
• マルウェアが、インストールしたリアルタイム ウイルス対策スキャナ無効にしてしまう。

これらの場合、悪意のあるソフトウェアの削除ツールは、一般的な悪意のあるソフトウェアを検出および削除するための追加のセキュリティ機能を提供します。

リスク軽減

これらのリスクを軽減できるように、自動更新を実行するようにクライアント コンピュータを構成して、悪意のあるソフトウェアの削除ツールがリリースされたときにそれがダウンロードされて実行されるようにすることをお勧めします。

お使いの環境でこのツールを使用することを検討している場合は、展開に関する次のことを考慮してください。

• 悪意のあるソフトウェアの削除ツールのサイズは約 4 MBで、大量のクライアント コンピュータが同時にツールをダウンロードすると、組織のインターネット接続に影響が出ることがあります。
• このツールは主に、コンピュータに既存の最新のウイルス対策製品がインストールされていない、企業以外のユーザーを対象としていますが、企業環境において、既存の保護策の強化および "多層防御" 戦略の一環として展開することもできます。企業環境へのこのツールの展開には、以下の方法を使用することができます。
  • Windows Server Update Services
    
  • SMS ソフトウェア パッケージ
    
  • グループ ポリシーでコンピュータのスタートアップ スクリプトを使用する方法
    
  • グループ ポリシーでユーザーのログオン スクリプトを使用する方法
    

企業環境の場合は、Microsoft サポート技術情報 (KB) の記事 891716 「 企業環境での Microsoft Windows 悪意のあるソフトウェアの削除ツールの展開 」を参照することをお勧めします。

• 通常、Windows 悪意のあるソフトウェアの削除ツールを実行すると、お使いのコンピュータのルート ドライブにランダムな名前が付けられた一時ディレクトリが作成されます。このディレクトリには、Mrtstub.exe ファイルを含む、複数のファイルが入っています。このフォルダは通常、ツールの実行が完了したとき、またはコンピュータを次回再起動したときに自動的に削除されますが、自動的に削除されないこともあります。この場合は、コンピュータに悪影響を与えることなくこのフォルダを手動で削除できます。
• 悪意のあるソフトウェアの削除ツールがバックグラウンドで実行されている (Windows Server Update Services を使用する展開の一部としてツールが実行されている) ときにユーザーがコンピュータにログオンした場合、現在のユーザー プロファイルが破損したため新しいプロファイルが作成されたことが通知されることがあります。この問題を解決するには、新しいプロファイルを削除します。そして、ツールが実行されていないときにシステムに再度ログオンします。この問題は、主に Windows 2000 ベースのコンピュータで発生します。

軽減プロセス

悪意のあるソフトウェアの削除ツールを効果的に使用するには、次の手順に従ってください。

この軽減プロセスを使用するには

1. 悪意のあるソフトウェアの削除ツールの機能を調査します。
   詳細については、「 悪意のあるソフトウェアの削除ツール 」 Web ページを参照してください。
2. 環境でのツールの必要性を評価します。
   
3. 組織でツールを展開する最も適切な方法を判断します。
   
4. ツールの保護機能を有効活用できる組織内のシステムを特定します。
   
5. 選択した展開方法によってツールを展開します。

ソフトウェア制限ポリシー

管理者は、ソフトウェア制限ポリシーを使用して、アプリケーション ソフトウェアを識別し、ローカル コンピュータ上でそれを実行可能にするかどうかを制御することができます。この機能により、Windows Vista および Windows XP Professional を実行しているコンピュータを既知の競合から保護したり、ウイルスやトロイの木馬などの悪意のあるプログラムからコンピュータを守ることができます。ソフトウェア制限ポリシーは、Active Directory やグループ ポリシーと完全に統合されています。この機能は、スタンドアロン コンピュータでも使用できます。ソフトウェア制限ポリシーを使用すると、次の操作が可能です。

• 環境内のクライアント コンピュータで実行できるソフトウェアを指定する。
  
• 複数のユーザーが使用するコンピュータで、特定のファイルへのアクセスを制限する。
  
• 信頼された発行者をクライアント コンピュータに追加できるユーザーを特定する。
  
• ポリシーの対象をクライアント コンピュータ上のすべてのユーザーとするか、またはユーザーのサブセットとするかを定義する。
  
• 組織単位 (OU)、サイト、またはドメイン レベルで設定されているポリシーに基づいて、実行可能ファイルをローカル コンピュータで実行できないようにする。

重要 : このガイドで説明しているすべてのポリシー設定は、運用環境に展開する前に十分にテストしてください。ソフトウェア制限ポリシーの設定を構成する場合は、特に入念にテストしてください。ポリシー設定の機能の設計または実装に誤りがあると、ユーザー作業の大きな妨げとなる可能性があります。

Windows Vista では、ソフトウェア制限ポリシーはほとんど変更されていません。このため、これらについてはこのガイドでは説明しません。これらのポリシーの設計および実装の詳細については、TechNet の「 Using Software Restriction Policies to Protect Against Unauthorized Software (英語) 」 を参照してください。

ページのトップへ

どのように職場での安全係数に対処する

• Internet Explorer の保護モード
  
• ActiveX オプトイン
  
• クロスドメイン スクリプト攻撃対策
  
• セキュリティ ステータス バー
  
• フィッシング詐欺検出機能
  
• 追加のセキュリティ機能

Internet Explorer 7 は、Windows Vista と Windows XP オペレーティング システムの両方で利用できます。Windows Vista では、Internet Explorer のエクスペリエンスが向上されています。たとえば、保護モードや保護者による制限など、Internet Explorer 7 の機能のいくつかは、Windows XP を実行しているクライアント コンピュータのブラウザでは利用できません。また、Aero ユーザー インターフェイスも、Windows XP を実行しているクライアント コンピュータの Internet Explorer 7 では利用できません。

Internet Explorer の保護モード

Windows Vista の Internet Explorer の保護モードにより、追加の防御策を備えることができ、ユーザーは安全にインターネットを閲覧できるようになります。また、保護モードにより、悪意のあるユーザーがユーザーのブラウザを支配して、昇格された特権を使ってコードを実行することを防止できます。

保護モードにより、悪意のあるコードのサイレント インストールにブラウザが使用される可能性が排除されるため、ブラウザの拡張機能の以前のソフトウェア脆弱性を低減することができます。保護モードは、プロセス、ファイル、およびレジストリ キーへのアクセスを制限してこの目的を達成する、Windows Vista の高度な整合性レベルのメカニズムを使用します。この保護モードのアプリケーション プログラミング インターフェイス (API) により、ソフトウェア ベンダーは、ブラウザが保護モードになっているときにファイル システムおよびレジストリとやり取りすることが可能な Internet Explorer の拡張機能およびアドオンを開発できます。

保護モードの場合、ユーザーまたはシステムのファイルや設定がユーザーの明示的なアクセス許可なしで変更されないように、Internet Explorer 7 は低い権限で実行されます。新しいブラウザ アーキテクチャには、より安全な方法で既存のアプリケーションが保護モードから昇格できるようになる「ブローカ」プロセスも導入されています。これにより、ブラウザで [Temporary Internet Files] フォルダなどの権限の低いディレクトリの外部にデータがダウンロードされるのを防止できます。

Internet Explorer 7 で保護モードは、信頼済みサイト ゾーンを除くすべてのセキュリティ ゾーンで既定で有効になっています。ユーザーはこのモードを無効にすることができますが、無効にするとセキュリティ能力全体が低下します。この理由により、前の章で説明したグループ ポリシー設定は、信頼済みサイト ゾーンを除くブラウザのすべての Web コンテンツ ゾーンで保護モードを有効にし、ユーザーが無効にできないようになっています。

Internet Explorer 7 の保護モードのグループ ポリシー設定は、グループ ポリシー オブジェクト エディタの次の場所で確認および構成できます。

コンピュータの構成\管理用テンプレート\Windows コンポーネント\Internet Explorer\インターネット コントロール パネル\セキュリティ ページ\<ゾーン>

次の表に、この設定の説明を示します。

表 2.6 保護モードの設定

* この設定は、Windows Vista 上の Internet Explorer 7 でのみ機能します。

この表では、この設定の概要を示しています。この設定の詳細については、グループ ポリシー オブジェクト エディタの [説明] タブを参照してください。

保護モードは、Internet Explorer 7 の以下のセキュリティ領域およびゾーンで利用できます。

• インターネット
  
• イントラネット
  
• ローカル コンピュータ
  
• ロックダウンされたインターネット
  
• ロックダウンされたイントラネット
  
• ロックダウンされたローカル コンピュータ
  
• ロックダウンされた制限付きサイト
  
• ロックダウンされた信頼済みサイト
  
• 制限付きサイト
  
• 信頼済みサイト

ActiveX オプトイン

Windows Vista での Internet Explorer 7 は、ユーザー情報およびコンピュータ システムを保護することが可能な ActiveX プラットフォーム用の強力な新しいセキュリティ メカニズムを提供します。ActiveX オプトインは、ユーザーによって明示的に許可されていないすべてのコントロールを自動的に無効にします。これにより、プレインストールされているコントロールが悪用される危険性を軽減できます。

Windows Vista では、すでにインストールされている ActiveX コントロールで以前にユーザーがインターネットで使用したことがないものにアクセスしようとすると、情報バーが表示されます。この通知メカニズムにより、ユーザーはコントロールごとにアクセスを許可または拒否することができ、攻撃の危険性をさらに削減することができます。悪意のあるユーザーは、インターネットでの使用を想定されていない ActiveX コントロールを利用してのWeb サイトを使った自動攻撃を行えなくなります。

クロスドメイン スクリプト攻撃対策

新しいクロスドメイン スクリプト バリアにより、悪意のある Web サイトがその他の Web サイトの脆弱性を操作する能力を制限できます。たとえば、クロスドメイン スクリプト攻撃対策が採用される以前は、悪意のある Web サイト上のページにアクセスすると、口座情報の入力を求める一見合法的なページ (銀行の Web サイトなど) が新しいブラウザ ウィンドウに表示されました。そして入力した情報がスクリプトによって抽出され、攻撃者に提供されました。Internet Explorer 7 では、クロスドメイン スクリプト攻撃対策により、これらの種類の攻撃は失敗します。

セキュリティ ステータス バー

Internet Explorer 7 の新しいセキュリティ ステータス バーにより、ユーザーは本物の Web サイトと疑わしいまたは悪意のある Web サイトをすばやく区別することができます。この情報を提供できるように、セキュリティ ステータス バーは、セキュリティ保護された Web サイト (HTTPS) を識別するのに役立つデジタル証明書情報へのアクセスが強化されています。

セキュリティ ステータス バーには、明確でわかりやすい視覚的な方法で Web サイトの安全性と身元情報が示されます。このテクノロジは、高保証の証明書に関する情報もサポートしていて、強力な識別方法が採用されているセキュリティ保護されたサイト (HTTPS) を明確に識別します。

フィッシング詐欺検出機能

フィッシングとは、電子メール メッセージまたは Web サイトを通じてコンピュータ ユーザーを騙して、個人情報や金融情報を引き出すためのテクニックで、多くの攻撃者が使用します。フィッシング詐欺は、合法的な人物または会社を装ってユーザーを騙し、アカウント パスワードやクレジット カード番号などの個人情報を引き出します。Internet Explorer 7 のフィッシング詐欺検出機能は、疑わしい Web サイトまたは既知のフィッシング Web サイトに関するアドバイスを提供し、ユーザーがより安全にインターネット上のコンテンツを閲覧できるようにします。フィッシング詐欺検出機能は、既知のフィッシング テクニックに関して Web サイトのコンテンツを分析し、グローバルなデータ ソース ネットワークを使用して Web サイトの信頼性を評価します。

偽りの電子メール、オンライン広告、および Web サイトの開発者は、コミュニケーションの欠落や情報の共有が限られている点を利用します。Internet Explorer 7 の新しいフィッシング詐欺検出機能は、1 時間に数回更新されるオンライン サービスを使用して、詐欺の Web サイトに関する最新の業界情報をまとめて、この情報を Internet Explorer 7 ユーザーと共有し、事前に警告を発してユーザーを保護します。

フィッシング詐欺検出機能には、クライアント側で行われる、疑わしい Web サイトの特徴のスキャンと、オプトイン オンライン サービスが組み合わされています。フィッシング詐欺検出機能は次の 3 つの方法でユーザーをフィッシング詐欺から保護します。

• ユーザーがアクセスしようとした Web サイトのアドレスを、ユーザーのコンピュータに格納されている報告済みの合法的なサイトの一覧と比較します。
  
• ユーザーがアクセスしようとしている Web サイトに、フィッシング サイトに共通する特徴がないかどうかを分析します。
  
• ユーザーがアクセスしようとした Web サイトのアドレスをマイクロソフトが運営するオンライン サービスに送信し、頻繁に更新されるフィッシング サイトの一覧に対して直ちにチェックを行います。これらのサイトは、定評ある情報源によって詐欺サイトであると確認され、マイクロソフトに報告されています。

サイトがフィッシング詐欺検出機能サービスに登録されていない場合も、Internet Explorer 7 はサイトの動作を検査して、Secure Socket Layer (SSL) 証明書なしでユーザー情報を収集するなどの疑いのある活動を行っているかどうかをユーザーに報告します。フィッシング詐欺検出機能は、このようにして詐欺サイトであることが公式に報告される前に、ユーザーがサイトによって情報を収集されるのを防止します。

ユーザーが Internet Explorer 7 を実行すると、フィッシング詐欺検出機能は、検出機能を有効または無効にするかどうかを示すメッセージを既定で表示します。前の章で説明したグループ ポリシー設定には、この既定の動作を変更する設定は含まれていません。ただし、管理者がグループ ポリシーを使用して、フィッシング詐欺検出機能の動作を制御することはできます。

フィッシング詐欺検出機能で使用可能なグループ ポリシー設定は、グループ ポリシー オブジェクト エディタの次の場所で確認および構成できます。

コンピュータの構成\管理用テンプレート\Windows コンポーネント\Internet Explorer

次の表に、この設定の説明を示します。

表 2.7 フィッシング詐欺検出機能の設定

* この設定を利用するには、Windows Vista、Windows XP SP2、または Windows Server 2003 Service Pack 1 (SP1) を実行しているコンピュータ上で Internet Explorer 7 を実行する必要があります。

この表では、この設定の概要を示しています。この設定の詳細については、グループ ポリシー オブジェクト エディタの [説明] タブを参照してください。

この設定を [有効]、動作モードを [自動] にすることをお勧めします。ただし、この構成にすると、ユーザーに問い合わせることなく、自動的にブラウザがマイクロソフトに情報を送信するようになることを管理者は認識しておく必要があります。

追加のセキュリティ機能

Internet Explorer は、マルウェアから保護することが可能ないくつかの特別なセキュリティ機能を備えています。これらのすべての設定は、グループ ポリシーを通じて管理できます。

Internet Explorer 7 で利用可能なグループ ポリシー セキュリティ機能の設定は、グループ ポリシー オブジェクト エディタの次の場所で確認および構成できます。

コンピュータの構成\管理用テンプレート\Windows コンポーネント\Internet Explorer\Securityの機能

ここでは、Internet Explorer 7 のこれらの設定の概要について説明します。Internet Explorer 7 のすべてのグループ ポリシー設定の一覧については、グループ ポリシー オブジェクト エディタを参照してください。

注 : このセクションで説明しているすべての機能は、オペレーティング システムが Windows XP SP2 および Windows Server 2003 SP1 の Internet Explorer 6.0 以降を実行しているコンピュータでも機能します。

アドオン管理

このセクションで説明しているポリシー設定を使用して、Internet Explorer 7 が使用可能なアドオンを制限できます。アドオンを管理する設定を、次の表に示します。

表 2.8 アドオン管理設定

この表では、各設定の概要を示しています。それぞれの設定の詳細については、グループ ポリシー オブジェクト エディタの [説明] タブを参照してください。

バイナリ ビヘイビアのセキュリティの制限

Internet Explorer には動的なバイナリ ビヘイビアが含まれています。これは、動作が関連付けられている HTML 要素のための特定の機能をカプセル化するコンポーネントです。次の表に示している設定を使用して、これらのビヘイビアを制限できます。

表 2.9 バイナリ ビヘイビアのセキュリティの制限の設定

この表では、各設定の概要を示しています。それぞれの設定の詳細については、グループ ポリシー オブジェクト エディタの [説明] タブを参照してください。

整合性のある MIME 処理

Internet Explorer は、Multipurpose Internet Mail Extensions (MIME) データを使用して、Web サーバー経由で受信したファイルの処理手順を決定します。次の表に、Internet Explorer 7 で利用可能な MIME のグループ ポリシー設定に関する情報を示します。

表 2.10 整合性のある MIME 処理の設定

この表では、各設定の概要を示しています。それぞれの設定の詳細については、グループ ポリシー オブジェクト エディタの [説明] タブを参照してください。

情報バー

このセクションのポリシー設定を使用して、ファイルまたはコードのインストールが制限されているときに Internet Explorer のプロセス以外のプロセスで情報バーを表示するかどうかを管理できます。既定では、情報バーは、Internet Explorer のプロセスで表示されますが、ファイルやコードのインストールが制限されているときにはどのプロセスでも表示されません。次の表に、この動作を変更するのに使用可能な設定情報を示します。

表 2.11 情報バーの設定

ローカル コンピュータ ゾーンのロックダウン セキュリティ

Internet Explorer では、表示する各 Web ページに対し、Web ページが置かれているゾーン (インターネット、イントラネット、ローカル コンピュータなど) に応じたゾーン制限が適用されます。ローカル コンピュータ上の Web ページは、[ローカル コンピュータ] ゾーンに置かれ、セキュリティ制限が最も少なくなります。すべてのローカル ファイルおよびローカル コンテンツには、[ローカル コンピュータ] ゾーン セキュリティが適用されます。この機能を使用して、ローカル コンピュータ ゾーンが攻撃の方法として悪用され、悪意のある HTML コードが読み込まれる攻撃を軽減することができます。

表 2.12 ローカル コンピュータ ゾーンのロックダウン セキュリティの設定

この表では、各設定の概要を示しています。それぞれの設定の詳細については、グループ ポリシー オブジェクト エディタの [説明] タブを参照してください。

MIME スニッフィングの安全機能

この機能を使用して、特定の種類のファイルが別の危険性の高いファイルの種類に昇格させられるのを防止できます。次の表に、この機能で使用可能な設定を示します。

表 2.13 MIME スニッフィングの安全機能の設定

この表では、各設定の概要を示しています。それぞれの設定の詳細については、グループ ポリシー オブジェクト エディタの [説明] タブを参照してください。

MK プロトコル セキュリティの制限

MK プロトコル セキュリティの制限ポリシー設定は、MK プロトコルをブロックすることにより、攻撃を受けにくくします。この設定を有効にすると、MK プロトコルでホストされているリソースは使用できなくなります。

表 2.14 MK プロトコル セキュリティの制限の設定

この表では、各設定の概要を示しています。それぞれの設定の詳細については、グループ ポリシー オブジェクト エディタの [説明] タブを参照してください。

ネットワーク プロトコルのロックダウン

制限付きプロトコルを通じて取得されたアクティブ コンテンツが安全でない方法で実行されないように Internet Explorer 7 を構成できます。このポリシー設定は、制限付きプロトコルを通じて取得されるコンテンツの制限を禁止するか許可するかを制御します。

表 2.15 ネットワーク プロトコルのロックダウンの設定

この表では、各設定の概要を示しています。それぞれの設定の詳細については、グループ ポリシー オブジェクト エディタの [説明] タブを参照してください。

各ゾーンで、ネットワーク プロトコルのロックダウン セキュリティの制限を構成して、制限付きプロトコルを通じて取得されたアクティブ コンテンツが安全でない方法で実行されるのを、ユーザーにメッセージを表示するかコンテンツを無効にして防ぐことができます。

注 : コンピュータの構成およびユーザーの構成の両方でゾーンのポリシーを設定すると、この動作はそのゾーンの両方のプロトコル一覧を制限します。

表 2.16 セキュリティ ゾーンごとの制限されたプロトコル

この表では、各設定の概要を示しています。それぞれの設定の詳細については、グループ ポリシー オブジェクト エディタの [説明] タブを参照してください。

オブジェクト キャッシュ保護

このポリシー設定は、ユーザーが同じドメイン内で移動したり、別のドメインに移動するときに、オブジェクトへの参照をアクセス可能にするかどうかを定義します。

表 2.17 オブジェクト キャッシュ保護の設定

この表では、各設定の概要を示しています。それぞれの設定の詳細については、グループ ポリシー オブジェクト エディタの [説明] タブを参照してください。

ゾーン昇格からの保護

Internet Explorer では、表示する各 Web ページに対し、Web ページが置かれているゾーン (インターネット、イントラネット、ローカル コンピュータなど) に応じた制限が適用されます。たとえば、ローカル コンピュータ上の Web ページは、セキュリティ制限が最も少なく、ローカル コンピュータ ゾーンに置かれるため、ローカル コンピュータ ゾーンは悪意あるユーザーの標的になります。

表 2.18 ゾーン昇格からの保護の設定

この表では、各設定の概要を示しています。それぞれの設定の詳細については、グループ ポリシー オブジェクト エディタの [説明] タブを参照してください。

ActiveX のインストールの制限

このポリシー設定は、ActiveX コントロールのインストールに制限を適用します。

表 2.19 ActiveX のインストールの制限の設定

この表では、各設定の概要を示しています。それぞれの設定の詳細については、グループ ポリシー オブジェクト エディタの [説明] タブを参照してください。

ファイル ダウンロードの制限

このポリシー設定は、ユーザーが開始したのではなく自動的に開始されるファイル ダウンロードに制限を適用します。

表 2.20 ファイル ダウンロードの制限の設定

この表では、各設定の概要を示しています。それぞれの設定の詳細については、グループ ポリシー オブジェクト エディタの [説明] タブを参照してください。

スクリプト化されたウィンドウのセキュリティ制限

Internet Explorer では、スクリプトのプログラム コードから各種ウィンドウを開いたり、サイズや位置を変更したりすることができます。スクリプト化されたウィンドウのセキュリティ制限は、ポップアップ ウィンドウを制限したり、タイトル バーやステータス バーが表示されないウィンドウや、他のタイトル バーやステータス バーを見えにくくするウィンドウがスクリプトから表示されるのを禁止することができます。

表 2.21 スクリプト化されたウィンドウのセキュリティ制限の設定

この表では、各設定の概要を示しています。それぞれの設定の詳細については、グループ ポリシー オブジェクト エディタの [説明] タブを参照してください。