セキュリティ

更新日：2006/03/31

サブディレクトリ

ソリューション別 に戻る

セキュリティ
	クライアント・コンピュータのパッチ適用状態を集中的に調査する（MBSA） マイクロソフトは、コンピュータへのパッチの適用状態、セキュリティ上の弱点などをリモートから調査するGUIツール、Microsoft Baseline Security Analyzer（MBSA） 1.2の無償提供を開始した。 ／ これを利用すれば、複数のクライアント・コンピュータのパッチ適用状態を集中的に管理することが可能になる。
	クラッキングを手助けする“Rootkit”ツールを検出する 本格的なシステム・クラッキングでは、長期間にわたってシステムのセキュリティ・ホール調査などが行われる。 ／ こうしたクラッキングを効率的に行うためのツール集がRootkitで、さまざまなRootkitがアンダーグラウンドで流通している。 ／ 重要度の高いサーバなどでは、Rootkitが仕込まれていないかどうかを定期的に調査したほうがよい。 ／ Rootkit検出用の無償ツールが利用できる。
	IIS 6.0のWeb拡張機能を有効にする Windows Server 2003のインストール直後のIIS 6.0では、セキュリティ上の理由から静的なWebページしか表示できなくなっている。 ／ CGIやSSI、ASPなどの拡張機能を使いたければ、明示的に許可する必要がある。 ／ ただしこれらの拡張機能の設定はWebサーバ全体で有効であり、個別のWebサイトごとに制御することはできない。
	リモート・コンピュータ上の.CHMファイルを表示させる セキュリティの強化により、デフォルトでは、リモート・コンピュータ上の.CHMファイルを表示することができなくなっている。 ／ これはHTMLヘルプの脆弱性によってリモート・コードが実行されないようにするための制限である。 ／ この制限を緩和するためには、レジストリの設定を変更する。
	Windows Server 2003のIEのセキュリティ設定を緩和させる Windows Server 2003のInternet Explorerでは、「Internet Explorerセキュリティ強化の構成」という機能が導入され、有効化されている。 ／ この機能が有効になっていると、ゾーンごとのセキュリティ・レベルの緩和操作が制限され、例えばインターネット・ゾーンのセキュリティ・レベルを「高」から「低」へ変更できない。 ／ このままではインターネット・アクセスが制限され、使いづらいことがある。 ／ ゾーンごとの設定を緩和したい場合は、信頼済みサイトに登録するか、この機能を無効化すればよい。
	ウイルス感染の有無を無料サービスで診断する 他人のコンピュータや、テストなどで一時的に使用するコンピュータなど、ウイルス対策ソフトがインストールされていない環境で、ウイルス感染の有無を検査したい場合がある。 ／ ウイルスの駆除はできないが、感染の有無を検査するだけなら、いくつかのウイルス対策ソフト・ベンダがオンラインで提供している無料診断機能を利用できる。
	リモート・ログオン・ユーザーからのファイル・アクセスを制限する リモート・デスクトップは便利な機能だが、万一悪用されるとコンピュータが完全に支配されてしまうという問題がある。 ／ このため機密性の高い一部のファイルについて、リモート・デスクトップなどで遠隔地からリモート・ログオンした場合には、アクセスを禁止したいケースがある。 ／ リモート・デスクトップでログオンしたユーザーにはREMOTE INTERACTIVE LOGONというローカル・グループが自動的に割り当てられるので、このグループに対してアクセス設定を行えば、リモート・ユーザーにのみ適用されるアクセス制御を実現できる。
	USB大容量記憶装置ドライバを無効にする 手軽なデータ移動デバイスであるUSBメモリは、それゆえ簡単に機密情報を盗まれる心配も高い。 ／ Windows XP SP2からの新機能で、USBメモリへの書き込みを禁止することが可能になったが、OSが限られるうえに、読み取りは制限されない。 ／ 必要なら、読み取りも含めて、USBメモリの使用を全面的に禁止することができる。
	DHCPによる未許可クライアントへのIP割り当てを禁止する DHCPサービスを利用すると、TCP/IPの設定を自動的に行うことができる。 ／ デフォルトでは、どのようなクライアントでもIPアドレスを取得してネットワークに接続することができるが、可能ならば、あらかじめ許可されたコンピュータだけにIPアドレスを割り当てるようにしたい。 ／ これを行うためには、IPアドレス・プール中のすべてのIPアドレスを除外範囲に含めておくとよい。そして許可したいコンピュータのIPアドレスとMACアドレスの対をすべて予約として定義する。
	メールの開封確認を送受信しないようにする（Outlook Express編） メールを開封した時間などの情報を送信元に通知する機能をメールの開封確認という。 ／ 開封確認では自動的にメール・アドレス情報などがやりとりされるので、セキュリティ的に望ましくないし、メーリング・リストなどへ送信するとトラブルになる可能性がある。 ／ 開封確認要求の送信やそれに対する応答は常に無効にしておくのがよい。
	リモート・デスクトップ接続を無効にする リモート・デスクトップは便利な機能だが、万一不正アクセスを許すと影響が大きい。 ／ 企業のクライアントPCなど、リモート接続が不要なら、システムのプロパティから接続を不許可にできる。 ／ さらにグループ・ポリシーを使えば、ユーザーがリモート・デスクトップの設定を変更できなくすることができる。
	リモート・デスクトップで目的のコンピュータに素早く接続する リモート・デスクトップ機能を使うと、リモートのコンピュータにログオンして、GUI操作を行うことができる。 ／ リモート・デスクトップ接続の設定をファイルに保存しておくと、クリックするだけで自動的に接続できるようになる。 ／ だがセキュリティの面から見るとこれは危険なので、パスワード指定は空欄にしておくか、サーバ側でパスワードの入力を強制するように設定しておくとよい。
	Microsoftへのエラー報告ダイアログを無効にする Windows XPでは、アプリケーションの操作中にエラーが発生すると、エラー情報をインターネット経由でマイクロソフトに通知する機能が搭載された。 ／ しかしエラー報告の必要がないなら、エラーが発生してもエラー・ダイアログを表示しないように設定できる。
	離席時に簡単にコンピュータをロックする方法 ちょっと離席した隙に端末を操作されては困るときには、コンピュータのロックを行う／Windows XPでは、［Windows］＋［L］キーで素早くロックすることが可能／ドメインに参加していないWindows XPでは、［コンピュータのロック］ダイアログではなく、「ようこそ」画面が表示される。
	Administratorとは？ Windows NT系OS（NT／2000／XP）では、複数のユーザーが1台のコンピュータ資源を共有する可能性も踏まえ、ユーザーごとに異なる権限を与えて使用させることができるようになっている／デフォルトの管理者アカウントはAdministratorであり、パスワードはWindowsのインストール時に指定する／初心者を意識して、Windows XPでは、Administratorアカウントが可能な限り隠蔽され、これを意識しなくてもWindowsを使えるようにされた。
	IISの標準FTPバナー・メッセージを表示させない IISのFTPサイトに接続すると、標準のFTPバナー・メッセージとして「Microsoft FTP Service」が表示される。 ／ OSが簡単に判別されることによってハッキングやDoS攻撃の対象になりやすく、セキュリティ上の問題が大きい。 ／ IISの設定ファイルを書き換えることによって標準バナーの表示を抑止できる。
	Windows XPで変わったユーザー／コンピュータ／グループの選択方法 Windows XPでファイルのアクセス権を設定したり、管理ツールでセキュリティを設定したりする場合は、ユーザーやグループを選択するダイアログボックスを使用する。しかしこのダイアログボックスの形式がWindows 2000のものとは異なっている ／デフォルトでは名前などの一覧が表示されていないので、最初に検索を行ってオブジェクトのリストを取得し、そこから必要なものを選択する。
	セキュリティ・パッチを適用する システムに重大なセキュリティ・ホールや障害が見つかると、セキュリティ・パッチという緊急の修正モジュールが提供されることがある／システムを安全に保つためには、常に最新のセキュリティ情報を収集するように努め、必要ならばパッチを適用しなければならない。
	セキュリティ・パッチの3つのレベル セキュリティ・ホールなどが発見されると、これに対処するためのパッチが公開される／しかし同じ問題を修正するパッチであっても、とにかく早期の対応を目指したもの、早期対応よりも信頼性を重視したものと、パッチにもレベルがある／セキュリティ・ホールの内容などによって、これらのパッチを適切に使い分ける必要がある
	XP SP2のデータ実行防止（DEP）機能を無効にする XP SP2には、スタックやヒープ上に置かれたプログラムの実行を防止するDEP機能がある。DEP機能を利用すると、バッファ・オーバーフローの脆弱性を突いてコードを実行するウイルスやワームを防止することができる。 ／ DEP機能は、Windows OSシステムに適用されるほか、ユーザー・プログラムに対して適用することもできる。 ／ 古いバージョンのプログラムやデバイス・ドライバなどでは、DEP機能によって実行できなくなる場合がある。そのような場合はDEP機能を無効にすればよい。
	IEのオートコンプリート履歴を削除する IEのオートコンプリート機能を使えば、ユーザー名やパスワードを覚えていなくても、ユーザー認証を受けられるようになる。 ／しかし気をつけないと、実質的にユーザー名／パスワードによるセキュリティ・ガードを無効化させる危険もある。必要なら、すでに記録されたパスワード情報などを削除することが可能である。
	USBメモリによる情報窃取を防止する（USBメモリを読み出し専用にする） USBメモリは手軽なデータ移動デバイスだが、一方では機密情報の窃取などに悪用される心配もある。 ／ レジストリ設定を変更することにより、USBメモリを読み出し専用にし、書き込み不可にして情報窃取を防止できる。
	パスワード・リセット・ディスクの使い方 Windows XPでは、パスワード・リセット・ディスクと呼ばれるフロッピーを作成しておくことで、ユーザーが自分のパスワードを忘れた場合でも、管理者に頼らずに、自分でパスワードをリセットし、新しいパスワードを設定できるようになった／ただしこれでリセットできるのはコンピュータのローカル・ユーザー・アカウントのみで、ドメインのユーザー・アカウントには適用できない。
	リモート・デスクトップの接続時間を制限する リモート・デスクトップ接続を利用する場合、ログオフし忘れていると、離席したすきにリモートのコンピュータへアクセスされてしまう可能性がある。 ／ セキュリティのためには、セッションの接続可能時間を制限したり、一定時間アイドル状態が続いたら、強制的にセッションを終了したりするように設定しておくとよい。 ／ セッションのタイムアウト時間や切断時の強制終了を行うには、サーバ側の設定を変更する。
	Windows XPのファイアウォール機能を活用する Windows XPには標準でファイアウォール機能が用意されている／これは、インターネット側のインターフェイスでファイアウォールのチェックボックスをオンにするだけで利用できる。
	有効なファイル・アクセス権を調査する ACLを利用すると、ファイルやフォルダのアクセス権を柔軟に制御することができる。 ／ だが複雑なアクセス権を設定すると、アクセス権に関するトラブルシューティングが面倒になる。 ／ 「有効なアクセス許可」の確認機能を利用すると、ユーザーやグループに対してどのような権限が与えられているかを確認することができる。
	アクセス制御リストACLとは？ ファイルやフォルダに対するアクセス権はアクセス制御リストACLで柔軟に制御できる。 ／ ACLには、（複数の）アクセス制御エントリACEを含むことができる。 ／ 各ACEには、どのユーザーやグループに対して、どのような権利を許可するか（もしくは拒否するか）を設定する。 ／ ACEには許可のACEと、拒否のACEの2種類があり、該当するACEが両方ある場合は、拒否のACEが優先される。 ／ ACLは上位のフォルダから継承することができる。
	セキュリティ情報をいち早く入手する マイクロソフトは、自社製品にかかわるセキュリティ・ホールを見付けると、問題を修正する修正プログラムとともに、セキュリティ情報をWebなどで鋭意公開している。 ／ タイムリーにセキュリティ情報を入手するには、新着情報や更新情報を逐一メールで知らせてくれる「マイクロソフト・プロダクト・セキュリティ警告サービス」が便利である。
	ログオンを省略してWindows 2000を利用できるようにするには（レジストリによる設定法） コンピュータの起動時、ログオン プロンプトでのユーザー名、パスワードの入力を省略して、すぐにコンピュータを利用可能にする方法。危険性は高いが、ドメイン環境でも有効なレジストリを操作する方法。
	一時的にほかのユーザー権限でプログラムを実行する方法（ショートカットのプロパティを利用する方法） Windows NT系OSでは、ユーザーに一定の権限を割り当て、権限に応じて、操作可能なことと、操作不可能なことを区別できる。 ／ システムの変更を伴う操作では管理者権限が必要だが、普段一般ユーザー権限でコンピュータを利用している場合、管理者権限を持つユーザーの再ログオンが必要になる。 ／ 繰り返しこのような作業が発生するなら、プログラムのショートカットを利用することで、一般ユーザーでログオンしたまま、特定のプログラムだけを管理者権限で実行することができる。
	ログオンを省略してWindows 2000を利用できるようにするには（GUIによる設定法） コンピュータの起動時、ログオン プロンプトでのユーザー名、パスワードの入力を省略して、すぐにコンピュータを利用可能にする方法。安全だが機能性にやや制限があるGUIによる方法。
	レガシーWindowsからはアクセスできない共有リソースを作成する セキュリティ的には、Windows 95や98、98 SE、Meなどの古い16bit Windowsはネットワークから排除したい。しかし現実はそう簡単にはいかないものだ。 ／ あくまで簡易的なものだが、共有名を工夫することで、こうした古いWindowsからはアクセスできず、Windows 2000／XPからのみアクセス可能な共有リソースを作ることができる。
	一時的にほかのユーザー権限でプログラムを実行する方法（ショートカット・メニューを利用する方法） Windows 2000／XPにはユーザー管理機能があり、管理者権限のない通常のユーザーは、システム構成を変更するなど、システムに重大な影響を及ぼす操作が禁止されている。 ／ しかしプログラムの中には、例えばWindows Updateなど、実行には管理者権限が必要とするものもある。 ／ 管理者でログオンしなおせばよいのだが、それが面倒なら、特定のプログラムだけ、別のユーザー権限で実行する方法が用意されている。
	暗号化はフォルダごと行う ファイル単位で暗号化を行うことは可能。しかしこれをアプリケーションで上書きすると、暗号化設定が解除されてしまうことがある。
	ファイルやフォルダを暗号化する方法 Windows 2000で新たに提供された暗号化機能はこうして使う。
	ファイルの所有者を変更する（GUI操作編） ファイルには所有者情報があり、誰のファイルであるかを表している。 ／ 所有者のデフォルトはファイルの最初の作成者であるが、作成者が管理者のときはAdministratorsグループになることがある ／ 所有者はアクセス権を変更できるし、NTFSのクォータはこの所有者に基づいてユーザーごとの使用量を計算しているので、正しい所有者情報を設定しておく必要がある。 ／ 所有者を変更するには「所有権の取得」という操作を行う。
	DNSの動的更新を無効にする Windows OSでは、起動時に自分自身のホスト名とIPアドレスをDNSサーバへ送信して、DNSのエントリを動的に更新するという機能を持っている。 ／ トラフィックやセキュリティなどの観点から、この動的更新が不要ならば、無効にすることができる。
	HTMLメールをテキスト形式で読み出す IE 6.0 SP1にバージョンアップすると、Outlook Expressにオプションが追加され、これを利用すれば、HTMLメールを強制的にテキスト形式にして読み出すことができるようになる。
	前回ログオン時のユーザー名を非表示にする デフォルトでは、前回ログオンに成功したユーザーの名前がログオン・ダイアログに表示される。 ／ 利便性を考えてのことだが、ログオン認証の安全性をより高めるには、ユーザー名表示は行わないほうがよい。 ／ ローカル・セキュリティ・ポリシーの設定を変更すれば、これが可能である。
	メールに添付された.PIFや.EXE、.SCRなどの実行ファイルに注意 メール添付型のウイルスでは、ウイルスのプログラムを添付したメールを送信し、ユーザーが実行するのを待つ。 ／ 自分の知っているファイル・タイプ以外の添付ファイルは不用意に開かないようにする。 ／ .PIFや.LNKファイルは、エクスプローラではファイル・タイプが表示されないので、取り扱いには特に注意する。
	IEのゾーン設定情報を移行・バックアップする IEのゾーン機能を使えば、Webサイトによってスクリプト設定やCookie設定を自動的に切り替えることができる。 ／ この場合、信頼できるWebサイトをゾーンに登録していくことになるが、こうして登録したサイト一覧をバックアップしたり、別のPCに移行したりする簡単な方法はない。 ／ これらの情報はレジストリに保存されているので、対応するレジストリ・キーの内容をエクスポート／インポートする。
	VPNのアカウント・ロックアウトを有効にする Windows 2000 Serverは、標準でVPNサーバ機能を持っている。 ／ しかしデフォルトでは、何度パスワード認証に失敗してもリトライできる設定になっており、ブルート・フォース攻撃対策は十分ではない。 ／ リモート・アクセスのアカウント・ロックアウトを設定することで、一定回数以上パスワード認証を間違えたら、一定時間、アカウントをロックアウト（無効化）させることができる。
	ディスクの内容を完全に消去する ディスクを破棄したり、譲渡したりする場合には、あらかじめディスクの内容を消去しておかないと情報が漏えいする危険性がある。 ／ ファイルをごみ箱に捨てても、インデックスが削除されるだけで、データ本体を消去するわけではない。そのためファイルを復活させることもできる。 ／ データを完全に消去するためには、ディスク全体に渡ってデータを完全に上書きする必要がある。このためにはcipher /wコマンドを実行すればよい。
	Outlookで開けない添付ファイルに遭遇したら Outlook 2002以降では、セキュリティ対策の一環として、特定の拡張子を持つ添付ファイルを開いたり保存したりできないようにブロックされている。 ／ だがこの制限のために、必要な添付ファイルが開けずに困ることがある。 ／ レジストリを編集することによって、添付ファイルの拡張子ごとに制限を緩めることができる。
	Blasterワーム削除ツールを使う 2003年に猛威を振るったBlasterやNachiワームは、適切な修正プログラムを適用しておけば防ぐことができる。 ／ だがすでに感染してしまった場合は、まず修正プログラムを適用するだけでなく、ワームそのものをシステムから削除する必要がある。 ／ Blasterワームを削除するためのツールがマイクロソフトから提供されているので、これを実行すればよい。
	イントラネットでファイアウォールを使う（Windows XP編） イントラネットでもICF（OS内蔵のファイアウォール機能）を使ってセキュリティを高めることができる。 ／ ICFのデフォルト設定では、共有リソースへアクセスできないだけでなく、外部からマシンを管理することも不可能になっている。 ／ これらを有効にするためには、ファイル共有プロトコルを通すためのフィルタを定義すればよい。
	悪意のあるHTMLメールから、より確実にコンピュータを守る Outlook Express／OutlookでHTML形式のメールを表示するときには、表示エンジンとしてIEが使われる。 ／ このとき、表示に適用されるゾーンを設定できる。 ／ 古いOutlook Express／Outlookでは、デフォルトのゾーン設定が甘いので、より制限の強い設定に変更した方がよい。
	ターミナル・サービス／リモート・デスクトップ接続のポート番号を変更する ターミナル・サービスを利用すると、システムをリモートから管理したり、出先からログオンして作業を行ったりできる。 ／ だがターミナル・サービスは、ユーザー名とパスワードさえ分かれば利用できるサービスである。そのためインターネット上に公開する場合は注意が必要である。 ／ 最低限のセキュリティ対策として、デフォルトのポート番号を変更するのがよい。
	安全性の高いパスワードを作るコツ ICカードや指紋認証など、高度な個人認証手段が普及しつつあるものの、いまなお多くのシステムでは、パスワード入力で個人認証を行っている。 ／ クラッキング・ツールなどで簡単にパスワード認証を突破されないためには、辞書にないランダムな文字列をパスワードに指定する必要があるが、こうしたランダムな文字列を覚えておくのは簡単ではない。いきおい、簡単な単語や人の名前を指定したり、文字列を付箋にメモしてディスプレイに貼ってしまったりしがちだ。 ／ 比較的安全性の高いパスワードを作るには、適当なフレーズを元に、一定のルールでこれをパスワード文字に変換する方法が有効である。
	ユーザー・アカウントのロックアウトを解除する 辞書攻撃などを悪用した不正侵入からシステムを守るには、一定回数以上ログオンに失敗したユーザーのアカウントをロックアウトする設定にしておく。 ／ しかし不正アクセスではない正規のユーザーでも、繰り返しログオンに失敗する場合がある。一度アカウントがロックアウトされてしまうと、その後正しいパスワードを入力してもログオンできず、ユーザーにはその原因が分からない。 ／ この場合には、管理者がユーザーのロックアウトを解除する必要がある。
	ファイアウォールの空白時間に注意 Windows OS内蔵のファイアウォール機能には、システム起動時にサービスが開始するまで若干のタイムラグがある。このタイムラグの間にワームなどに感染する危険性があるので注意する。 ／ これを避けるためには、外部ルータを使ってパケットをフィルタするのがよい。 ／ システムのインストールやパッチの適用などは、インターネットから隔離された安全な場所で行うこと。
	ドメインのユーザー・パスワードを変更する パスワードの安全性を高めるには、定期的にパスワード文字列を変更するのがよい。 ／ ユーザーが自発的にドメインのパスワードを変更する方法を説明する。
	caclsコマンドでACLを編集する コマンドラインでファイルやフォルダのACLを編集するにはcaclsコマンドを利用する。 ／ ACLの追加や置換、削除には、それぞれ/G、/P、/Rオプションを使用する。 ／ 既存のACLを残したまま編集するためには、/Eオプションを付ける必要がある。
	スパイウェアの有無を無料サービスで診断する サーバやテスト用マシンなど、スパイウェア対策製品をインストールできない環境でスパイウェアの感染を調査したい場合がある。 ／ だが製品ごとに検索・駆除できるスパイウェアが異なるので、複数のソフトウェアで調査したい。 ／ スパイウェアの駆除はできないが、オンラインでスパイウェアを検索できるサービスがある。
	グループ・ポリシーでWinnyの実行を禁止する Winnyによる情報漏えい時間が多発している。そのため企業ではWinnyの実行は禁止しておくのがよい。 ／ グループ・ポリシーのソフトウェアの制限機能を利用すると、Winnyの実行を禁止することができる。 ／ ただしこの方法はWindows XPとWindows Server 2003でしか利用できない。
	ハッシュ値を利用してファイルの同一性をチェックする ハッシュ値を比較すれば、ファイルの同一性を確認できる。 ／ ダウンロード・サイトでは、ファイル同一性のチェック目的でハッシュ値を公開していることがある。 ／ 大量のファイルを持つディレクトリ同士を比較して、更新されたファイルを特定するのにもハッシュ値を使うと便利である。
	リモート・デスクトップ接続でクリップボード共有を禁止する リモート・デスクトップ接続を利用すると、別のマシンにリモートからログオンして作業できる。 ／ リモート・デスクトップでは、リモート・デスクトップ内の環境（サーバ）と、ローカル・コンピュータ（クライアント）の間でクリップボードを共有し、データを交換できるが、セキュリティ上の理由からこれを禁止したい場合もある。 ／ グループ・ポリシー・エディタを利用すれば、リモート・デスクトップ接続のリダイレクト機能を禁止できる。
	ZIPファイルにパスワードを付ける ZIPファイルにパスワードを付けると、その内容を保護し、安全に保管したり、メールで送信したりできる。 ／ ZIPファイルを暗号化しても、中に含まれるファイルやフォルダの名前は見ることができる。 ／ 暗号化されたZIPファイルに新規にファイルを追加しても、そのファイルは暗号化されないので注意する。
	現在ログオン中のユーザー名を調べる トラブルシューティングなどでは、現在ログオン中のユーザー名を調べる必要がある。 ／ ユーザー名を調べるには、Windowsセキュリティ・ダイアログを見るのが簡単でよい。 ／ whoamiコマンドや環境変数を使う方法もある。 ／ Telnetのセッションはtlntadmnコマンドで調べる。
	IIS 6.0のFTPサーバでユーザー・フォルダを分離する（基本編） IIS 5.0までのFTPサービスでは、ログオンしたユーザー以外のフォルダも見ることができた。 ／ IIS 6.0のFTPサービスでは、ユーザーごとにフォルダを完全に分離し、ほかのユーザーのフォルダから隔離する機能が導入された。 ／ ユーザーの分離機能を利用するためには、ユーザー用フォルダを指定された構造で作成する必要がある。
	ターミナル・サービスの暗号化レベルを強化する サーバの管理や業務アプリケーション環境の一元化などにターミナル・サービスを利用すると便利である。 ／しかし企業機密に関わる情報を扱う場合には、セキュリティに配慮する必要がある。 ／ターミナル・サービスでやりとりされるデータはデフォルトで暗号化されるが、必要ならさらにセキュリティを強化することができる。
	Ctrl＋Alt＋Delでセキュリティ・ダイアログを表示させる Windowsの使用中にコンピュータをロックしたり、パスワードを変更したりするには、Ctrl＋Alt＋Delキーを押すと表示される［Windowsのセキュリティ］ダイアログが利用できる。 ／ しかしWindows XPでは、Windows NTやWindows 2000で慣れ親しんだこのダイアログではなく、タスク・マネージャが表示されてしまう場合がある。 ／ 「ようこそ画面」を無効にすれば、Windows XPでも「Windowsのセキュリティ」ダイアログを表示できるようになる。
	フォームの履歴保存を無効にし、検索エンジン利用のプライバシーを確保する IEのデフォルト設定では、検索エンジンで検索した文字列の履歴が残される。 ／ 検索エンジンに入力した文字列は、その人の関心事や業務に直結したキーワードであり、プライバシー性が高い。履歴機能が有効になっていると、それらの検索履歴が第三者に漏れる危険がある。 ／ IEの設定を変更すれば、履歴を保存しないようにできる。
	業務に不要なプログラムの実行をグループ・ポリシーで禁止する ファイル交換やゲーム・ソフトウェアなど、業務に必要のないプログラムやスクリプトの実行を禁止したいことがある。 ／ Active Directoryのグループ・ポリシー機能を利用すると、指定したプログラム・ファイルの実行を組織的に禁止できる。
	インターネット常時接続時の基本セキュリティ設定 追加投資不要で、Windows 2000の標準機能だけで行う基本セキュリティ設定法。インターネット常時接続環境でWindows 2000を使用する場合には、最低でもこの程度の防衛は必須。典型的なネットワーク構成を元に、設定法を具体的に解説する。
	IEのセキュリティ設定を変更してセキュリティ機能を強化する Webサイトによっては、JavaScriptやActiveXコントロールを駆使して、機能性や表現力の高いWebページを構成しているところがある。／しかしこうした機能を悪用して、強引なマーケティング手段にしたり、システム・ダウンを目的とする攻撃プログラムを送りつけたりする者もいる。／IEのセキュリティ設定を一部変更すれば、こうした攻撃から身を守り、安心してWebサイトにアクセスできるようになる。
	「悪意のあるソフトウェアの削除ツール」を利用する 「悪意のあるソフトウェアの削除ツール」は、今まで個別に提供されてきたウイルス／ワームの駆除ツールをまとめたものである。毎月新しく提供されることになっている。 ／ Windows XPではWindows Updateで提供されるが、ほかのOSでは手動でダウンロードして実行する。 ／ このツールを実行してもシステムに恒久的にインストールされるわけではないので、必要ならば手動で毎回実行する。
	迷惑メールの受信を回避しながらWebでメール・アドレスを公開する方法 スパム・メールやウイルス・メールの被害が深刻化している。 ／ スパマーは、インターネットを巡回して、メール・アドレスを収集するツールを活用している。 ／ ウイルスの中には、Webキャッシュを走査してメール・アドレスを見つけ出し、そこに感染メールを送信するものがある。 ／ こうした迷惑メールの送信を防止するには、Webにメール・アドレスを公開するときに、機械的にそれがメール・アドレスとして読み取れないような工夫をするとよい。
	無料でデジタル証明書を取得する プログラムや電子メールの出所を証明したり暗号化したりするために、デジタル証明書が広く使われている。 ／ デジタル証明書の発行は証明機関が行い、その多くは有料サービスである。 ／ デジタル証明書に含められるプロファイルに制限はあるが、無料で発行する認証局がある。
	caclsコマンドの出力の見方 コマンド・プロンプト上でACLの内容を操作／確認するにはcacls.exeコマンドが利用できる。 ／ 代表的なアクセス権はF、W、W、Cなどで表されるが、特殊なアクセス権の場合は個別に列挙される。 ／ フォルダの場合は適用先が(OI)や(CI)、(IO)という文字列で表される。
	Windowsファイアウォールのリモート管理を有効にする Windowsファイアウォールを有効にすると、外部からのアクセスが一切禁止され、管理者ですらコンピュータの状態を調査できなくなる。 ／ Windowsファイアウォールのリモート管理モードを有効にすると、管理用のポートがいくつかオープンされ、管理ツールなどでリモート操作できるようになる。 ／ リモート管理モードは、グループ・ポリシーで設定するとよい。 ／ リモート管理モードを利用する場合は、必ずスコープも設定すること。
	リモート管理機能のスコープ設定に注意 リモート管理機能のデフォルトのスコープは「*」であり、すべてのIPアドレスからの要求を受け付ける。 ／ リモート管理機能を利用する場合は、必ずスコープも設定しておかないと危険である。 ／ スコープには、LocalSubNetと組織内部で使用しているプライベートIPアドレスを指定しておくとよい。
	XP SP2のOEでHTMLメール中の画像表示をブロックする HTMLメール中に外部Webサーバへのリンクが含まれていると、メールをプレビューするだけで外部サーバへのアクセスが発生する。 ／ リンク中にユニークな文字列が含まれていると、どのメールからのアクセスであるかが分かり、そのメール・アドレスが有効であるということが分かる。 ／ XP SP2のOEでは、外部Webサーバへのアクセスをブロックすることができる。
	XP SP2のZoneIdとは？ XP SP2のIE6では、インターネット・ゾーンからダウンロードしたファイルを保存するとき、ZoneIdというセキュリティ情報を付加する。 ／ XP SP2では、ZoneId情報を持つファイルを実行しようとすると、実行してもよいかどうかをユーザーに問い合わせる。 ／ ZoneIdはNTFSのストリームとして保存されているので、非NTFSファイル・システムにコピーしたり、ストリームを理解しないアプリケーションで処理すると、ZoneId情報が欠落することがある。
	リモート・デスクトップ接続でパスワード入力を強制する リモート・デスクトップ接続のためのログイン情報をプロファイルに保存しておけば、クリック1つで簡単にサーバに接続することができる。 ／ だがこのプロファイルさえあれば誰でも簡単にサーバに接続できるようになるので、非常に危険である。 ／ これを避けるためには、常にパスワードの入力を強制するようにサーバ側で設定しておけばよい。
	IIS 6.0のFTPサーバでユーザー・フォルダを分離する（Active Directory編） IIS 6.0のFTPサービスでは、ユーザーごとにフォルダを完全に分離し、ほかのユーザーのフォルダから隔離する機能が導入された。 ／ Active Directoryを使ったユーザーの分離モードでは、ユーザーごとのFTP用フォルダをActive Directoryの属性として定義しておくことができる。 ／ ユーザーごとのフォルダ属性を設定するには、iisftp.vbsコマンドを利用する。
	メーラにデジタル証明書を設定する（Outlook編） デジタル証明書は、メールへの署名や暗号化、復号化に使われる。 ／ 個人用のデジタル証明書は、デフォルトではインストールされていない。 ／ デジタル証明書をインポートし、Outlookのセキュリティ設定を作成すればよい。
	メーラにデジタル証明書を設定する（Outlook Express編） デジタル証明書は、メールへの署名や暗号化、復号化に使われる。 ／ 個人用のデジタル証明書は、デフォルトではインストールされていない。 ／ デジタル証明書をインポートして、アカウントごとに署名と暗号化の設定を行えばよい。
	メーラにデジタル証明書を設定する（Thunderbird編） デジタル証明書は、メールへの署名と暗号化、復号化に使われる。 ／ 個人用のデジタル証明書は、デフォルトではインストールされていない。 ／ デジタル証明書をインポートして、アカウントごとに署名と暗号化の設定を行えばよい。
	自動実行されるプログラム／サービス／アドインを一望にし、制御する Windowsでは、さまざまなプログラムやサービス、アドインなどが自動的に起動される。 ／ スパイウェアの調査やトラブル発生時の対処などで、これら自動起動されるコンポーネントを調査、制御したい場合がある。 ／ Windowsの標準ツールを使うこともできるが、さらに便利な無償ツールを活用することができる。
	キャッシュされたログオンを無効にする Windows OSには「キャッシュされたログオン」機能があり、ネットワークに接続されていなくても、以前のドメイン・ログオン資格情報を使ってコンピュータにログオンすることができる。 ／ キャッシュされたログオン状態ときでも暗号化されたファイルにもアクセスできるため、場合によってはセキュリティ的に問題がある。 ／ キャッシュされたログオンを無効にするには、レジストリを変更する。 ／ ただしノートPCでこの設定を行うと、オフライン時にはドメイン・ユーザー・アカウントではログオンできなくなる。
	セキュリティ・パッチの適用状態を調べる― hfnetchkツールの使用法 ― システムに重大な影響を与えるセキュリティ・ホールや障害に対しては、ホットフィックスという修正モジュールが提供される。システムのセキュリティを安全に保つためには、ホットフィックスの速やかな適用が欠かせない／HFNetChkは、システムにまだインストールされていないホットフィックスの一覧を表示するためのツールである／ローカルやリモートのマシンを調べて、システムやIE、IIS、SQL Serverのホットフィックスの適用状態を調べることができる。
	ポート445（ダイレクト・ホスティングSMBサービス）に注意 Windows系OSでは、ファイル共有サービスのためにポート137〜139番を使用しているので、セキュリティのためにはこれらのポートをインターネットからアクセスできないようにフィルタリングしなければならない。 ／ Windows 2000／XPでは、さらにポート445番も使用しているので、これもブロックする必要がある。 ／ フィルタリングはOS内蔵のパケット・フィルタ機能を使うか、外部ルータでフィルタリングを行う。
	安全性の高いランダムなパスワードを生成し、パスワードを変更する パスワードは、簡単に類推できない、できるだけランダム性の高い文字列の方が安全性が高い。しかしランダムな文字列を考えるのは苦痛である。／「net user」コマンドの隠しオプションである「/random」を使えば、ランダムなパスワードを生成し、これを割り当てることが可能である。
	デフォルト共有（管理共有）を停止させる方法 Windows NT／2000／XPでは、デフォルト共有、または管理共有と呼ばれる隠し共有フォルダが存在する。 ／ これは、コンピュータの集中管理などを目的とするもので、これにより管理者が利用するツールなどからのアクセスが可能になる。 ／ しかしミッション・クリティカルなコンピュータなどで安全性を高めたい場合には、デフォルトの管理共有をレジストリの変更によって停止させることができる。
	一定時間以上離席したら強制的にログオフさせる 離席中に端末を別人に操作されるという危険がある。これを回避するには、スクリーン・セーバを有効にし、パスワード保護を有効にすればよい。 ／ この方法では、コンピュータがロックされてしまうので、複数のユーザーで端末を共有している場合には使えない。 ／ このような場合は、ロックではなく、強制ログオフできると便利だ。今回はこれを可能にする簡単なスクリーン・セーバ・プログラムを編集部で作成した。
	Windowsサーバへの不正アクセスを検知するためのパフォーマンス・モニタ・オブジェクト サーバの管理者は、サーバに対して不正なアクセスが行われていないかを注意しなければならない。 ／ 本格的なIDS製品などもあるが、Windowsの標準ツールであるパフォーマンス・モニタを使って、最低限の対策を行うことができる。
	Outlook Expressでアクセス不能の添付ファイルにアクセスする方法 Internet Explorer 6 SP1（Windows XP SP1）から、デフォルトのセキュリティが強化され、ウイルス感染の危険がある添付ファイルへのアクセスが強制的に制限されるようになった。 ／ 添付ファイルにアクセスするには、ツールのオプションの設定を変更すればよい。 ／ 設定を変更せずに添付ファイルを展開したい場合は、メッセージの転送を指示し、転送用メッセージ・ウィンドウからファイルをドラック・ドロップする。
	ログオンの失敗をメールで通知する 重要なサーバなどでは、ログオンの失敗が発生したことを検知したい場合がある。 ／ WMIを利用して、ログオン失敗時に発生するイベントを監視することができる。さらにCDOを組み合わせれば、ログオン失敗の発生をメールで通知させることが可能である。
	Windows XPにネットワーク接続できない デフォルト状態のWindows XPでは、空のパスワードのアカウントであっても、コンソールからのログオンは可能である。しかし、ネットワーク経由での各種のサービス（ファイル共有、リモート・デスクトップ接続、telnet接続など）は不可能となっている。これを可能にするには、ローカル・セキュリティ・ポリシーを変更する。
	オートコンプリートの「パスワード保存」ダイアログを理解する IEのオートコンプリート機能を使えば、ユーザー名とパスワードを履歴に保存しておき、次回以降はこれらのデータを自動的に入力させることが可能である／使い方によっては危険な機能なので、パスワード保存時には注意を促すダイアログが表示されるのだが、このダイアログの意味が分かりにくい／ダイアログの意味を理解するには、IEのオートコンプリート設定を理解する必要がある。
	IISをインストールする Windows 2000 Professional／Windows XP Professionalには、Webサーバ／FTPサーバ機能を実現するためのIISが標準で提供されている。／ ただしデフォルトではIISはインストールされないので、必要ならIIS用のWindowsコンポーネントをマニュアルでインストールする必要がある。 ／ Nimdaなどのワームに感染しないように、IISのインストールはインターネットとは遮断された環境で実施したほうがよい。
	WSHスクリプト・コードを暗号化する スクリプト言語によるプログラミングには簡易である反面、ソース・コードがエンドユーザに露出してしまう、コードの改変が可能である、などの問題も存在する。 ／ しかし、フリーで利用可能なScript Encoderを利用することで、スクリプトコードを暗号化し、ユーザーの目から隠ぺいすることができる。
	「パスワードの複雑性」の要件 ユーザー名から類推が容易なパスワードや、短いパスワードの使用は安全性に問題があるので禁止させたいことがある。 ／ セキュリティ・ポリシーを変更すれば、ある種の「複雑性」を満たさないパスワードの使用を禁止することができる。 ／ ただしこのセキュリティ・ポリシーで強制できる条件は非常に限定的なので、補助的な運用ルールなども決めるのが望ましい。
	MDACのバージョン調査ツールを利用する MDACは、さまざまな種類のデータベースにアクセスするための、汎用的で統一的なインターフェイスの総称である。 ／ MDACには多くのバージョンが存在し、さまざまな製品とともに出荷されているので、システムにインストールされているMDACのバージョンも多岐に渡る。 ／ MDACのバージョンを調査するにはComponent Checkerツールが利用できる。
	不要になったユーザー・プロファイルを削除する ユーザー・プロファイルには、ユーザーごとのレジストリ情報やデスクトップ設定、ユーザー・ドキュメントなどが格納されている。 ／ ユーザー・プロファイルは、ユーザーが最初にログオンしたときに作成されるが、自動的に削除されることはない。 ／ 不要になったプロファイルを削除すれば、ディスクの空き領域を増やし、フラグメントなどを軽減することができる。
	Windowsのオート・ダイヤルを無効にする Windowsには、必要に応じてダイヤルアップ接続に自動的に接続／切断する機能がある。これにより、常時接続でないダイヤルアップ・ユーザーでも、オンライン／オフラインを強く意識することなく、オンデマンドでネットワークを利用可能になる。 ／ しかし場合によっては、接続用ダイアログが表示されないようにするなど、自動的な接続を禁止したい場合がある。 ／ 対応するサービスを停止することにより、自動接続を行わないように設定できる。
	DNSサーバの動的更新設定を変更する Windows OSでは、起動時に自分自身のホスト名とIPアドレスをDNSサーバへ送信して、DNSのエントリを動的に更新するという動的更新機能を持っている。 ／ Windows Server OSのDNSサーバは、デフォルトでは任意のコンピュータからの動的更新要求を受け付けないので、必要に応じて設定を変更する。 ／ インターネット向けに利用する場合は動的更新は無効にしておくのがよい。
	「悪意のあるソフトウェアの削除ツール」をWebページから素速く実行する マイクロソフトが無償公開した「悪意のあるソフトウェアの削除ツール」を使えば、重大なウイルス／ワームにコンピュータが感染していないかどうかを確認できる。 ／ 当初はWindows Updateでの提供、またはダウンロード・センターからツールをダウンロードして実行するしかなかったが、その後Webページから実行可能なActiveXコントロール版が公開された。 ／ 操作が容易なので、初心者に実行を指示する場合などに便利である。

＠ITメールマガジン　新着情報やスタッフのコラムがメールで届きます（無料）