「5.0を待ちながら」連載 NT5.0エッセイ

・ Chapter 4 ・ -- NTのトップシークレット --

BY Keith Walls 翻訳 岡登 洋平

 今月は Windows NT 5.0のセキュリティーについて,また,それによってネットワーク管理者にとっては何が変わるのかを調べてみたい.

 これまで長い間,Microsoftは Windows NT のセキュリティーモデルとその実装が非常にハイクオリティーであり,企業での使用に耐えるものであると述べてきた.また,Windows NT は合衆国政府から C2 のセキュリティー認定を受けてもいる.だとすると,まず最初の質問は「なぜ変えたのか」ということだろう.

 この問題に答えるには,いくつもの重要な要因に目を向けなければならない.まず, Windows NT は孤立した状態でのみ「C2」のセキュリティーレベルを享受できるということだ.ネットワークにつながっていれば,Windows NTマシン同士であっても,「C2」のセキュリティーレベルは怪しいものとなってしまう.

 この事実と,イントラネットやエクストラネットが日々拡大していることを考え併せると,Microsoftには,Windows NTのセキュリティーを,特にネットワークに関するものも含め,基本的なレベルで支えるものが,必要になってきていることは明らかだ.  これにより,OSが扱うセキュリティーの目標や,異なるセキュリティーのタイプがどのレベルに属しているのかを考慮する必要が出てきた.ファイルやe-mailの暗号を復号化するたびにパスワードやパスフレーズを入力しなければならないのには我慢しても,プリンターのような資源にアクセスするにも必要などという設定には,まず耐えられないだろうからだ.

 スケールに関しても,考慮しなければならない.現在のWindows NTドメインのセキュリティーモデルは,適度な大きさのサーバーの実装に関しては,十分に機能する.しかしイントラネットやエクストラネットを導入しようとすると,不適切さが目に付くようになってくる.特に企業間ビジネスをインターネットやISDN,あまつさえ電話線を通してやろうとすると顕著である.そのような状況では,潜在的には数十万の独自に動いているコンピューターシステムを扱うことになる.また隠れたリモートユーザーに対処することもあるだろう.

 「BackOfficeサーバーソフト群を置いてアプリケーションを使うための,安定したスケーラブルなプラットホーム」という,Windows NTの当初の目標は取って変わられたと言わなければならない.今やWindows NTに対する要求はこれらの比較的単純な要求をはるかに超えている.

現在のセキュリティーモデル

 以前のコラムで,Windows NTのセキュリティーモデルのOS内における実装に関して,また安全なアプリケーションを設計することの効果について述べた.ドメインモデル自体の性質や,TCB(Trusted Computer Base:信頼できるコンピューターベース),ドメインの信頼関係やセキュリティー管理については,Microsoftのドキュメントやその他の書籍などによく書かれているので,ここではドメインモデルについては詳細には述べず,重要な点についてまとめるにとどめよう.

 基本的にWindows NT ドメインには2通りの見方がある.1つは企業の情報技術のニーズの最低限の部分を実装するためのアプリケーションを動かすために,貢献し協力してくれるシステムの集合体という見方,もう1つは,急速に成長したいろいろな種類のPCを,共通のイーサネットバックボーンで接続した集合体という見方だ.両者の違いは,システムの管理の方法が異なることだけである.セキュリティー指針を定めて,Windows NT上でこの指針を容易で確実に動作するように実装するネットワーク管理者にかかる責任は重大だ.

 現在のWindows NTの多くの部分はほとんど10年前にデザインされたものである.10年間で技術のあらゆる側面が進歩し続けており,改良されている.セキュリティー技術も例外ではない.Microsoftは今,より頑健で時間をかけテストされたセキュリティー技術を実装する段階に来ているわけだ.それはNT 5.0で予定されているセキュリティーの特徴を見れば明らかである.これはセキュリティーが OS の重要な面であると考えられてから数年間で,非常に大きな強化を行ってきた Windows NT 開発グループの成果である.これらの改善が,以前のバージョンと高い互換性を保ったまま行われているということも,称賛に値する.

 それでは,Windows NT 5.0におけるセキュリティーの特徴をいくつか見てみよう.そのほとんどは,パフォーマンス,スケーラビリティー,インターネットとエクストラネットの統合,ドメイン管理,単純化,公開鍵暗号化と復号化に関するもの,のうち複数に関係している.

Active Directoryの役割

 Windows NT のセキュリティーの変更のほとんどは「ネットワーク内におけるセキュリティーサービスの配布」に尽きる.ドメインモデルが拡張され,セキュリティーのメカニズムが強化されたのである.

 NT 5.0のセキュリティーでは,Active Directoryとの統合が当然行われている.Active Directoryはユーザー,グループ,アカウント情報に対して階層的名前空間を提供している.ユーザーとグループ管理が階層的に行えるので,組織レベルでのアカウント管理を一括して行えるようになる.これに対し,Windows NT 4.0では,ローカルシステムやドメイン内のどのような管理を行うにも管理者グループに属している必要があった.

 システム管理がまさに階層構造になるので,管理の作業としては,個人に付与するユーザーの権限とアクセスについては,より範囲を絞りこんだ権限として付与することができる.それと同時に,システムは思いがけないダメージから守られるようになる.というのも組織の管理者はそれぞれ,アカウント情報の階層的性質によって決められている特定のアイテム(オブジェクト,ユーザー,グループ)しか管理できないからだ.

 Active Directoryのレプリケーションは,Active Directory階層の下層において行われた変更を,ドメインを超えて同期させたり,その複製を作ることを可能にした.変更はあらゆるドメインコントローラ(Windows NT 5.0ではPDCとBDCの区別は無い)に対して可能であり,ドメイン内で自動的にレプリケートされる.

 Windows NT4.0 ではドメインサーバーのメンバー間で信頼関係が確立できるメカニズムが提供されていた. TCBを管理するActive Directoryを使用することにより,ネットワーク管理者はドメイン間およびドメイン内の階層を定義することができる.ドメインと管理のモデルにActive Directoryを適用するにあたって忘れてならないのは,管理者から見えている,守るべきオブジェクトすべての管理の作業を単純化してくれることである.これは管理面での単純化だけではなく,あらゆるサイトに実装される,現存のセキュリティーモデルを,その依存性と正当性について改良することにもつながる.明らかに企業のシステムではシステムのセキュリティーと運用の責務を行うために,複数のレベルの「管理者」が置かれている.「一番偉い」管理者はそれぞれの下位の管理者に関するオブジェクトに対するアクセスの保証だけが必要になる.

 Windows NT 5.0 は,これまでの Windows との互換を保つためにLAN Managerプロトコルを持っている.また,NT 5.0には広く使われている2つの新しいセキュリティープロトコルが追加されている.それは Kerberosバージョン 5と,TLS(Transport Layer Security)だ.これらのセキュリティープロトコルは,安全なチャネルセキュリティープロトコル(secure channel security protocol)と一緒に使われ,公開鍵を用いたユーザーの確認を用いることでクライアントの認証を行う.後はWindows NTの(あるいはサードパーティー製の)認証さえ考慮すれば,新しいセキュリティーサブシステムは完全なものとなる.

メモリー管理に戻って

 NT上のセキュリティーを実現する基本的な手段は依然としてメモリー管理(訳注・2次記憶としてのディスク,すなわちディスク管理を指しているのだろう)である.おそらく唯一の例外は,公開鍵を用いたデータの暗号化と復号化だろう.それ以外の場合は,ユーザーが資源へアクセスできるかどうかの確定には,しっかりと特権でプロテクトされたコードが使われ,しっかりプロテクトされたデータ構造によっている.

 セキュリティーメカニズムがより洗練されたものになるにつれて,コードとその質はより複雑になっていく.それにも関わらず,セキュリティーと保護に関する決定は基本的にコードやデータの保護によってなされる.メモリー管理だけがデータとコードの保護を実現しているのである.

出典 BackOffice Magazine March 1998, pp.66-67.
ゥ1997 BACKOFFICE MAGAZINE by PennWell Publishing Company.