先週パシフィコ横浜でマイクロソフトが開催した「Tech・Ed Japan 2009」においては、Windows 7とWindows Server 2008 R2のセキュリティ関連機能に焦点を当てたテクニカルセッション「Windows 7とWindows Server 2008 R2の新機能を生かして実現！ より安全なITインフラ」が行われた。

マイクロソフト システムテクノロジー統括本部 高田俊太郎氏

マイクロソフト システムテクノロジー統括本部の高田俊太郎氏による講演では、アプリケーションやリムーバブルディスクの制御、暗号化と暗号化ドライブの管理等について語られた。

アプリケーション制御については、コンピュータ単位でアプリケーションやスクリプトの実施を制御可能にする新機能「AppLocker」が紹介された。

これは、Windows XPやWindows Server 2003から採用された「ソフトウェア制御ポリシー（SRP）」を強化したもので、ユーザーが利用可能なアプリケーションを管理者が制限しやすくした機能だ。

ただ、SRPは規制を全ユーザーに対して一括で行うしかなく、テスト的な使い方もできないため、使い勝手は良くなかった。しかし、AppLockerは規制対象を特定のユーザーやグループ単位で絞り込めるほか、監査モードでも実行できる等の強化が行われている。

これについて高田氏は「(SRPは)実際に使われていたとは言えない」と認めた上で、「AppLokerは監査モードでの実行もできることが大きな特徴。実際の規制前に監査モードで実行することで、アプリケーションの利用実態を確認できる」と、AppLokerの優位性をアピールした。

SRPとAooLockerの機能比較

実際の利用方法としては、ブラックリスト形式よりもホワイトリスト形式の利用が良いだろうとも指摘された。特にリムーバブルディスクとの組み合わせで、リムーバブルディスク内の特定アプリケーションのみを許可する方法を紹介した高田氏は、「企業ではUSBメモリを完全に利用禁止にすることは現実的ではない。認められたアプリケーションのみ許可するホワイトリスト作成が良い」と語った。

リスト作成はウィザードで簡単に行うことができ、アプリケーション単体を規制するだけでなく、特定バージョンのみを許可、指定バージョン以上の場合のみを許可、といった指定も手軽にできることがデモンストレーションされた。

また、AppLokerで使われる独特のパスや、誤ってExplorerを規制してしまった場合の対処方法等についても紹介された。

AppLockerで使われる特殊なパス変数	AppLoker利用上のFAQ