ショップ構築ガイド

情報の流出経路

情報漏洩対策

レンタルガイド

目次～サーバガイド

サーバ構築ガイド

目次～ Linux サーバ

Winny 情報流出防止

ビジネスセキュリティ

セキュリティソフト

システム管理者（Administrator）とユーザー権限について

ここでは、最も最初に行うべきセキュリティ対策として、Windows NT 系 OS が持つ管理者アカウントと一般アカウントの基本的な事柄について説明します。

ユーザーと権限について

Windows NT / 2000 / XP などのマイクロソフト OS や、Mac OS X 、Linux などの Unix 系 OS には、ユーザーとグループ権限を設定する事が出来ます。

これにより、パソコン内に記録されるデータに、ユーザーごとに所有権を与えることが可能になります。例えば、一台のパソコンを複数で共有する場合、Aさんの作成したデータは、他の人に開けないようにする事が出来ます。

また、AさんとBさんが同じグループに所属する場合、そのグループに所属するユーザーのみが特定のファイルやフォルダにアクセスできるようにする事も出来るようになります。

Windows NT 系 OS （NT・2000 ・XP）では、ファイルシステムが NTFS でフォーマットされている必要があります。

ビジネス用途に関しては、セキュリティ上、最も基本的で重要な役割を持っています。

Administrator （アドミニストレーター）権限・ユーザーについて

Administrator （アドミニストレーター）とは英語で管理者を意味する言葉で、Windows NT 系 OS ではシステムの全ての権限を持つ強力なアカウントです。

ファイアウォールなどセキュリティ上重要な設定の変更や、ハードウェアの追加、削除、ネットワークの変更といった全ての作業を行う事の出来る権限を持っています。その気になればシステムファイルを自分で破壊する事も可能です。

Mac OS-X や Linux 、FreeBSD など Unix 系 OS では、root （ルート）が Windows の Administrator に該当します。

企業であれば、このような強力な権限は社員に提供するパソコンには与えません。システム管理者という業務存在し、彼らが Administrator の権限を管理しています。社員に勝手にシステムを変更されたら、ネットワークが混乱したり、システムが破壊され業務に支障が生じたり、セキュリティを維持する事も出来なくなるからです。

ユーザーアカウントの作成　～ Windows XP

Windows XP では、 Windows 2000 よりも簡単に、ユーザー権限の設定が行えるようになっています。普段使用するユーザーアカウントの作成方法は以下の通りです。

１．【スタートメニュー】 →【コントロールパネル】→【ユーザーアカウント】
以下の画面を開き、"制限" のラジオボタンにチェックを入れ、"アカウント作成" ボタンにチェックを入れます。

XP ユーザアカウント追加

氏名やパスワードなどの入力を求められますので、必要事項を記入するだけです。

XP アカウント作成後

例え利用者が一人しかいないケースでも、普段から使用するユーザーは、制限付きアカウントを使用するようにして下さい。

また、一般家庭においてもアカウントを使い分けることで、メールやインターネット環境、マイドキュメントなど個人のプライバシーが守られるようになります。

制限付きアカウントを使用する事で得られるメリット

個人のプライバシーが守られる以外に得られるメリットは以下の通りです。

不用意な操作でシステムを破壊してしまう事がない
- システムに関連の深いファイルやディレクトリを誤まって削除する事は出来なくなります。システム破損によりパソコンが不安定になる可能性が少なくなります。
システムの変更を制限できる
- コントロールパネルで行うファイアウォールなどセキュリティに関連の深い設定やハードウェアの追加といった作業は、Administrator 権限を必要とするため、利用者が勝手に設定を変更する事が出来ません。セキュリティ上、重要なメリットです。
ウイルス耐性に優れる
- システムの変更や破壊は何も人が行うばかりではありません。トロイの木馬系ウイルスなど、パソコンの内部で実行されるウイルスは、実行者の権限で感染を試みるため、Administrator 権限で実行される場合に比べ、深刻なダメージを軽減できます。
- Unix系 OS 、Linux や OS-X などのように、ユーザー権限ごとにアプリケーションを実行させる仕組みは、Windows Vista でようやく対応します。

アプリケーションのインストールが必要な場合、その都度、ユーザーを切り替える必要があるため、最初は面倒に感じると思います。個人しか利用しないケースであってもこのような作業は最初だけなのでそのうち気にならなくなります。得られるメリットの方が遥かに大きいです。

次期 OS の Windows VISTA では、ようやくユーザー権限でアプリケーションがインストールできるようになるそうです。その都度、管理者ユーザーに切り替えなくてもその都度、パスワードを入力する事で権限を取得できるようになると言われています。Linux や OS-X などのUnix 系 OS では当り前のことなんですが。

企業で行われる対策の主な目的

会社が社員に支給するパソコンにおいては、システム管理者がそれぞれのセキュリティポリシーに基づき、適切に設定した上で社員に提供し、Administrator 権限は社員に与えないようにします。

ネットワークやファイアウォールなどのシステム変更禁止
USB メモリデバイスなどの規制によるデータ持ち出し禁止
- レジストリを修正すれば書込みのみを禁止し、読込を許可する事も可能

特に、Windows XP Professional や 2003 Server ではグループポリシーにより、ユーザーごとに木目細かな制限も可能です。これらの設定は、システム管理者のみが行えるようにする必要があります。

制約だらけにしてしまうと逆に業務に支障が出るため、業務内容に応じたポリシーが必要となります。

Windows XP Home Edition について .

一般家庭に広く普及している Windows XP Home Edition ですが、この家庭向け Windows を利用している場合は特に注意する必要があります。

XP Home Edition の管理者権限について

家庭向けという立場上、利便性が重視されるため、Windows XP Home Edition では Administrator は隠れた状態にあり、通常のアカウントに Administrator 権限を提供して使用するようになっています。

仮に、Administrator 権限と一般ユーザーを分けて使用しても、実は、パスワードの設定されていない Administrator ユーザーが隠れています。これでは、最低限必要なパソコンに対するパスワード認証が全く意味のない事を意味します。

例えば、XP Home Edition がインストールされたノートパソコンが盗難にあった場合、一般アカウントや、Administrator 権限を持つアカウントにパスワードを設定していたとしても簡単にログインできてしまいます。

セーフモード（システム起動時に "F8" キーを押す）で起動すると、パスワードの設定されていない Administrator ユーザーが現れます。つまり、パソコン内のデータはおろか、システムの設定も容易に変更できてしまいます。

必ず、隠れた Administrator ユーザーのパスワードを設定するようにして下さい。放置すれば、ウイルス感染時のダメージも大きくなる可能性があります。

XP Professional との違い

XP Professional と XP Home Edition では、一般家庭向け廉価版 Windows XP と言え、もっとも大きな違いは、

ソフトウェアセキュリティポリシー未対応
- Winny など情報漏洩の恐れのあるプログラム起動を制限する事が出来ません。
- 参照 => Winny をはじめとする P2P ファイル共有ソフトの起動阻止
EFS 未対応（暗号化ファイルシステム）
- EFS とは暗号化ファイルシステムのことで、ユーザーに意識する異なるファイルを暗号化して記録する機能です。暗号複合化に必要な鍵をネットワーク上のサーバや外部デバイスに記録するといった対策を用いて、盗難時の情報漏洩対策が行えません。
- 参照 => EFS （暗号化ファイルシステム）の活用方法について
Windows ドメイン未対応
- XP Professional では、Windows Server が提供するドメインに参加する事が出来ますが、Home Edition は出来ません。つまり、ネットワークによる集中管理が行えない（セキュリティに関する機能も含まれる）といった差別化が行われています。