広野忠敏のTechEd 98レポート

【イベント】

■広野忠敏のTechEd 98レポート Part 3■

Windows NT 5.0の新機能（2）

　前回に続いて、TechEd 98の目玉であるWindows NT 5.0についてご紹介しよう。

セキュリティの強化

　セキュリティの強化もWindows NT 5.0の目玉だといえる。Windows NT 5.0で新たにサポートされるセキュリティ関連の機能は次のとおりだ。

Kerberos 認証
SmartCard 認証
Extensible Authentication Protcol（EAP）
Internet Protcol Security（IPSEC）
ファイルの暗号化

　Windows NT 5.0では新たにKerberos認証とSmartCard認証の2つの認証方式がサポートされる。Kerberos認証はActive DirectoryのLDAPやログオン時に、SmartCard認証はログオン時や、EAPなどで利用される。Kerberos認証は、キーを使った認証方式。

　たとえば、クライアントからWindows NT 5.0のサーバーにログオンするときは、Active Directoryに格納されたアカウント経由でKDC（Key Distribution Center）にアクセスし、TGT（Ticket Granting Ticket）と呼ばれるキーを入手する。クライアントではTGTとユーザーのパスワードのマッチングを行ない、認証を実行するという方式だ。

　一方のSmartCard認証は、ICを内蔵したカードを利用した認証方式。
　Kerberosと同様にKDCからTGTキーを入手し、ICカードの情報とマッチングして、認証を実行する方式。

　この2つの方式では、ネットワークに流れるデータはTGTとよばれるキーのみ。実際の認証パスワードはクライアント側でTGTキーとのマッチングが行なわれるため、パスワード情報はネットワークには流れないので安全な認証方式だといえる。ちなみに、クライアントからWindows NT 4.0のサーバーにネットワーク経由でログオンするときには、パスワードの情報はネットワーク上に流れる。

　Extensible Authentication Protcol（EAP）は従来のPPPを拡張したプロトコル。詳しい内容についてはあまり説明はなかったが、L2TPのサポート、SmartCardやワンタイムパスワード、パブリックキーなどを使った認証などが実現される予定だ。

　Internet Protcol Security（IPSEC）はパケット単位でデータを暗号化する技術。インターネットで利用されているプロトコル（IP:Internet Protcol）はプロトコルレベルでは、セキュリティについて何ら考慮されていない。つまり、ネットワーク経路上ではIPパケットの傍受が可能だ。

　IPSECはプロトコルレベルでデータを暗号化するための技術。IPSECではIPを拡張したプロトコルで、IPのプロトコル構造（IPヘッダ、データ）などに加え、あらたにIPSECのヘッダ（ハッシュや暗号化の情報など）を付加し、さらにデータをDES、3DESなどの暗号化アルゴリズムで暗号化して伝送するためのものだ。つまり、IPSECを利用したIPパケットは、ネットワーク経路上で傍受したとしてもまったく意味不明なものとなる。

　ここまでは、主にネットワーク上のセキュリティについてのトピックだが、Windows NT 5.0ではファイルの暗号化技術もOSに取り込まれる。暗号化のテクノロジについては、詳しい解説はなかったが、メカニズムから察するに公開鍵暗号化方式が採用されているようだ。

　暗号化は、ファイルのプロパティで簡単に実行できるようになっている。暗号化するときにはそのデータを複号するユーザーを指定できるようになっていて、このときに、ランダムな公開鍵を生成してデータを暗号化する仕組み。なお、ユーザーが暗号化されているファイルを開こうとすると、OSで自動的にデータが複号されるようになっている。正しいユーザーがファイルを開けばファイル内のデータを参照でき、複号が許可されないユーザーが開こうとすると、エラーが表示される。つまり、Windows NT 5.0のファイル暗号化は、ファイルシステムレベルで実装されているわけだ。また、リカバリーエージェント（通常は管理者）は暗号化されたすべてのファイルを複号して参照することができるようになっている。

多国語対応

　Windows NT 5.0の大きな特徴の一つとして、多言語に対応することが挙げられる。NT 5.0の多言語対応は、アプリケーションなどで一度にいくつもの言語を扱えるようになることと、OSそのものが多言語に対応することの2つ。

　アプリケーションでは、同時に複数の言語を利用することができるようになる。たとえば、ワードやライトなどのワードプロセッサで、日本語と韓国語の両方のコードセットを利用した入力や表示が可能になる。

　さらに、OSそのものが多言語に対応することによって、1つのバイナリでいくつもの言語に対応することになる。つまり、わざわざその言語に対応したOSをインストールすることなく言語の切り換えができるようになる。言語の切り換えを行なうと、ユーザインターフェイスもすべてその言語になるような仕組みになっていて、TechEd 98では実際に英語版のNT 5.0を利用し、日本語環境への切り換えを行なっていた。英語環境ではメニューやスタートメニューの表示などがすべて英語なのに対して、日本語環境に切り換えるとこうしたユーザーインターフェイスがすべて日本語表示になる。ただし、こうした切り換えができるのは、おそらくOS自身のみでアプリケーションなどでは別途対応する必要があるハズだ。

新しくなった管理ツール

　Windows NT 4.0ではサーバーマネージャ、ドメインユーザーマネージャといったツールでサーバーの管理、ユーザの管理を行なっていたが、Windows NT 5.0ではMicrosoft Management Console（MMC）と呼ばれる新しいツールで管理することになる。MMCの外観とユーザーインターフェイスはExplorerライクになっていて、ウィンドウ左サイドにツリー表示されたオブジェクトが、右サイドにそのオブジェクトに属するアイテムが表示されるようになっている。Active Directoryやドメインの管理やユーザーの追加・編集などの管理作業は、すべてMMCで行なわれることになるようだ。

新しいハードウェアの対応

　Windows NT 4.0ではパワーマネジメントやプラグアンドプレイには対応していなかった。そのため、ノートパソコンなどパワーマネジメントやプラグアンドプレイが重要な意味を持つマシンに対してWindows NTをインストールすることは難しかったが、NT 5.0ではパワーマネジメントやプラグアンドプレイに対応してくるため、ノートパソコンなどでも「きちんと」利用できるようになる。

　さらに、新しいハードウェアへの対応では、OnNow、PnP、ACPIやDVD、IEEE-1394、USB、複数ディスプレイの対応、さらにDirectX 6.0などに対応する予定だ。

□Microsoft TechEd 98 Yokohamaホームページ
http://teched.msn.or.jp/

（'98/8/3）

[Reported by 広野忠敏]

【PC Watchホームページ】

ウォッチ編集部内PC Watch担当pc-watch-info@impress.co.jp