よりきめ細かなアクセス許可を実現する「ダイナミックアクセス制御」


 これまで、本連載では続けてWindows Server 2012の新機能や強化点を説明してきたが、今回はその最後として、Windows Server 2012で採用されたダイナミックアクセス制御機能を中心に、残りの新機能を紹介していこう。

 

ファイルへのアクセスを動的に制御する「ダイナミックアクセス制御」

 Windows Serverでは、フォルダやファイルにアクセス制御(ACL)というアクセス制御が用意されている。これにより、フォルダやファイルは、特定のユーザー、グループなどだけがアクセスできるようになっていた。

 Windows Server 2012ではここに、ダイナミックアクセス制御といわれる機能が追加された。ダイナミックアクセス制御機能を使えば、すべてのユーザーがアクセスできる汎用フォルダに置かれたファイルでも、経理部門が作ったファイルには経理部門のユーザーしかアクセスできなくなる。

 また同じ経理部門でも、国が異なる場合、ユーザーが属する国のファイルにしかアクセスできなくなる。このように、ファイルのアクセスをダイナミックにコントロールすることが可能になるのだ。


Windows Server 2012には、新しいアクセス権の設定・管理ができるようになっているダイナミックアクセス制御機能は、新しいファイルアクセス制御機能を提供する。今までのアクセス制御よりも、細かな制御が行える。もちろん、旧来のアクセス制御(ACL)を利用することも可能

 Windows Server 2008 R2では、File Classification Infrastructure(FCI)という機能が用意されていた。FCIは、フォルダやファイルに対して、管理者が決めたルールに従って、さまざまな動作をするコンテンツ自動分類機能だ。

 例えば、ファイルサーバー上にあるファイルで1カ月以上アクセスされていないファイルは、大容量で低速なドライブに移動することができる。また、ファイルの属性、ファイルに含まれる文字列をチェックして、ファイルを分類することもできる。作成したルールによっては、ファイルを移動したり、削除したり、バックアップの頻度を変えたりすることも可能になっている。

 何よりも便利なのは、FCIで作成されたルールが自動的に適応されるため、いったんルールを作成すれば、後はルールに従った処理を自動的に行ってくれる点だろう。もっとも、FCIはあくまでも基盤サービスのため、より高度な使い方をするには、FCIを利用したアプリケーションが必要になる。

 今回追加されたダイナミックアクセス制御では、FCIで利用する分類項目に対して、よりきめ細やかなコントロールを可能にした。つまり、単にフォルダやファイルが持つアクセス制御だけでなく、フォルダやファイル自体に詳細なコンテンツプロパティを追加している。

 さらにWindows PCでは、Active Directory(AD)に登録されたユーザー側にも、詳細なユーザークレーム(ユーザーの情報)を追加できるが、Windows Server 2012のFCIでは、こうしたコンテンツ側とユーザー側の情報をチェックして、Windows Server 2008 R2ではできなかった複雑なコンテンツへのアクセス制御を可能にしている。

 Windows Server 2012では、Active Directory管理センターにダイナミックアクセス制御を管理する機能が追加されている。ここで、ユーザーやグループ、コンピュータ、コンテンツプロパティに対するクレーム(情報)を設定したり、FCIで利用するルールも管理することが可能になっている。

 FCIのルールを適応するスケジュールとしては、Windows Server 2008 R2では、決められたスケジュール(例えば日曜日の夜中)に従って処理されていた。しかし、Windows Server 2012のFCIは、ファイルが作成されたり更新されたりしたタイミングで、FCIのルールに従った処理が行われるようになった。つまり、FCIのルール適応がリアルタイムで行えるようになったわけだ。

 また、Windows Server 2012のFCIは、AD RMS(Active Directory Rights Management Service)と連携できるため、機密レベルの高いコンテンツは、自動的に暗号化し、アクセス権限のあるユーザーしかコンテンツにアクセスできなくすることも可能という。

 アクセスを制御する時にAD RMSサーバーに問い合わせを行うため、ユーザーがUSBメモリなどに機密レベルの高いコンテンツを保存して、別のPCでアクセスしようとしても、AD RMSサーバーがないため、コンテンツにアクセスできなくなる。

 Windows Server 2012では、企業が作成するファイルをさまざまなレベルで保護したり、分類したりする基盤が用意された。ただ、Windows Server 2008 R2でもFCIとして基盤が提供されていたが、多くのユーザーは積極的に利用していなかった。また、FCIを利用したアプリケーションもほとんどなかった。

 Windows Server 2012では、ダイナミックアクセス制御などをサポートすることで、ある程度のレベルまで文書管理プラットフォームとしてのレベルに達してきた。しかし、本格的に利用されためには、多くのアプリケーションがFCIやダイナミックアクセス制御をサポートしていく必要があるだろう。

 また、ダイナミックアクセス制御などサポートしたFCIを利用するためには、Windows Server 2012ベースのAD、Windows Server 2012ベースのファイルサーバー、Windows 8の組み合わせが必要になる。企業にとっては、クライアント、サーバー共に新しくする必要があるため、コストがかかる。


FCI(ファイル分類基盤)は、Windows Server 2008 R2から追加された機能。ファイルを自動的に分類整理するActive DirectoryからFCIで利用するプロパティを集中管理できる
ダイナミックアクセス制御では、今までよりも細かなアクセス制御が可能になる。ダイナミックアクセス制御やFCIを利用することで、ファイルサーバーにあるドキュメントを細かに管理することが可能だ

 

さまざまなWindows Server 2012の機能

 Windows Server 2012は、今まで解説してきた以外にも、さまざまな機能が用意されている。さすがに、すべての機能を細かく紹介すると、誌面がいくらあっても足りないので、簡単に新機能や改善された機能を紹介していく。

・DirectAccessの機能強化
 インターネットから社内のサーバーへのアクセスを可能にするDirectAccessも、Windows Server 2012ではより使いやすくなった。

 まず、設定手順を簡略化して、数ステップでDirectAccessが利用できるようになった。このほか、NAT64とDNS64をサポートすることで、IPv6を利用しているクライアントから、IPv4だけで構成された社内ネットワークへのアクセスできるように、プロトコル変換と名前解決を行えるようになっている。

 また、Windows Server 2012では、DirectAccessとRRASの機能が共存できるようになった。ワンタイムパスワード(OTP)やTPMベースの仮想スマートカードなどのサポート、ネットワーク負荷分散(NLB)への対応なども行われている。


Windows Server 2012のDirectAccessでは、IPv6/IPv4の変換を行うことで、外部からIPv4サーバーにアクセスすることができる

 

・BranchCacheの機能強化
 Windows Server 2008 R2で搭載されたBranchCacheは、低速なWAN回線で接続された支社や支店のPCから、本社のファイルサーバーにアクセスした時に、支社や支店のPCやサーバーのデータをキャッシュする機能だ。これにより、低速なWAN回線で接続されていても、高速にファイルにアクセスすることができる(ローカルのキャッシュを利用する)。

 Windows Server 2012では、支店や支社のWindows 8PCにデータをキャッシュする分散キャッシュ、支店や支社にキャッシュ用のサーバーを設置するホスト型キャッシュの両方において、管理性とパフォーマンスがアップしている。


Windows Server 2012のBranchCacheは、管理性とパフォーマンスがアップしている

 

・Active Directoryの機能強化
 Windows Server 2008 R2までは、仮想マシンにADサーバーを構築することは推奨されていなかった(動作可能だが、機能的にいくつか問題もあった)。しかし、Windows Server 2012では、仮想マシンでADサーバーが動作できるように変更された。これにより、ADサーバーをVHDファイルとして、バックアップやスナップショットをとることが可能になった。

 またWindows Server 2012では、Domain Controller(DC)の昇格と降格を行うDcpromoコマンドが廃止され、サーバーマネージャーの「役割と機能」から昇格と降格が簡単に行えるようになった。

 なおWindows Server 2012では、フォレスト/ドメインの機能レベルとしてWindows 2000 Serverはサポートしない(Windows Server 2003以降をサポート)。このため、Windows 2000 ServerのDCはアップグレードしておく必要がある。


仮想マシン上でADが動作するようになった

 

・DNSサーバーの機能強化
 Windows Server 2012のDNSサーバーは、公開鍵暗号とデジタル署名を利用してレコードの正当性をチェックするDNSSECに対応した。これにより、DNS偽装や改ざんなどに対処することが可能になっている。

 

・DHCサーバーの機能強化
 Windows Server 2012のDHCPサーバーでは、2台のDHCPサーバーに全く同じアドレス範囲を定義することが可能になった。これにより、DHCPサーバー間でフェールオーバーやホットスタンバイ、負荷分散を行える。。

 Windows Serverが持つフェールオーバークラスタを使用せずに、単純に2台のDHCPサーバーを立てて、設定するだけで、フェールオーバーや負荷分散が利用できるようになるのは手軽で便利だ。


クラスタを利用しなくてもDHCPのフェールオーバーが可能になった

 

・IIS8.0
 Windows Server 2012のWebサーバーは、IIS(Internet Information Server)8.0にバージョンアップされた。

 IIS 8.0は、セキュリティの強化、パフォーマンスのアップ、マルチテナントへの対応が行われている。

 また、指定時間内に指定回数以上のアクセスがあった場合、そのIPアドレスからのアクセスをブロックするDynamic IP Restrictions機能を搭載したほか、指定時間内に指定回数以上FTPのログインが失敗した場合、アカウントをロックするFTP Logon Attempt Restrictions機能が用意された。

 これらの機能により、Webサーバーの攻撃として多く行われているサービス不能攻撃(DoS)を受けても、攻撃先のクライアントを切り離せるので、ほかのクライアントからのアクセスは正常に行える。

 また、簡単にWebアプリケーションの開発や構築ができるWeb Platform Installerに、IISマネージャーからアクセスできるようになっている。これにより、Webサーバー管理者が簡単に環境設定が行える。

 このほか、HTTPSを使ってバーチャルドメインをホスティングするServer Name Indication(SNI)、IIS 8.0自体をNUMA環境にチューニングするNUMA Aware Scalability、複数のWebサイトを運用している場合、特定のWebサイトにのみがリソースを消費しないようにするIIS CPU Throttling機能がサポートされている。

 

・Windows Azure Online Backup Service
 Windows Server 2012では、Microsoftが運営しているパブリッククラウドのWindows Azureのストレージエリアに、データをバックアップするサービスが用意された。10月末の時点で、プレビュー版が公開されている。

 正式サービス時には、Microsoft Online Serviceとして有償で提供されることになる。プレビュー版では、6カ月間、最大300GBのバックアップが無償で利用できる。容量に関しては、有償化の際に変更される可能性もある。

 Windows Azure Online Backup Serviceは、Windows Server 2012に専用のエージェントソフトをインストールことで、簡単にバックアップをとることができる。もちろん、バックアップだけでなく、クラウドからリストアすることも可能だ。


Windows Azure Online Backup Serviceは、Windows Server 2012のバックアップをWindows Azure上のストレージに行えるWindows Azure Online Backup Serviceを使えば、クラウドのバックアップデータを別のサーバーにリカバリすることも可能

 

・その他の機能


Windows Server 2012/Windows 8は、iSCSIのネットワークドライブから、ブートできるようになった。個々のクライアントPCのブートイメージとしては、マスターイメージは変更せず、VHDの差分ディスクと組み合わせて利用できる。OSのアップデートはマスターイメージだけをアップデートすればいいWindows Server 2012のファイルサーバーでは、NFS V4.1をサポート。UNIX、Linux、VMwareのストレージとして利用可能

 

 ここまで見てきたように、Windows Server 2012は、多くの改良と新機能が追加されている。こうした主要な機能に関して解説を行ってきたが、今後は、実際に各機能をテストしたり、各種のベンチマークを行ってたりしていきたいと考えている。

関連情報
(山本 雅史)
2012/11/5 06:00