マイクロソフトのEngineering Windows 7 ブログ : Security

Windows 7 を守る－保護者による制限

e7blog — Fri, 29 May 2009 18:52:24 GMT

ご想像のとおり、私たちのチームはこの Windows 7 の次の段階の対応で大変忙しくしています。Windows 7 RC の何百万ものダウンロード、そしてそれをインストールしてくださったことに心から感謝します。現時点で、状況は私たちの期待通りに推移していています。個人的には、私宛にメールをくださった方々に感謝したいと思います。RC に関してたくさんの温かいお言葉とサポートをいただきました。「もうこれでリリースにしてほしい!」とおっしゃる方もたくさんいます。が、私たちは次のマイルストーンに向けて取るべき手順をまとめており、あわてて物事を進めるというようなことはありません。本当にたくさんのやるべきことがあります! ちゃんとは数えていませんが、このブログの Contact リンクから私が送った電子メールは 3,000 通を超えました。すべてにはお返事できていませんが、頑張っています。それぞれの、そして、すべてのやり取りに感謝しています。

Windows 7 には、子供が PC を使用する際に PC を守るための一連の機能があります。この投稿は Safety Team のプログラム マネージャーである Vladimir Rovinsky によるもので、Windows 7 の [保護者による制限] について詳しく説明します。この取り組みは OS そのものの安全性に追加するもので、もちろん Internet Explorer にも安全で安心なブラウジングを提供するために機能が組み込まれています。Windows Live ファミリー セーフティもチェックしてみてください。これは Windows Live Essentials (http://download.live.com) の一部で、より高い安全性と保護者によるコントロールを提供します。 --Steven

今日、子供たちは過去のいかなる時よりもデジタルハザードにさらされやすくなっています。特に、強力な検索ツール、便利な SNS アプリケーション、動画や写真を公開するための低価格のツールやサービスにより、Web は子供たちに不適切なコンテンツであふれており、保護者はみな自分の子供たちがそれらに接触することを禁じたいと思っています。

子供たちは、Web ブラウザー、インスタントメッセージングアプリケーション、メディアプレーヤー、ゲーム、電子メールアプリケーションなど、さまざまなアプリケーションを介してデジタルハザードにアクセスできてしまいます。このようなアプリケーションの多くは、保護者による制限機能 (ペアレンタルコントロール) を提供しようとしてきました。しかし、ユーザーインターフェイス、場所、および用語はアプリケーションによってまちまちです。重複し、あるいは整合性のない設定管理は、保護者にとって、複数のアプリケーション間で正しい設定を行うことを困難にしています。

Windows Vista の [保護者による制限] は、以下を用意することにより、問題を解決するためのフレームワークを提供しました。

· 保護者による制限機能の設定や活動を管理するための、コントロールパネル内の単一で特定の場所。

· Web コンテンツやファイルのダウンロード、コンピューターを使用する時間、アプリケーションの使用、ゲームの使用に対する組み込まれた規制、およびユーザーの活動をログに残して確認する機能。

· Windows Parental Control プラットフォームのパブリック API。インボックスの規制設定やログ機能をどのアプリケーションでも使用できるようにします。たとえば、Internet Explorer と Mozilla Firefox 3.0 はこの API を使用して、ファイルのダウンロードをブロックするかどうかを決めています。

· ユーザーアカウント制御 (UAC) との統合。標準のユーザーアカウントを保護者による制限機能で規制されるユーザーとして強化します。Windows PC 上で子供たちを安全に保つためのベストプラクティスの推進。たとえば、管理される子供ごとに別々の標準アカウントを作成する、保護者 (管理者) のアカウントにパスワードを設定する、など。

Windows Vista の [保護者による制限] についてのデモは、こちらの動画をご覧ください。

Windows Vista の [保護者による制限] 用のソフトウェア開発についての詳細は、Using Parental Controls APIs を参照してください。

Windows 7 の [保護者による制限] に対する更新の重要な設計決定

ユーザーからのフィードバックと Web の発展性と保護者にもたらされる課題に対応し、柔軟で効果的な安全性機能の提供に努めました。Windows 7 での [保護者による制限] に対する取り組みは、次の目標に焦点を絞りました。

1. サード パーティの開発者が Windows 7 の [保護者による制限] と十分に統合できる機能豊かな保護者による制限機能を作成できるように、Parental Controls プラットフォームの拡張性をさらに発展させる。

Windows 7 の Parental Controls プラットフォームは、さまざまな保護者による制限機能の独立プロバイダーが、システムにインストールされています。そして Windows 7 によって提供される保護者による制限機能を補強または完全に置き換えることができるよう、変更されました。Windows Vista では、Windows の [保護者による制限] の一部だけを置き換えることができました (Web フィルターは置き換え可能)。Windows 7 では、Web フィルターに加え、Windows 7 の [保護者による制限] ユーザーインターフェイス全体をサードパーティ製プロバイダーで置き換えることが可能です。基礎的なオフライン規制の施行は、引き続き Windows の Parental Controls プラットフォームが担当します。サードパーティ製プロバイダーが Windows の [保護者による制限] ユーザーインターフェイス全体を置き換えられるようにすることにより、既存の保護者による制限機能とサードパーティ製プロバイダーによる新しい機能をシームレスに一体化し、一貫性のあるユーザーエクスペリエンスを提供することができます。

コントロールパネルの [保護者による制限] ウィンドウは、保護者による制限機能がデフォルト (システム) のものであれ、サードパーティ製プロバイダーによるものであれ、Windows 7 での保護者による制限機能の中心点であり起動場所であり続けます。

2. Web コンテンツ規制と活動レポート機能をデフォルト (システム) の保護者による制限プロバイダーから削除し、これらの機能については Windows Live またはサード パーティ製プロバイダーに任せる。

Web は私たちが Windows OS をアップデートするよりもずっと高速に変化し続けています。たとえば、Vista がリリース時には、ソーシャルネットワーキングはまだあまり知られていませんでしたが、今では Web で盛況な存在感のあるものとなっています。Web 用の保護者による制限機能は、日々の革新に遅れず対応する必要があります。そのため、この機能は Windows Live に任せることにしました。

Web フィルターおよび活動レポートの機能は、Web ベースの配信を実装した Windows Live またはサードパーティによるソリューションの方が、効果的に提供できます。たとえば、Microsoft の Windows Live ファミリーセーフティは無料のアプリケーションで、Web コンテンツフィルター、ファイルのダウンロードの規制、活動の監視といった機能を提供しています。また、子供が Windows Live のオンラインアプリケーション (Windows Live Hotmail、Windows Live Messenger など) を使用するときのために、オンラインの連絡先の管理機能も提供しています。

Windows Live のファミリーセーフティについてはこちらに情報があります。

Windows 7 での Parental Controls (保護者による制限) プラットフォームに対する変更の詳細は、こちらを参照してください。

Windows 7 の [保護者による制限] ユーザー インターフェイスの変更

Windows 7 の [保護者による制限] の最上位ウィンドウにおける新しい要素について、次のスクリーンショットをご覧ください。

図 1 Windows 7 の [保護者による制限] ウィンドウ

[追加の制限] セクションにより、ユーザーは Web フィルター、活動レポート、オンラインの連絡先の管理など、追加の制限機能を選択できます。コンピューターにサードパーティ製の制限機能がインストールされている場合、ウィンドウには [プロバイダーの選択] ドロップダウンリストボックスが表示され、現在選択されている (有効な) プロバイダーが表示されます。リストボックスの下には、プロバイダーによって提供される機能説明が表示されます。
ユーザーの名前または画像をクリックしてユーザーのアカウントを選択すると、そのユーザーに対するプロバイダーの設定が起動します。プロバイダーは、インボックスのオフライン規制のデフォルト設定画面を置き換えることができます。オプションで、ユーザーのアカウントの画像の下に、プロバイダーが生成するステータスを表す文字列が表示されます。
プロバイダーによるアイコンが、ウィンドウの右上に表示されます。

追加の制限プロバイダーは、インボックスのオフライン規制の設定に、デフォルトの (システムの) プロバイダーの UI を利用することもできます。その場合、[ユーザーの制御] ウィンドウが表示され、保護者による制限機能が設定できます。

追加のプロバイダーが選択され設定されると、Windows 7 の [ユーザーの制御] ウィンドウに、次のような新しいユーザーインターフェイスの要素が表示されます。

図 2 Windows 7 の [ユーザーの制御] ウィンドウ (追加の制御プロバイダーがインストールおよび設定済みの状態)

[その他の設定] では、現在選択されているプロバイダーの機能に直接アクセスできます。
[Web の制限] では、現在選択されているプロバイダーの機能にアクセスできます。

Windows の [保護者による制限] の設定と Vista から Windows 7 へのアップグレード

Web フィルターの制限が有効の状態で、保護者によってユーザーアカウントが管理されている Windows Vista PC が Windows 7 へアップグレードされると、保護者 (管理者) はアップグレード中および Windows 7 の [保護者による制限] ウィンドウを開いたときに、Windows 7 の [保護者による制限] にはWeb フィルターおよび活動レポートの機能はない旨が警告されます。

図 3 Windows 7 の [保護者による制限] ウィンドウ (あるユーザーは Web フィルターの規制を受けているが、追加のプロバイダーはインストールされていない状態)

Windows Vista から Windows 7 へアップグレードされたとき、Windows Vista の [保護者による制限] の設定内容 (Web フィルター、活動レポートを含む) は、そのまま変更されずに保持されます。Web フィルターの設定や活動レポートのログ情報は Windows 7 の [保護者による制限] では使用されませんが、サードパーティ製のプロバイダーが保持された内容を使うことができます。

Windows 7 を使用するにあたり、今回の保護者による制限機能に対する変更により、ご家族の皆さんがコンピューターを使用し Web を楽しむ上で、より確実にコントロールできていると感じていただければ幸いです。

--Vladimir

UAC のフィードバックとフォローアップ

e7blog — Thu, 05 Mar 2009 18:31:00 GMT

この “E7” ブログを始めたとき、ワクワクすると同時に少し不安でもありました。ワクワクするのは当然です。不安と言うのは、いつか収拾がつかなくなるかもしれないと思ったからです。まずく設計された機能についてブログを書くから収拾がつかなくなるのか、それともよく設計された機能についてまずいブログを書いてしまうから収拾がつかなくなるのかは分かりません。一部の人には、UAC のトピックについて私たちは両方のことをしたように見えるでしょう。あの時の私たちの対話は、多くの人が耳を傾けていないと感じ、また、さまざまな観点が正しく伝わっていない感じるものでした。それは私たちが目指した対話ではなく、改善できるよう最善を尽くすつもりです。

今回の投稿では、このブログ自体と製品の機能の両方を正しい方向へ持っていきたいと思っています。みなさんが、このブログに関する最近のできことをどうお考えになられているか、とても心配です－ Windows 7 は面白すぎます。しかし少々私たちも手に負えないくらいに、なってきました。この投稿によりみなさんがまた元のとおりに楽しめる状態に戻ることを願っています!

まず初めにフィードバックの中から代表的なコメントをご紹介します。それから、私たちが行おうとしている変更についてお話し、どう前進するかに関して私たち全員が同じ考えであることを確認したいと思います。コメントについてですが、次のような声が寄せられました:

@srousseyさんのコメント:

世の中の 95% の人はあなたたちが間違っていると思っています、たとえ、その人たちの方が間違っていたとしても。問題は、彼らはあなたたちの製品を買ったり薦めたりしてくれる人だということです。つまり、変更を実装することによりセキュリティが強化されたと誤った認識を与えて (あいまいなセキュリティと大差ないですが) 彼らを喜ばせるのですか? それとも、本当にセキュリティの境界線を強化するのですか?

そして @Thackさんのコメント:

Jonさん、
考えを共有してくれてありがとうございます。おっしゃることは分かりました。
さて、ひとつのとてもシンプルな変更を呼びかけるために発言したいと思います。
UAC のプロンプトレベルを特別なケースとして扱うのです。UAC へのあらゆる変更に対して、それがユーザーによるものでもプログラムによるものでも、ユーザーアカウントの種類や現在のプロンプトレベルにかかわらず、UAC プロンプトを表示するようにするのです。
これが、みんなが望んでいることです。他に変更は必要ありません。デフォルトのレベルは今のままで、UAC もそのままにしてください。UAC プロンプトレベルに対する非常な特殊なケースの変更についてだけお話しているのです。
大して面倒なことにはならないでしょう。ほとんどの人は (仮にそうであるとしても) UAC のレベルを一度変更するだけです。
あなたたちは確信しているようですが、UAC のプロンプトレベルを変更しようとするものが本当にあるのか、知りたいです。
想定されるマルウェアがどのようにマシンに入り込むか、まだ誰も実際にやって見せていないことは問答無用です。そのうち誰かが他の境界線を通り抜けるでしょう。
私の言っていることが納得できないようでしたら、広報の論争はマイクロソフトにとって非常に簡単なことなのでしょうね。
Jon さん、お願いです。少しの変更で多くのユーザーからの信頼とすばらしい広報活動が得られます。

Thack

これらや他に寄せられたたくさんのフィードバックを参考にさせていただき、RC (Release Candidate) 版では 2点ほど変更する予定です。ひとつ目として、UAC コントロール パネルは高信頼性プロセスで実行され、昇格が必要となります。これはこの議論の前にすでに作業を始めていたことで、こうすることにより SendKeys および同類のすべての機能が動くのを阻止します。ふたつ目は、UAC のレベルを変更する場合も確認のプロンプトが表示されるようになります。

@mdaria510さんのコメント:

たまには、あなたたちの理想と矛盾しているのもいいことです。みんなを安心させるためにも、特例を設けてください。

これは私たちがどこに向かっているかを総括しています。最初の変更はバグ修正で、実は他にもふたつ似たようなのがあります—多くの方々には、すでに普通にWindows 7 を使っていただいています。しかしまだベータ版なのです。二番目の変更は直接フィードバックによるものです。モデルのこの「矛盾」はまさに私たちが歩んでいる道です。UAC の設定はパスワードのようなものだと考えています。つまり、パスワードを変更するには、古いパスワードを入力する必要があります。

フィードバックで、「UAC は特別だ、なぜなら、もし昇格せずに変更できたら、今後の警告を黙って無効にするのに使用され得るからで、よって UAC の設定を変更するには昇格を必要とすべき」というものがあります。コメントの問題点について、私たちは存在しないセキュリティへの印象や期待を促したくないのです—やはり、発行元を信頼できない限り、コードをダウンロードすべきではないのです。HTML、EXE、VBS、BAT、CMD などはすべてコードで、標準ユーザーとして実行しても管理者として実行しても、環境 (ユーザーの設定やファイル) を変更する可能性を持っています。私たちは承諾なしにコードがマシンに入り込まないようにする手助けをすることにフォーカスしており、多くの他社製ツールももっと役に立ちます。みなさんに新しい UAC コントロールと新しいデフォルト設定を満足していただきたいので、フィードバックによって明らかにされた、これまでに述べた変更を加えることにしました。

この件について話し合いながら、Windows 7 のセキュリティをどう評価するかに関して、私たち全員が同じ考えで前進していることを確認したいと思います。UAC の設定はさておき、Windows 7 Beta の脆弱性の側面についての議論はコードがマシンに入り込むところから始まっていますが、示されたケースでは Windows のメカニズムがそれを阻止してしまいます。また、複数の手順を示して潜在的なセキュリティ上の弱点を説明してくださることもありますが、その最初の手順をよく見ることが重要です—もしその最初の手順が「まずマシン上でコードを実行させる」であるとすれば、設定を変更しようがするまいが、その後のことはすべて形のないものです。承認なしにコードがマシンに入り込み実行される能力を、私たちはとても真剣に受け止めています。Jon の投稿でも手短に強調されていましたが、Windows 7 の作業は、ユーザーの承認なしにコードを入手して実行することのないよう、PC を安全に保つために適所の保護を強化することです。そしてもちろん、Windows のコードがシステムの改ざんや保護を逃れるような行為から安全であるよう確認し続けていきます。

システム全体のセキュリティについて繰り返しお伝えしたいと思います。Windows 7 は SD3+C であり、Vista よりもっと堅牢に設計されています—それが私たちの優先事項です。私たちの誰も、決して Windows 7 が Vista より安全性に不安があると思われたくありません。Windows 7 の設計のポイントは、デフォルトで Windows Vista より堅牢であることだからです。

私たちは Windows 7 について設計およびブログを書く過程で間違いを犯してしまったと思った、と言いました。しかし、私たちは今後も対話を続けていきたいと思います。そして、エンジニアリング、おそらく Windows 7 のエンジニアリングは特に、広範囲の表現された観点による活発な議論のようなものだということをみなさんに分かっていただければ嬉しく思います。議論がとても活発になることや観点が浮き彫りになることは続いていってほしいと思います。逆に、私たちは学ぶ機会を得て、学んだことについて正直になりたいと思いますし、みなさんにもそうあってほしいと思います。このブログは私たちにとってもうひとつ別の製品を構築しているようなものです。そして、とてもすばらしい経験をしています。さあ、みなさん、仕事と本来の Windows 7 のエンジニアリングについての対話に戻りましょう。そして、もちろんもっとも重要なことですが、私たちは今後もあらゆる観点からの意見を聞き、私たちの考え方を共有し、全員がすばらしいと思える Windows 7 という製品を提供するために一緒に作業していきます。

--Jon と Steven

UAC に関するアップデート情報

e7blog — Thu, 05 Mar 2009 18:18:00 GMT

こんにちは。今回は Jon DeVaan が最近頂戴した UAC に関するフィードバックについてお話したいと思います。

Windows 7 を完了させるための作業の多くは、フィードバックへの対応に集中しています。UAC のフィードバックは、エンジニアリングの意思決定プロセスのいくつかの局面があって面白いです。この局面について探索すると、この e7 ブログに興味深い内容を登録できるのではないと考えました。これは UAC について語る第 3 回目です。Windows におけるこの機能の進化について興味のある方は、過去の 2つの投稿 (投稿 1 および投稿 2) とみなさんから寄せられたコメントをお読みになるとよいでしょう。

これまでに Windows 7 ベータ版に対して寄せられた反応をうれしく思います。そして、RC (= Release Candidate、リリース候補版) に向けて、フィードバックや遠隔測定に基づいて製品にさらに磨きをかけるべく一生懸命作業中です。私たち Windows に従事している者はみな、自分たちの作業が世界中の非常に多くの人々に影響を及ぼすことを考えると謙虚になります。最近のフィードバックでは、人々がどんなに Windows に対して情熱を持っているか感じずにはいられません! 繰り返しになりますが、世界中の何億もの人にコンピュータの価値をもたらす仕事をしている驚くべきコミュニティの一部であることに対し、私たちは謙虚であり、ワクワクもしています。これまでにみなさんから寄せられた考えやコメントに対して、心より感謝申し上げます。

UAC は、「極」の立場とその中間にある立場を唱える (しかも、かなり強固に主張する) 支持者を持つ、幅広い観点を持つ機能のひとつです。今回のケースでは、一方の極を「セキュリティ」、その対極を「ユーザビリティ (使い勝手)」としたいと思います。もちろん、実際にはこの問題は 2つの極のみが存在するものではなく、間には完璧に実行可能な設計ポイントがあります。世界中のセキュリティ専門家はこの基本的な緊張の下ずっとやってきて、とても安全なように設計されたシステムが確実に存在していて、それによって恩恵を受けるであろう人々から守られています。個人的な例を挙げると、私の銀行は最近オンラインバンキングのセキュリティ管理方法を変更したのですが、とても複雑で使いにくいので、銀行を変えようと思っています。本気です!

誤解を解く

みなさんが現在の UAC の設計に対してコメントしているように (そして、そのコメントに対してもコメントしていますが)、いくつかの物事の融合と一連の誤解があることは明らかで、UAC に対するエンジニアリングの意思決定についてお話しする前に、解決しておく必要があります。エンジニアリングの意思決定は、Windows XP SP2 が先駆けとなった secure development lifecycle principles の、特に SD3+C (Secure by Design; Secure by Default; Secure in Deployment; and Communications) の「Secure by Default (デフォルト設定で安全)」を重視しながら成されました。Windows 7 はこの原理を擁護しており、いくつもの投稿でお話してきたようにすべての人が適切な PC エクスペリエンスを感じられるようにすることに焦点を当てなおしています。

まず最初に解決すべき問題は、PC に入り込んで実行し始める悪意のあるソフトウェア (マルウェア) vs. それがひとたび実行するとどうなるか、についてです。マルウェアが承諾なしに PC に入り込む方法についての報告はまだありません。これまでに頂いたすべてのフィードバックは、マルウェアがいったん PC に入り込む方法を見つけて実行しているときの UAC の動作を心配するものです。UAC に関する報告は脆弱性を招かないとするマイクロソフトの立場は、報告は明示的な承諾なしにマルウェアがマシンに入り込む方法がそもそも示されていないからです。「脆弱性ではない」という立場を、私たちが問題の他の部分を真剣に捉えていないと思っている人もいるようです。しかし、私たちはすべてのフィードバックを真剣に受け止めていることを分かってください。

セキュリティの分野において「脆弱性」という言葉は特別の意味を持っています。マイクロソフトは、Microsoft Security Response Center (secure@microsoft.com) の中に世界有数のセキュリティ機関を持っており、巨大なエコシステム全体のセキュリティに対する脅威をモニターしたり、マイクロソフト製品に関係するあらゆる脅威や脆弱性への対応を管理したりしています。世界中のセキュリティのコミュニティで一般的に受け入れられている定義によると、最近のフィードバックは脆弱性に該当しません。なぜなら、そもそも悪意のあるソフトウェアがコンピュータに到達するのを許さないからです。

Windows Vista にある防御機能は、そもそもマルウェアが PC に入り込むのを防ぐものであることを指摘しておくべきでしょう。たとえば、Internet Explorer の使用中 (他のブラウザでも似たようなセキュリティの処置があります)、.vbs ファイルや .exe ファイルをブラウズしようとすると、下記のようなプロンプトが表示されます:

Internet Explorer 8 ではまた、マルウェアの広がりを阻止するためのたくさんの新しい機能が導入されました (http://blogs.msdn.com/ie/archive/2008/08/29/trustworthy-browsing-with-ie8-summary.aspx をご覧ください)。私のお気に入りのひとつは SmartScreen® Filter で、悪意のあるサイトへ移動しようとした際に分からせようとしてくれます。他にも、マルウェアが PC に入り込むのをより困難にする、可視的および潜在的な機能があります。

IE8 の SmartScreen® の画面

さらに、最近の電子メールプログラム (Windows Live Mail など) で添付ファイルを開こうとすると、悪意のあるファイルはブロックされます:

最近のフィードバックの多くは、そもそも Windows 7 はマルウェアが PC に入り込むのを未然に防ぐ方法が Windows Vista よりすぐれていることを考慮していません。Windows 7 では、マルウェアがインストールまたは PC 内で実行される前に阻止する能力を向上させることに焦点を当て続けていました。

第二の誤解を解くべき問題は、UAC の設定によって異なる動作についてです。Windows 7 では UAC の機能について 4つの設定があります。その 4つとは、「通知しない」、「プログラムがコンピュータに対して変更を加えようとするときのみ通知する (デスクトップは暗くならない)」、「プログラムがコンピュータに対して変更を加えようとするときのみ通知する (デスクトップも暗くなる)」、および「常に通知する」です。Windows Vista では、「通知しない」および「常に通知する」と同等の、ふたつの選択肢しかありませんでした。Vista の UI では「通知しない」を選択するのは困難で、それゆえ実装の両極端を選ぶことになりました。Windows 7 では選択肢および機能に対するコントロールが増しました。いただいたフィードバックによると、このことはみなさんの多くにとって特に興味深いことのようです。

UAC に関する最近のフィードバックは、「プログラムがコンピュータに対して変更を加えようとするときのみ通知する」の設定の動作についてです。フィードバックが「常に通知する」に設定されている UAC とは関係ないことは明らかです。したがって、誰かが「UAC が壊れている」というようなことを言ったら、それはフィードバックを間違って捉えていることになります。

UAC の目的

Windows 7 において、「プログラムが… のときにのみ通知する」がどのように機能するかに関するフィードバックに注目しています。設計の選択について説明するには、まず前後関係を説明することが重要です。デフォルトの設定は、全体として UAC の改善について寄せられたフィードバックに基づき、幅広ユーザーの役に立つように選ばれました。私たちは、カスタマーエクスペリエンス向上プログラム、Windows フィードバック委員会、ユーザーアンケート、実地テスト、および社内のユーザビリティーテストに協力してくださったお客様から、UAC の承認ダイアログが増加するにつれ通知される情報のメリットが大幅に減少することを学びました。したがって、一般的なユーザーには、反射的に「[はい] を押す」のを防ぐため、主要なメッセージのみ表示するようにしなければなりません。

ひとつ重要なことは、UAC はセキュリティの砦ではないということです。UAC はより安全にする点では役立ちますが、救済してくれるものではありません。UAC はソフトウェアがインストールされる前にプロンプトを表示することで、ほとんどのケースで役に立ちます。UAC のこの部分は、設定が「プログラムが… ときのみ通知する」の場合でも有効です。UAC はまた管理者権限が必要なシステム全体に対する変更の場合にもプロンプトを表示します。これは理論上、マルウェアが実行された後に思えばそのようなソフトウェアへの効果的な対抗策に見えますが、実際の経験では効果は限られています。たとえば、巧妙なマルウェアは権限の昇格が必要となるようなオペレーションは避けるでしょう。その他にも、これまでのブログ (投稿 1 および投稿 2) でも論じてきたように、人間行動の要因もあります。

UAC はまた、ソフトウェア開発者が管理者権限を必要とせず実行できるようプログラムを改善するのを助けてくれます。マルウェアに対してシステムをセキュアにする最も効果的な方法は、標準ユーザーの権限で実行することです。多くのソフトウェアが管理者権限を必要とせずに動くようになれば、より多くの人々が標準ユーザー権限で実行するようになるでしょう。Windows 7 のマシンを設定する責任にある人 (IT 管理者や家族のヘルプデスク担当 (私もです!)) はみなさん、標準ユーザーアカウントを使用するようにマシンを管理していただきたいと思います。最近のフィードバックは、標準ユーザーとして実行してもちゃんと動作するとはっきり言っています。管理者はまた、標準ユーザーアカウントではなく管理者アカウントでマシンを管理する場合、グループポリシーで自由に UAC の設定を「常に通知する」に強制することもできます。

これまでの論議を繰り返すと、最近のフィードバックはセキュリティの脆弱性を表していないことがわかりました。なぜなら、悪意のあるソフトウェアはシステム上ですでに実行されている必要があるからです。Windows 7 と IE8 は共に、マルウェアがシステムに入り込むのを防ぐ保護機能が向上していることがわかりました。また、フィードバックは UAC の「常に通知する」の設定には当てはまらず、いったんマルウェアが実行し始めると UAC はそれを阻止するのに 100% 有効ではないことがわかりました。なぜ「プログラムが… のときにのみ通知する」という設定があって、しかもそれがデフォルトなのか、質問する人がいるかもしれません。

顧客主導型のエンジニアリング

「プログラムが… のときにのみ通知する」という設定を作成しこれをデフォルトに選択したのは、先にも述べたように、セキュリティ設計に固有の多種多様性に基づいて選択した設計です。Windows 7 を開始する前、Vista の UAC 機能はプロンプトを表示しすぎるというフィードバックをたくさんいただいていました。新しい UAC の設定は、このフィードバックに応える形で設計されたものです。最近のフィードバックは、「私は『常に通知する』に設定すると思いますが、”一般の人” ももっと安全にする必要があると思います」という内容のものが多いです。セキュリティ意識の高い人がこのように感じるのは当然でしょうし、Windows 7 にはそのような人のニーズに応えられる設定があることをうれしく思います。しかし、いわゆる ”一般の人” と呼ばれる人の望みは何でしょう? そのような人々のために、安全設計原理を尊重しつつ、どうデフォルトを決めるかは、大変興味深い問題です。

Windows 7 のベータ版のデフォルト設定を決定する際、M3 ビルドを実行するふたつの一般人のグループの行動を観察しました。半分は「プログラムが… ときのみ通知する」の設定で、残りの半分は「常に通知する」です。この人たちの結果と態度を分析し、私たちの選考の参考としました。この調査およびカスタマーエクスペリエンス向上プログラム、Windows フィードバック委員会、ユーザーアンケート、社内のユーザビリティーテストで得られたデータは、ベータ版での選考材料となり、最終的な設定選択を確認するためにベータ版でどのように遠隔測定を行うかの情報になりました。

調査の主要な測定基準は、セッション中に 2 回のプロンプトを閾値としました (セッションとは、電源を入れてから切るまで、または 1 日のいずれか短い方です)。もしセッション中に 2 回以上プロンプトを見ると、人はプロンプトにイライラしコンピュータの利用を干渉していると思います。ふたつのグループの比較から、「常に通知する」の設定のグループは、2 回以上プロンプトが表示されるセッションが 4 倍近いことがわかりました (6.7 回に 1 回 vs. 24 回に 1 回)。また、私たちはサンプル中の何人がマルウェアをマシンに入り込ませたか (Windows Defender のクリーニング状況で測定) の統計も収集しましたが、ふたつのグループ間でマルウェア侵入率の意味のある違いはありませんでした。ベータ期間中も、広範囲の調査でもこの結果が正しいかどうか確認するために、データを収集し続ける予定です。

私たちはベータテスターや個人のユーザーから寄せられた UAC に関する建設的なフィードバックを大変うれしく思います。このようなフィードバックは、この設計選択で考慮し続けているトレードオフの観点で、“一般の人” に焦点を合わせた検証の役に立っています。今後も UAC の設計選択を改善し続けるため、フィードバックや遠隔測定データをモニターしていきます。

お分かりのように、UAC の議論は奥が深いものです。Windows 7 では UAC そのものと、マルウェアが PC に到達するのを防ぐ方法について改良されています。Vista のときから寄せられているフィードバックに応え、すべてのタイプの人に対して適切な使い勝手とセキュリティを提供するよう一生懸命作業しています。私たちは着実に進展していると信じていますし、UAC の変更に対するフィードバックに注意深く耳を傾けています。Windows 7 に対する情熱およびフィードバックに対し、重ねて心よりお礼申し上げます。みなさんの一人ひとりが望むように機能を実装することはできませんが、さまざまな視点を適切に評価するため、耳を傾けつつ真剣に取り組んでいます。私たちの目標は、すべてのタイプの人に対して実用的で、使い勝手がよく、安全な Windows を作成することです。

Jon

ユーザーアカウント制御 (UAC) のアップデート

e7blog — Mon, 02 Feb 2009 19:32:13 GMT

どのように私たちがユーザー アカウント制御 (user account control = UAC) を改善したかについて、非常に多くの反響が寄せられました。そこで、みなさんに対して簡単に情報のアップデートをしたいと思います。多くの方々は自分にあった設定にされたようで、寄せられたフィードバックをうれしく思います。ここでは、デフォルトの選択について詳しく見ていきます。 --Steven

前回の投稿では、UAC の「なぜ」と、UAC の Windows、エコシステム、およびユーザーに対する意味合いについて論じました。また、寄せられたデータやフィードバックに対処してよりよいものとするため、私たちに必要なものは何かということもお話しました。このブログの投稿では、私たちの対応についてとベータのビルドでどうなるかについて、詳細をお知らせしたいと思います。

前回の投稿でも述べたように、UAC の目的を支持してくださったみなさんからのコメントは、有益で重要なものです。UAC は、ユーザーがシステムを管理下に置き、長期間の保有コストを削減し、ソフトウェアエコシステムを改善できるようにするために作成されました。これらの目標に反しないようにすることは重要です。それどころか、私たちが同意した目標を見失うことなく全体的なエクスペリエンスを向上させるために、寄せられたフィードバックを考慮し、遠隔測定に基づいて開発していきたいと思います。

ビルド 6801 を使用している方は、プロンプトの削減と改善された新しいダイアログメッセージによるメリットを感じていると思います。また、ユーザーが自分のシステムに対してより強い制御権を得るようにするための取り組みである、新しい UAC コントロールパネルもご覧になったことでしょう。管理者は UAC から受け取る通知のレベルをより細かくコントロールできるようになりました。UAC コントロールパネルは、スタートメニューの検索、アクションセンター、はじめに、および UAC プロンプトそのものからも開くことができるので探してみてください。もちろん、Vista からのおなじみの方法でもアクセス可能です。

図 1: UAC コントロールパネル

UAC コントロールパネルでは、4種類の設定から選択することができます:

すべてのシステム変更について常に通知する。これは Vista での動作です – システムレベルの変更 (Windows の設定、ソフトウェアのインストールなど) がなされると、UAC プロンプトが表示されます。
プログラムがコンピュータに対して変更を加えようとするときのみ通知する。この設定は、自分がコントロールパネルや管理タスクといった Windows の設定を変更する際にはプロンプトは表示されません。
プログラムがコンピュータに対して変更を加えようとするときのみ通知する、ただしセキュリティで保護されたデスクトップは使用しない。これは 2番目と同様ですが、UAC プロンプトはセキュリティで保護されたデスクトップではなく通常のデスクトップに表示されます。これはデスクトップの切り替えが遅い一部のビデオドライバーに対して有用ですが、セキュリティで保護されたデスクトップはユーザーの応答になりすまそうとするソフトウェアに対するバリアであることに注意してください。
通知しない。これは UAC を完全にオフにします。

寄せられたフィードバックから、お客様はコントロールと表示される通知の数のより良いバランスを求めていることがわかっています。前回の投稿でも述べたように、大勢の管理者 (または開発者) のお客様がこのバランスを求めています。私たちのデータによると、ほとんどのマシン (75%) は、管理者特権をフルに備えた単一アカウントで実行されています。

図 2. 2008 年 1 月から 2008 年 6 月までの1つ以上のユーザーアカウントを備えたマシンの割合 (サーバーは除く)

製品のデフォルトは、このようなお客様に焦点を合わせ、2番目の「プログラムがコンピュータに対して変更を加えようとするときのみ通知する。」を選びました。この設定は、自分がコントロールパネルなど Windows の設定を変更する際にはプロンプトは表示されません。代わりに、Windows 以外のアプリケーションによって要求された管理者レベルの変更 (新しいソフトウェアのインストールなど) に焦点を合わせられるようにします。追加の通知なしに、Windows の設定を頻繁に変更するのにより強い制御権が欲しい人々にとって、この設定は全体的なプロンプトの数を削減し、残りの見るべき重要な通知に神経を集中することができます。

このデフォルト設定は、多様なお客様の要望である適度な通知の変更をもたらします。同時に、新しいコントロールパネル (およびポリシー) によって、管理者が受け取る通知の数の設定を調整するのが簡単ですぐに見つかるようにしました。すべてのデフォルトの選択について、ベータの期間中ずっと最終製品のために決定するまで、私たちは寄せられるフィードバックやデータを注意深くモニターし続けます。

--UAC、カーネル、およびセキュリティのプログラムマネージャー

ユーザーアカウント制御

e7blog — Wed, 05 Nov 2008 15:29:35 GMT

このブログでは、Windows 7 のエンジニアリングという観点から話題を提供することを約束しました。パフォーマンスからユーザーインターフェイスまで、技術的なトピックや技術以外のトピック、シンプルなトピックや議論を呼ぶようなトピックなど、あらゆるトピックをカバーしていきます。今回は、ユーザーアカウント制御 (User Account Control = UAC)に関するポストです。執筆者は Ben Fathi (Core OS Division、副社長) です。UAC は、セキュリティ、アカウント、ユーザーインターフェイス、設計など、Windows アーキテクチャの多くの側面に関わる機能です。このポストには複数のメンバーが協力しています。

これまでどおり、ここでのポストから生まれる議論は貴重なものだと考えています。そして、今回のポストでは、控え目な読者からもコメントが寄せられるのではないか、というより、そうなると賭けてもいい (もちろん文字通りの賭けではありませんが) とさえ思っています。コメントを建設的に活かしながら、このトピックについて話し合っていきましょう。

ところで、blogs.msdn.com サーバーでは、スパムを減らすためにコメントの制御機能を使用することができます。しかし私たちはこの機能を制御しておらず、すべての「モデレータなし」オプションがオンになっています。目的から考えて、スパム保護規則を公開することはできません (また、そのような規則も知りません)。もし頂いたコメントが届かないようなことがあった場合はお詫びします。 -- Steven

ユーザーアカウント制御 (UAC) は、おそらく Windows Vista で最も論争の的になっている機能の 1 つです。なぜマイクロソフトはこのようなポップアップを追加したのでしょうか。実際にこれでセキュリティが向上するのでしょうか。誰もが単に [続行する] をクリックしているだけではないでしょうか。レドモンド（マイクロソフト本社、ワシントン州）でユーザーがレビュー担当者にフィードバックをしているのを実際に聞かれた方はいらっしゃるのでしょうか。さらに、この機能についてのテレビコマーシャルを見た人がいるのでしょうか…

Windows 7 に向けた取り組みの中で、私たちは UAC に厳しい目を向け、ユーザーのフィードバック、データ量、ソフトウェアエコシステム、および Windows そのものを調査してきました。まずは、UAC が生まれた経緯についてと、Vista でのアプローチを見てみましょう。

UAC の「なぜ」

技術的詳細はさておき、UAC は実際には、ユーザーのコンピューターに「システムレベル」の変更が行われる前にそれをユーザーに通知し、ユーザーがシステムを制御できるようにするためのものです。「望ましくない変更」は、ファイアウォールを無効にするウイルスや、知らない間にコンピューターを支配するルートキットなどのように、悪意のあるものである場合があります。しかし、「望ましくない変更」は、家庭用コンピューターで保護者による制限をかいくぐろうとする子供や、業務用コンピューターに禁止されたソフトウェアをインストールする社員など、権限の限られた人物からのアクションである場合もあります。Windows NT は、このような変更で必要とされる管理者特権を持たない「標準ユーザー」をはじめとして、複数のアカウントタイプを常にサポートしてきました。企業はほとんどの社員に標準ユーザーアカウントを提供し、少数の IT プロフェッショナルに管理者特権を提供することができます (通常はこのようにしています)。標準ユーザーは、たとえ偶然にでも、悪意のある Web サイトの閲覧や誤ったプログラムのインストールによってシステムレベルの変更を行うことはできません。大多数のユーザーがコンピューターに加えることのできる変更を制御することにより、ヘルプデスクに電話をかけることが減り、企業の総保有コスト (TCO) も削減されます。家庭では、保護者は子供用に標準ユーザーアカウントを作成し、保護者による制限を使用して子供を保護することができます。

しかし、企業および保護者による制限以外の場合、ほとんどのコンピューター (75%) には管理者特権をフルに備えた単一アカウントがあるだけです。これは、コンピューターには管理者が必要であるため、最初のユーザーアカウントが既定で管理者に設定されるということや、ユーザーは自分のコンピューターを管理していたいと考えるということ、を原因としています。ほとんどのユーザーが Administrator アカウントを持つことから、大部分のアプリケーションと一部の Windows コンポーネントでは、ユーザーがシステムに対してシステムレベルの変更を加えることができる、ということを前提とする環境が作り上げられてきました。この方法で作成されたソフトウェアは、上記のような企業ユーザーや保護者による制限付きのアクセス権を持つユーザーなどの標準ユーザーでは機能しません。さらに、すべてのアプリケーションにコンピューターへのフルアクセス権を与えれば、故意 (マルウェア) の場合でも、意図しない (ソフトウェアの不備) 場合であっても、システムに損害を与えるような変更が簡単に加えられる状態を、そのままにしてしまうことになります。

図 1. 2008 年 1 月から 2008 年 6 月までの1 つ以上のユーザーアカウントを備えたコンピューター (サーバー以外) の割合

Vista では、ユーザーアカウント制御は 2 つの重要な問題点に対処することを目的に実装されました。1 つ目は、ユーザータイプ間でのソフトウェアの非互換性であり、2 つ目は、システムレベルの変更に関するユーザーの知識不足です。私たちは、アカウントタイプを広げて、システムの最初のアカウントの既定タイプである、“保護された管理者 (PA)”を追加しました。PA ユーザーがシステムにログインする場合は、2 つのセキュリティトークンを与えられます。1 つ目は、ほとんどの基本特権に十分対応する標準ユーザートークンと同じで、2 つ目は完全な管理者特権を備えたトークンです。標準ユーザーは基本トークンだけを受け取りますが、必要に応じて別のアカウントから管理者トークンを得ることができます。

ユーザーが管理者特権を必要とする操作を実行しようとしていることをシステムが検出すると、画面が「セキュアデスクトップ」モードに切り替わり、ユーザーには承認を求めるプロンプトが表示されます。画面が「セキュアデスクトップ」に切り替わるのは、悪意のあるソフトウェア攻撃が UAC インターフェイスを模倣して (UI スプーフィング)、ユーザーに UAC プロンプトで、 [はい] をクリックさせようとすることを避けるためです。デスクトップがこの「セキュアな」状態にある場合、そのような攻撃を行うことはできません。このように、保護された管理者ユーザーはすべてのシステム変更を通知され、操作を承認するために [はい] をクリックするだけです。標準ユーザーにも同様のダイアログが表示されますが、表示されるのは、操作の完了に必要な管理者特権を得るために別のユーザーの管理者資格情報 (パスワード、スマートカード PIN、指紋など) を入力することのできるダイアログです。保護者による制限を利用する家庭のシステムの場合、保護者は自分のログイン名とパスワードを入力してソフトウェアをインストールすることで、システムに追加されるソフトウェアやシステムへの変更を保護者の管理下に置くことができます。企業の場合は、IT 管理者がグループポリシーを使用してプロンプトを制御することで、たとえばシステムの状態を変更できないことを通知するメッセージを標準ユーザーに表示することができます。

私たちが学んだこと

私たちは常に Windows の向上に努めており、ユーザーに影響を与える領域には特に注意を払っています。ここでは、エコシステム、Windows、およびエンドユーザーに関連するデータについて見ていきます (データそのものを取り上げてもこのポストの多くの読者が感じているかもしれない苛立ちやフラストレーションの説明にはならないことはわかっています)。

UAC は、ソフトウェアエコシステム、Vista ユーザー、および Windows 自体に大きな影響を及ぼしました。これまでのポスト中で言及されているように、ユーザーは Windows の機能をどのように使用しているかについて、いくつかの方法によって任意に匿名でデータを送信することができます (カスタマエクスペリエンス向上プログラム、Windows フィードバックパネル、ユーザーアンケート、実地試験中のユーザー、ブログポスト、および社内ユーザビリティテスト)。収集されたデータおよびフィードバックは、機能設計に関する意思決定の情報源となるとともに優先順位付けに役立てられます。これらのデータから、UACの影響に関して多くのことを学びました。

ソフトウェアエコシステムへの影響

UAC は、不必要に管理者特権を要求するアプリケーション数の大幅な減少をもたらしました。このことは、ソフトウェアの全体的な品質を向上させ、コンピューター上でシステムへの完全な管理者アクセス権を要求するソフトウェアが持つ本質的なリスクを軽減する要因になると思います。

Vista が使用可能になってからの数か月の間に、ユーザーは「セッション」の 50% で UAC プロンプトを経験しました。セッションとは、ログオンからログオフまでの間、または 24 時間の中で起こるすべてのことです。また、775,312 の一意なアプリケーション (注: これは Windows がサポートする一意なソフトウェアの数です) でプロンプトが生成されました (インストーラーとアプリケーション自体は同じプログラムとして数えられていません)。これは大きな数のように見えます。ソフトウェアエコシステムの多くが動作のために不必要に管理者特権を要求していたことから、この数は確かに大きなものだと言えます。ソフトウェアが更新されるのに伴い、管理者特権を必要とするアプリケーションははるかに少なくなっています。2008 年 8 月からのカスタマエクスペリエンス向上プログラムのデータでは、プロンプトを生成するアプリケーションとタスクの数は 775,312 から 168,149 まで減少しました。

図 2. UAC プロンプトを生成する一意なアプリケーションとタスクの数

この減少は、より多くプログラムが、実行のたびにプロンプトを出したり、偶然に管理設定やシステム設定を変更したりすることなく、標準ユーザーで正常に動作することを意味します。さらに、私たちは、コンピューターの使用期間が長くなるほどユーザーが新しいソフトウェアをインストールしたり Windows の設定を行ったりする頻度が低くなり、結果としてプロンプトが少なくなると期待しています。逆に、コンピューターが新しいときには、管理ニーズという意味では通常より多くの作業が行われると考えられます。カスタマエクスペリエンス向上プログラムのデータでは、Vista SP1 では 1 つ以上の UAC プロンプトが発生したセッションの数が 50% から 33% に低下したことが示されています。

図 3. 時間の経過に伴う“プロンプトあり”のセッションの割合

Windows への影響

すぐに現れた UAC の成果は、Windows のエンジニアリング品質の向上でした。現在では、システムへのフルアクセス権を持つ Windows コンポーネントの数ははるかに少なくなりました。また、現在もシステムにフルにアクセスする必要のあるすべてのコンポーネントは、ユーザーに許可を求めなければならなくなりました。データから、すべての UAC プロンプトの約 40% を Windows 自体が占めていることがわかっています。最も頻繁に表示されるプロンプトに注目してみると、このことがよりよくわかります。Windows コンポーネントは、Vista では、トップ 50 の UAC プロンプトのうちの 17 を占めていましたが、Vista SP1 ではトップ 50 のうちの 29 を占めています。Vista SP1 で目標とされたいくつかの改善により、コピーエンジンなどの頻繁に使用されるコンポーネントで Windows プロンプトが削減されましたが、さらに多くのコンポーネントで明らかに削減が可能であり、私たちはそれを行うつもりです。エコシステムでもプロンプトの削減に熱心に取り組んだため、トップ 50 のリスト内で Windows コンポーネントが占める数は増加しました。Windows には、Windows 7 でより根本的なアーキテクチャ変更の機会があるため、Windows 7 では Windows コンポーネントのプロンプトのさらなる減少が期待できます。ソフトウェアエコシステムと Windows におけるプロンプトの削減は、ウィンウィンの提案です。これにより、ユーザーは、システムを潜在的に不安定にさせるような変更を行わないソフトウェアの選択肢が広がったことに確信が持てるようになります。また、重要なプロンプトをより簡単に識別できるようになるため、ユーザーはシステムを管理下に置いていることについて、さらに自信を持つことができます。

多くのフィードバックが寄せられた 1 つの重要な領域に、Internet Explorer からのダウンロード中に発生するプロンプトの数があります。これは、アプリケーションのセキュリティダイアログとユーザーアカウント制御が重なった、よく見られる状況の具体例です。XP Service Pack 2 以降、IE は、インターネットプログラムを実行する前にユーザーに警告を発するセキュリティダイアログを使用しています。Vista では、多くの場合、これによって IE のセキュリティダイアログの後ですぐに UAC のダイアログが表示される二重プロンプトが発生しています。これは適切に対処すべき領域です。

図 4. 時間の経過に伴うトップ 50 内に占めるマイクロソフトプロンプターの数

ユーザーへの影響

デバイスマネージャの起動、ソフトウェアのインストール、ファイアウォールの無効化などの通常の操作に余分な 1 クリックがあると、ユーザーは紛らわしく感じたり、いらいらしたりする場合があります。ここに、Windows フィードバックパネルで受け取ったフィードバックの代表例を示します。

「私がコンピューターに実行するように命令したことについて何度も確認されるのはいやだ。」
「私が PC 上で実行するあらゆることに Vista から承認を求められているようで、腹が立つ。」
「どんな変更にも常に入力を求められるのはうっとうしいが、子供が何かを変更しようとしたときにパスワードを聞いてくるので、それは良いことだと思う。」
「とてもわかりにくく、面倒なこともあるので、ユーザーアカウント制御を簡略化してほしい。」

クリックが 1 つ増えることで、特にシステムに何が起こっているのかよくわかっている知識豊富なユーザー (またはやりたいことをただ終わらせようとしているユーザー) が面倒に感じる場合があることは理解できます。しかし、マルウェアや不備のあるソフトウェアが姿を現し、システムに潜在的な損害を与える前にユーザーの承認を得なければならないという意味では、UAC はほとんどのユーザーにとって潜在的な利点を持つ機能です。

これでシステムはよりセキュアになるでしょうか。すべての Windows ユーザーがあらゆる操作の因果関係を理解しているエキスパートだったとしたら、UAC プロンプトは本当に意味あるものとなり、悪意ある存在が滑り込む余地はありません。しかし、現実には、プロンプトを読まないためにプロンプトから利益を得られない (そして単にプロンプトを面倒に思う) ユーザーもいます。Vista では、UAC を無効にしている (一般に見つけにくい設定とされていますが) パワーユーザーもいます。私たちはこれを推奨しませんが、UAC を無効にする機能を評価するユーザーの気持ちもわかります。しかし、そうではなく、UAC プロンプトを読んで何が起こっているのかを理解しようとするユーザーの場合は、時間をかけて各プロンプトを分析し、それが望ましいことかどうかを判断するようにすれば、確実なセキュリティ上の利点を得られる可能性があります。ただし、私たちはこれまで、UAC をユーザーにわかりやすくしていませんでした。Vista の中のダイアログは解読しにくく、多くの場合覚えられない内容になっています。私たちが行なったあるラボ研究では、Vista で UAC ダイアログが表示された理由について詳しく説明できた参加者は 13% だけでした。質問されたときに、ダイアログを見たことを覚えていない参加者もいました。また、消費者管理担当者が Vista のプロンプトの 89% および SP1 のプロンプトの 91% に賛成していることもわかりました。私たちは当然、多数のプロンプトが出るためにユーザーが習慣で応答してしまい、重要なプロンプトに的を絞って自信を持って意思決定することが難しくなっているということに関心を寄せています。多くの人はそんなことは完全に予測の範囲内だと言われるでしょう。

図 5. 時間の経過に伴うプロンプトタイプごとのプロンプトの割合

図 6. 時間の経過に伴う許可された UAC プロンプトの割合

今後の展望

データとフィードバックが揃ったところで、そろそろ UAC の今後の発展について考えてみましょう。私たちはこれまでどおり、UAC に関して私たちが掲げている目標は好ましいものだと考え、この目標に反しない解決策を探すことこそ私たちの仕事だと自負しています。UAC はユーザーがシステムを管理下に置き、長期間の保有コストを削減し、ソフトウェアエコシステムを改善できるようにするために作成されたものです。これまでにわかったことは、Vista はその目標へ向かう途上にあり、私たちがその目標に反したことをしたと考えている人もいるということです。

私たちは、データおよびフィードバックから学んだことに基づき、Windows 7 では次の重要な問題点に対処する必要があると考えています。

重要なプロンプトが簡単に識別できるように、Windows とエコシステムの不要または重複したプロンプトを削減する。
ユーザーがさらに自信を持ってシステムを管理下に置いていると感じられるようにする。
ユーザーが自信を持って選択を行えるようにプロンプトに詳細な情報を示す。
制御をより容易にかつ明確に行えるようにする。

UAC がエコシステムと Windows にもたらした利点は明白であるため、私たちはそれが機能し続けるようにしなければなりません。標準ユーザーでより多くの作業を可能にしたことにより、UAC はシステムへの操作を一定ユーザーのみに限定して IT 管理者や保護者がより大きな制御権を得るようにするという目標を達成しました。上記のデータで示されているように、不必要に管理者特権を要求する外部アプリケーションと Windows コンポーネントの数は大幅に減少しました。これにより最も多く頻繁に寄せられる苦情である、表示されるプロンプト総数の削減、という直接の利益も得られました。また、将来的には、私たちはユーザーにとって最も重要だと思われるシナリオに着目して、そのようなシナリオに不要なプロンプトが含まれないようにしていきます。さらに、私たちは、「トッププロンプター」 (最も多くプロンプトを出すもの) に着目し、サードパーティソフトウェアメーカーおよびマイクロソフト社内チームと引き続き協力しながら、不要なプロンプトをさらに削減していきます。

さらに重要なこととして、UAC を Windows 7 用に進化させる中で、私たちはプロンプトそのものに関するユーザーのフィードバックや満足度の問題に対処していきます。ユーザーにフラストレーションがたまっているという強い意見をはっきりと聞きました。ユーザーは、プロンプトが頻繁すぎ、面倒で、紛らわしいと感じておられるようです。それでも私たちは、ユーザーがシステムにどのような変更が起こりうるのかを制御できるようにしたいと考えています。ただし、それは、全体としてより良いユーザーエクスペリエンスによってです。2 つの重要な原則に重点を置くことで、これを達成できると信じています。1) UAC 通知に対するユーザー制御の範囲を広げる。システムに加えられる変更について、引き続きユーザーが制御できるようにしますが、Windows 7 では、管理者としてシステムを使用している場合には、受け取る通知の範囲を決定できるようにするなどのオプションも提供します。2) ユーザーインターフェイスでより多くの関連情報を提供する。ダイアログの UI を向上させ、ユーザーがより深い理解と多くの情報によって選択を行えるようにしていきます。社内ユーザビリティテストを通じて、すでにこの原則に基づいた新しい設計概念を現実に動作させ、非常に肯定的な結果を得ています。参加者の 83% は UAC ダイアログが表示された理由について詳しく説明することができました。新しい概念は「シンプル」で、「確認済み発行元を強調」し、「ファイルの元の場所を提示」し、「意味のわかる質問を表示する」ことから、参加者は新しい概念の方を好みました。

最後に、これまでUAC の機能に対して肯定的な反応と否定的な反応の両方を得てまいりました。引き続き、UAC が標準ユーザーのエージェントとして、システムをよりセキュアなものにするために提供する利点を増強していく予定です。そうすることで、使い勝手の向上を求める皆様からの非常に多くのフィードバックに対しても、お応えしていくことができると考えています。

Ben Fathi

マイクロソフトのEngineering Windows 7 ブログ : Security

Windows 7 を守る － 保護者による制限

UAC のフィードバックとフォローアップ

UAC に関するアップデート情報

ユーザー アカウント制御 (UAC) のアップデート

ユーザー アカウント制御

Windows 7 を守る－保護者による制限

ユーザーアカウント制御 (UAC) のアップデート

ユーザーアカウント制御