Windows XPのセキュリティー更新終了に思うこと

最近、TVのニュース番組や新聞などでWindows XP のサポート終了が1年後に迫っているという報道を耳にしたり、目にしたりする機会があり、マスコミの大雑把な報道の仕方にイラッっとくることがあります。
私もWindows XP Home を使用していますが、全く焦りを感じていません。マイクロソフトは私企業ですから、自社に都合の良い論理を作り上げて自社の新しいOSが売れるように誘導しますが、提供者の都合なんて無視です無視。自分に必要なアプリケーションがXPに入らなくなったとき、これがOSアップグレードの一つの目安。重要なのはアプリで、OSなんぞお菓子の外箱と同じです。箱の分際でユーザーに新しいものを買わせようとするとは何事ぞ!って感じます。

マスコミの報道も、マイクロソフトの発表をそのまま流しているだけ。自社の分析や考察というものが感じられません。報道組織内に情報システムは存在しないの?と、このニュースを耳にする度に感じてしまいます。

本日耳にしたニュース。
Windows XP を使用しているユーザーは、個人で20数%、企業で40数%がXPを使い続けているということで、企業の利用比率が高いことが問題だそうです。
アホかいな。

まず、WindowsXPのソフトウェア更新が打ち切られることが意味する点に関して考えたいと思います。
WindowsXPとは、OSとそれに付属するアプリケーションを指すはずです。OSとは、アプリケーションを動かすためのプラットフォームで、Officeアプリケーションやメールアプリケーションは、ソフト会社が書いたプログラムが、OS含に含まれているライブラリを利用することにより動いています。XPの更新が打ち切られるということは、WinXP用アプリケーション開発者がXPでのサポートを継続していたとしても、OSやライブラリにそれ以上の更新を行わないということを意味するだけです。セキュリティー更新が打ち切られたとしても、アプリケーション側でサポートが続けば問題ありません。

OSに限らずソフトウェアというものは、(不具合に限らず)穴がつきものです。
不具合というのは、設計者が想定していなかった入力パターンが偶然行行われたりすると、スペック外の動作をしてしまいデータが壊れたりする不具合などを指し、発見されたら修繕されることが望ましいものですが、穴(脆弱性)というのは人間が利用する場合は入力不可能な数値を強制的に入力するとか、わざと想定されていない値を電子的に入力してプログラムを誤動作させるような条件を含んでいます。たとえば、人間には1秒間に200回文字をキーボードから入力することは不可能であり、こういう状況を考慮したプログラムの書き方はしませんが、そこを機械を使って機械的に無理矢理入力してしまうような条件を作ってしまい、プログラムをクラッシュさせるわけです。(あくまでもたとえです。) こういう穴がプログラムにはたくさんあり、通常は目立たないため問題ありませんが、穴を探すことが好きな人間が世の中には存在しているわけです。WindowsXPに限らずWin7だろうとWin8だろうとたくさんの穴があり、WindowsXPの更新サポートが2014年4月で終了するというのは、この種の穴が見つかったとしても今後約1年間は重要度に応じて塞ぐけれども、それ以降はWinXPに関しては知らないよ!ということだと考えられます。

では、OSやアプリケーションに穴が空いている場合、利用するのは危険か?ということですが、穴が未知である場合は誰も穴の存在を知らないわけですから問題ありません。
穴が既知になってしまった場合でも必ずしも危険というわけではありません。
この場合を考察してみます。

(ケース1)WindowsXPが、ネットワーク(別のコンピュータ)に対してサービスを公開しない場合(フォルダーの公開、プリンターの共有)やネットワークに接続しない場合は、外部からの直接侵入経路はありませんから穴が空いていても侵入は不可能です。
ネットワークサービスを利用していないにもかかわらず侵入を許してしまうケースとしては、(ケース2)Webブラウザーやエクスプロラーのビュアー画面を使って怪しいページを閲覧することです。OSに空いた穴が原因でいつのまにかコンピュータへの侵入を許してしまうケースとしては、私はこれくらいだと考えています。
それよりも、(ケース3)Webブラウザーなどでダウンロードしたプログラムをインストールしてしまうことと、(ケース4)電子メールの添付ファイルを開いてインストールしてしまうことの方が脆弱性よりも余程危険で、これはWindowsXPであるかどうかは関係なくセキュリティー更新があるWindows7だろうと8であろうと同じです。
危ないのはコンピュータを利用しているユーザー自身が危険なプログラムを知らずに組み込んでしまう(組み込まされて)しまうことでしょう。(先日の「遠隔操作ウィルス」なんかはいい例です。これに関してもマスコミの報道はデタラメだと感じますが、また別の機会に。)

ケース毎に少し詳しく見てゆきます。
ケース1で、外部にサービスを公開してWindowsXPを使用している場合、通常ウィルス対策ソフトやセキュリティーソフトをインストールしていませんか?仮に、WindowsXPの更新が止まったとしても、このケース1に対してはインターネットセキュリティーソフトを常用することによって現状と同等のセキュリティーを確保できると考えられます。WindowsXPのパーソナルファイヤーウォールでも正しく設定していれば、サードパーティー製ファイヤーウォールと同等の安全性を確保できます。(ちゃんと設定してファイヤーウォールログを確認しなきゃ駄目。)ウィルスに感染したモバイルPCが持ち込まれているかどうかは、ログを見て確認します。

ケース2が最も深刻でしょう。Webブラウザーに関しては、IEを使わずFireFoxやChromeを使えばWin7,8並の安全なブラウズ環境を確保できますが、ファイルエクスプローラーやメディアプレーヤーなどIEを流用していると考えられるプログラムも存在しているのが恐いところ。この点に関しては、Windows XPは2014年4月以降、危ないかもしれません。

ケース3、ケース4はOSに関係なく常に危険です。アンチウィルスソフトやインターネットセキュリティーが組み込んであろうと無かろうと、誰が作ったかわからないプログラムをインストールすることは危険な行為です。

このケース2,3,4に関して、実は簡単に対策することが出来ます。
WindowsXPの場合、インストール後コンピューター管理者としてPCを使用する設定になりますが、別に「制限ユーザー」を作ることが出来ます。不便になる点もありますが制限ユーザー(管理者権限が必要な操作は実行できないユーザー)でパソコンを利用することにより、セキュリティー上安全に使用することが出来ます。新しいプログラムやハードウェアをインストールしたり更新するには管理者ユーザーが作業を行うことが必要があり、管理者の重要性が増し不便にもなりますが、安全とのトレードオフと割り切るしかありません。当然、管理者ユーザーはセキュリティーに関する十分な知識がある人だけが利用可能で、制限ユーザーとは別人ということにしておかないと意味がありません。アップグレードコストを掛けたくないなら代わりに手間を掛けるしかないのです。

ニュースでは、企業の半数近くがWindowsXPを使い続けていると報道していました。企業や組織の場合、生産活動のための道具としてPCを使用するわけで、利用者個人が好き勝手にアプリケーションを入れたり怪しいサイトを閲覧する必要は(建前上は)ないはずです。管理者以外がプログラムを入れたり、閲覧する必要がないエロサイトや動画掲示板を閲覧したりしない限りはサポート対象のOSと同等の安全性を確保できるはずです。
危ないのは、どちらかというと、好き勝手にアプリケーションを入れられるし、管理者権限で使用されていると思われる個人のWinXP利用者の方です。

このようにケース分けして考えてゆくと、WindowXPのセキュリティー更新が停止されることと、OSを更新する必要性は関係がないことがわかります。
リモートアクセス可能なマルチユーザーOSを利用する場合の基本的な使い方を守るだけです。

  • ウィルス対策、インターネットセキュリティーソフトを導入してちゃんと更新する
  • IEを使用しない
  • 利用者を制限ユーザーの権限で利用させる
  • ユーザーにプログラムを勝手に入れさせない

企業利用の場合の当然あるべき利用方法で、難しい話ではないと思います。セキュリティー更新が継続されているOSでも全く同じ話で、新しいWindowsを使っているからといって安全なわけではありません。私の知人に、Windows98の頃から、WindowsXP、Windows7とセキュリティー更新されているOSを使い続けているのに、約2年おきにトラブルを起こしている人がいます。セキュリティー更新を怠ったり、怪しいファイルを開くことが原因のウィルス感染なのですが、何度も繰り返してくれています。PCが危険な状態になるかどうかは、利用者の姿勢に依存するのです。
一括管理ポリシーから外れる作業を行うパソコンはどうしても必要になりますから、不安であればそれだけ優先順位を上げてサポートされているOSやアプリにアップグレードすればいいのです。

WindowsXP の更新時期として適当だと思われるのは、自身にとって必須アプリケーションがWindowsXPのサポートをやめる時でしょう。しかし、Windows7プリインストールPCを購入したのにXPに戻してまで使う理由は無いと思いますし、グローバルネットワークに接続して使用するサーバーやグローバルネットに持ち出して使用するモバイルPC、不特定ユーザーがアクセスする可能性がある社内サーバーにセキュリティーホールを塞ぐ手段がないOSを使うというのも危ない話です。
パソコン上で利用したいのはWebブラウザーと電子メールくらいで、プログラムは全てWebブラウザーから使っていて他のソフトは特に必要ないデスクトップ作業専用では、WindowsXP自体不要かもしれません。Ubuntu Linux を導入すれば、FireFoxとThunderbirdメールを利用できて、無料です。日本語入力も出来るし、無料でインストールできるアプリケーションは大量にあります。WinXPから移行するOSとしてUbuntu Linuxは最適と思います。Ubuntu上でVMを動かせば、その上にWindowsXPのディスクイメージを吸い上げて利用することも可能かもしれません。

いずれにせよ、「OSメーカーがサポートをやめるから新しいOSを買ってくれ」と言っても、それをそのまま公共の電波で垂れ流すマスコミの報道姿勢には呆れてしまいます。マスコミはマイクロソフトの犬なの?サポートが必要な消費者向け製品には携帯電話や自動車などがありますが同様でしょう。電波リソースは有限であるため電波を止めざるを得なくなれば、消費者に買い換えてもらうのは仕方ありませんが、サポートが切れても壊れるまで使いたい人は使うでしょ。自動車にしたって修理パーツが供給できなくなればやむを得ませんが、それは常識的な耐用年数を過ぎた後の話。ユーザーだって修理パーツが無くなった場合でも愛用品であれば自分で考えます。XPのセキュリティー更新停止を、誰もリコールに相当する危険レベルとは考えていないようですから、マイクロソフトのOSだけが特別な訳じゃありません。

過去に大量導入したWinXP PCを使い続けたい利用者の立場を考えて報道するなら、

  1. PC利用スタイルを限定し、不必要なサービスを公開しない
  2. 市販のセキュリティー対策ソフトを入れて、ログを取る、更新を怠らない
  3. 管理者権限では使用しない
  4. 必須アプリケーションメーカーの情報をちゃんと調べる
  5. Ubuntu Linuxへの移行とVMの利用を検討する

を検討すべきで、

  1. 外部公開サーバー
  2. モバイルPC
  3. 社内サーバー

のようなケースではXPからの移行を考えるか、Windowsのセキュリティーホールに関して知識がある人など(マイクロソフトは含まない。)に相談すべきという程度の分析をしたあとの情報を提供してもらいたいものです。

2013/12/07 追記

Windows XPのセキュリティー更新終了とその後の脅威の侵入ルートに関してのメモを追加しました。

Comments

  1. 1.PC利用スタイルを限定し、不必要なサービスを公開しない
    2.市販のセキュリティー対策ソフトを入れて、ログを取る、更新を怠らない
    3.管理者権限では使用しない
    4.必須アプリケーションメーカーの情報をちゃんと調べる
    5.Ubuntu Linuxへの移行とVMの利用を検討する

    条件的にこれでは
    結論としてパーソナルユースでは実質XPは使い物にならないってことですよね?

    あと、XPのサポートも通常サポート以外にも延長サポートで12年も特例で続いたわけだし、個人的にはMSがんばったな、と思いますがいかがでしょう?

    知識がある人もない人も閲覧することが出来るウェブ上に公開する「システム管理メモ」であるならば、むしろ早めの移行を推奨すべきかと。
    勘違いして意固地にXPを使う人が出てくるかもしれませんので。。。

    1. 私がメモで論じているのは、マイクロソフトの報道をそのまま垂れ流すだけのマスコミの姿勢であって、「視聴者の殆どはパソコン素人だから無難な情報を流しておくのが一番安全で、報道したマスコミの報道内容が批判を浴びることがないように報道しておけばいいんだ」という思惑が、Windows XPの更新プログラム終了報道に見え隠れしていることです。たまたま、「WinXPのセキュリティ更新終了」をテーマに書きましたが、その他の報道でも当たり障りがない、自局が非難されたりパンクすることがない報道内容ばかりであることに疑問を感じているということです。

      Windows XPの更新終了とユーザーの取るべき行動を論じるなら、WinXPは利用者にとってただの道具のわけですから、更新終了後どうすればいいかは所有者が自分の頭で考えればいいでしょう。道具を使うには道具の理解と使いこなす技術が必要になるのは当たり前のことです。幸いパソコンを利用することに免許は不要ですし、使い方を間違ったとしても直接人命に害を与えることはありません。パソコンを購入できる大人なのですから、自分が使っている道具を使いこなしていると思えば、そのまま使えばいいでしょうし、道具が合わない、思うように使えていない、時々コントロール不能になると考えるなら、使いこなせる道具に代えればいいだけです。

      ただし、そこには費用がついて回ります。

      使いこなせていないと感じる人が、費用を負担したくないなら時間を掛けてWinXPを理解すればいいわけです。時間は掛けられないが費用は掛けられるならWinXPを放棄すればいいでしょう。
      時間もお金も掛けられない人への解決策はありません。世の中そんなに便利に出来てはいません。

      費用を負担できて別のWindowsに買い換えたとして、OS安全な利用方法の基本に違いがあるわけではありません。新しいWindowsが自分の使いこなせる道具とは限りません。Windows Vista とWindows7にも同じくセキュリティー更新終了時期が訪れます。

      ・PC利用スタイルを限定し、不必要なサービスを公開しない
      ・市販のセキュリティー対策ソフトを入れて、ログを取る、更新を怠らない
      ・管理者権限では使用しない
      ・必須アプリケーションメーカーの情報をちゃんと調べる

      これらのことは、OSが新しかろうと古かろうと基本となる姿勢です。

      もし、私のこのメモを読んでいて、Windows XP を使い続けたくて、PC1セットを購入するほどの資金はないが、ある程度の費用はあると感じているなら話は簡単。

      ・ Apple の MacMiniを購入するのがお勧めです。
      ・ Windows XPで使用してたモニター、USBキーボード、USBマウス をそのまま利用し続けることが出来ます。(PS2接続なら、約1000円のアダプターが必要。)
      ・ AppleのMacOSは最新バージョンへのアップグレードが無料です。
      ・ そこにOlacle(元サンマイクロシステムズ)が無料で公開しているVirtualBoxをインストールして、WindowsXPをHDDごとコンバートして導入すれば、VM上でWindows XPを使い続けることが出来ます。(VMを使ったからといってWindowXPが安全になるわけではありませんので、その点は勘違いしないように。)
      ・ あとは時間を掛けてゆっくりMacOSを主体にしてゆけば、ユーザーをなめているとしか思えないマイクロソフトのOSともさよならできます。

      私のこのメモは、ただの判断材料の一つにしかなりません。Windows XPを使い続けることに不安があるなら、お金を掛けるか時間を掛けるかして適切な道を自分で選ぶしかありません。所有者のパソコンは所有者に管理責任がありますから、他人に判断してもらうことも出来ません。
      私個人としては、自分が利用したいアプリケーションがさまざまな要因からWindows XP上で使えなくなる、使いにくい状態になるときがWindows XP利用を終えるときだと考えています。

コメントを残す