SAAJ近畿支部第143回定例研究会報告(ISACA大阪支部共催)(報告者:是松 徹)

報告者:No.0645 是松 徹

1.テーマ :「サポート期限切れOSの守り方」
2.講師  :ネットエージェント株式会社 代表取締役 杉浦 隆幸 様
3.開催日時:2013年12月14日(土) 15:00 ~ 17:00
4.開催場所:大阪大学中之島センター 講義室301
5.講演概要:

XPサポート終了間近で行うこととして、次の5通りの視点から解説いただいた。
真のデッドラインは、2014年4月のサポート終了直後ではなく、クリティカルな脆弱性が顕在化すると見込まれる時点(7月頃か)と認識すべきとのことである。

① 新しいOSに移行する。
② 互換機能を利用する。
③ 制限利用、隔離利用にする。
④ なんとかしてみる。
⑤ あきらめる。

(1)新しいOSに移行する。

ブラウザ、メール、Office2007以上を利用し特別なソフトはなしという標準的な利用環境では実施が容易で確実な対処方法である。OS移行の選択対象となるWindows8とWindows7では、操作の変更が大きいもののサポート期限の長さを含めたセキュリティ面の強度からWindows8が推奨できる。 OS移行時のチェクポイントとして、専用ハードや旧式ハード等のドライバが動作可能か、アプリケーションやドライバが64ビット対応できているか等に留意が必要である。 また、Office2003も同時期にサポート期限切れとなることを忘れてはならない。

(2)互換機能を利用する。

アプリケーションの互換モード(XPモード)や仮想化環境下でVMwareを利用する方法である。VMware上で動作させる場合には、ネットワーク機能はオフとしOSとのデータ交換をクリップボード経由とすることがセキュリティ面からの留意点である。

(3)制限利用、隔離利用にする。

インターネット、USBメモリを使用不可にする等の制限をかけ、外部からのデータ取り込みは、たとえば書き込み不可であるCDR、DVD-Rを利用するという方法である。隔離環境でのみ利用し、使用終了後も他の環境に移動しないようにする考え方である。

(4)なんとかする。

不要なサービスの停止を徹底する、代替の最新サービスに置き換える、不要なコマンドを削除する等の方法がある。 また、攻撃者が苦手とする傾向にあるパーソナルファイアウォールの活用は効果的な方法であるが、IEやOffice2003以前が存在すると、その脆弱性が狙われる可能性がある。

(5)あきらめる。

OSのセキュリティをあきらめただけで、すべてをあきらめるわけではなく、狙いを絞った対策を打つ考え方である。たとえば機密性確保に主眼を置き、不正侵入があることを前提に、多くの偽情報を本物の情報と混在させて判別を難しくする、デスクトップ・マイドキュメントは空にしてTrueCryptで暗号化したドライブのみ使用する、ネットワーク利用を制限する等により情報流出のリスク低減を図る方法がある。 最終的には、利用者にサポート期限切れのXPを使い続けることは不便であり、Windows8に移行する方が簡単・便利であると認識してもらうことが重要であると考える。

6.所感 間近に迫ったXPのサポート期限切れに向けた具体的な対処方法をセキュリティ確保の観点から多面的にお話いただき、広く普及し情報インフラとなったOSのサポート期限切れ発生時の課題について考える良いきっかけとなりました。 現実として、サポート期限切れまでに新機種への置き換えやOS移行という対策を100%はとれないという問題があると思います。個人用はもちろんのこと、企業用でもオフィスは比較的順調に対策が進みますが、たとえば工場の生産ラインで使用しているPCの置き換えが進まない等があると思います。この場合、「なんとかする」「あきらめる」の内容が、非常に参考になると感じました。 真に守るべきものを明確にして身の丈にあった対策をとる、リスク受容できるものは受容する割り切りを持つ等のセキュリティの基本的かつ現実的な考え方に立ち戻り、脆弱性満載と言われる環境下でもとるべき手段は多々あることに改めて思い至った次第です。

以上