2014年4月9日をもっていよいよサポートが終了するWindows XPですが、どうしても残さざるをえないというケースもあるようです。
ビジネスユースとなれば、なんらかの対応が必須といえます。
大規模なネットワーク環境内での端末は当然対策が進んでいることと思いますが、今回は小規模事業者を主眼に今後、XP端末をどのように運用すべきか考えてみました。
WindowsXPを残さなければならない理由とリスク
そもそも、XPを残さなくてはならない理由はなんでしょう?
コスト的な問題を別にすると、その多くはXP上でなければ動作しないアプリケーションにあると考えられます。
そして、XPを使い続けることの最大の影響は微弱性などセキュリティ上の更新がなくなることによるウイルス感染の脅威だといえます。
マルウェアによる最近の遠隔操作ウイルス事件などを考えるとやはり怖いです。
互換インストールを試す
はじめに考えるべきはWindows7などの互換モードを使い、XP用のアプリケーションを動作させるという方法です。
互換モードはXPから加わった機能ですが、アプリケーションやインストーラに対して、古いOSかのように認識させ、動作させるというものです。
要は「誤摩化してしまう」ということですね。
意外とこれで動くというケースもあるようですので、まず試してみる価値はあります。
Windows7のProfessional以上ならXPモードを使うこともできますが、この場合はセキュリティもXPのものとなってしまうため、今回のケースでは意味がありません。
ネットワークから隔離
物理的にネットワークから切り離せばインターネットをはじめ、ネットワークからの脅威はなくなります。ただし、感染源はネットワークだけではないので、USBメモリやCD・DVDなどの外部メディアの管理は必須です。
また、実際にはデータの移動(サーバやNASにつなげたい)やネットワークプリンタなどが必要となることが多いと考えられ、この方法を選べない場合もあるかと思います。
擬似的にネットワークから孤立させる
これは他のネットワーク上の機器よりXPにアクセスさせないという方法です。
物理的にはネットワークにつながっているものの、存在を消す(ネットワーク上で見えなくなる)ことでリスクは格段に下がると思われ、かつ、XPからは既存のネットワーク資産を使えるため、現実的な方法だと考えられます。
XP端末の管理ツール→「コンピューターの管理」で「Server」と「ComputerBrowser」サービスの停止・スタートアップを無効に設定します。
これでXPはネットワーク内に表示されなくなります。(管理共有でのアクセスも不可)
さらに、ファイアウォールでICMPパケットの「echo reply」を禁止して、Pingにも応答しないようにします。
[コントロールパネル]→[ネットワークとインターネット接続]→[Windows ファイアウォール]を開きます。
[詳細設定]タブより「ICMP」内の[設定]にて[エコー要求の着信を許可する]のチェックを外します。
※ベンダー製のセキュリティソフトを使用している場合はそちらで設定が必要です。
また、ウェブサイトからのウィルス感染を防ぐため、XPではインターネット閲覧を禁止することが望ましいです。IPアドレスは手動でデフォルトゲートウェイを未定義とすることでWAN側に出られないよう設定します。
この手法は実際にはXP端末がネットワークに残りますので、鉄壁とはいえないかもしれません。また、XPの継続使用を薦めるものでも安全性を保証するものでもありませんが、限られたコストと現状の中ではかなり安全性の高い対策だと考えられます。
