2014 年4月9日をもっていよいよサポートが終了する Windows XP ですが、どうしても残さざるをえないというケースもあるようです。
ビジネスユースとなれば、なんらかの対応が必須といえます。
大規模なネットワーク環境内での端末は当然対策が進んでいることと思いますが、今回は小規模事業者を主眼に今後、 XP 端末をどのように運用すべきか考えてみました。
WindowsXP を残さなければならない理由とリスク
そもそも、 XP を残さなくてはならない理由はなんでしょう?
コスト的な問題を別にすると、その多くは XP 上でなければ動作しないアプリケーションにあると考えられます。
そして、 XP を使い続けることの最大の影響は微弱性などセキュリティ上の更新がなくなることによるウイルス感染の脅威だといえます。
マルウェアによる最近の遠隔操作ウイルス事件などを考えるとやはり怖いです。
互換インストールを試す
はじめに考えるべきは Windows7などの互換モードを使い、 XP 用のアプリケーションを動作させるという方法です。
互換モードは XP から加わった機能ですが、アプリケーションやインストーラに対して、古い OS かのように認識させ、動作させるというものです。
要は「誤摩化してしまう」ということですね。
意外とこれで動くというケースもあるようですので、まず試してみる価値はあります。
Windows7の Professional 以上なら XP モードを使うこともできますが、この場合はセキュリティも XP のものとなってしまうため、今回のケースでは意味がありません。
ネットワークから隔離
物理的にネットワークから切り離せばインターネットをはじめ、ネットワークからの脅威はなくなります。ただし、感染源はネットワークだけではないので、 USB メモリや CD ・ DVD などの外部メディアの管理は必須です。
また、実際にはデータの移動(サーバーや NAS につなげたい)やネットワークプリンタなどが必要となることが多いと考えられ、この方法を選べない場合もあるかと思います。
擬似的にネットワークから孤立させる
これは他のネットワーク上の機器より XP にアクセスさせないという方法です。
物理的にはネットワークにつながっているものの、存在を消す(ネットワーク上で見えなくなる)ことでリスクは格段に下がると思われ、かつ、 XP からは既存のネットワーク資産を使えるため、現実的な方法だと考えられます。
XP 端末の管理ツール→「コンピューターの管理」で「 Server 」と「 ComputerBrowser 」サービスの停止・スタートアップを無効に設定します。
これで XP はネットワーク内に表示されなくなります。(管理共有でのアクセスも不可)
さらに、ファイアウォールで ICMP パケットの「 echo reply 」を禁止して、 Ping にも応答しないようにします。
[コントロールパネル]→[ネットワークとインターネット接続]→[Windows ファイアウォール]を開きます。
[詳細設定]タブより「 ICMP 」内の[設定]にて[エコー要求の着信を許可する]のチェックを外します。
※ベンダー製のセキュリティソフトを使用している場合はそちらで設定が必要です。
また、ウェブサイトからのウィルス感染を防ぐため、 XP ではインターネット閲覧を禁止することが望ましいです。 IP アドレスは手動でデフォルトゲートウェイを未定義とすることで WAN 側に出られないよう設定します。
この手法は実際には XP 端末がネットワークに残りますので、鉄壁とはいえないかもしれません。また、 XP の継続使用を薦めるものでも安全性を保証するものでもありませんが、限られたコストと現状の中ではかなり安全性の高い対策だと考えられます。
