Windows XP サポート終了後に安全に XP を使うベストプラクティス１０個

2014年4月8日(米国時間) をもって、マイクロソフト社による Windows XP のサポートが終了しました。

それに伴い米国ガートナー社の副社長でありフェローであるニール・マクドナルド氏が、 やむを得ず XP を使うためのベストプラクティスを同社のブログに掲載しました。

ここではそれに簡単な説明をつけてご紹介します。

SIer としては、このくらいはスラスラ説明できるべきですから、覚えておくとよいと思います。

1. 制限されたネットワークへ最小限度に接続する
   ネットワークを介した攻撃が主ですから、まずはネットワークに繋がない。繋ぐならば最初限度に、安全なネットワークに接続するということ。
2. アプリケーション制御ソリューション及びメモリ保護の実装
   IPS の導入あるいはマイクロソフトのグループポリシーオブジェクトに基づくソフトウェア制限等によって、XP 上で任意のプログラムが実行されないように制限を行なうということ
3. 管理権限の削除
   管理者以外のユーザーに対し、これは必須で対策すべきです。
4. 良くある攻撃経路 (すなわちウェブブラウズとメール) の解決
   ウェブブラウズとメールシステムを XP から削除して、 それを最新のサーバーベースのシステムから提供すること。
5. 他のソフトウェアを可能な限り最新の状態に保つ（オフィスも含め）
   たとえマイクロソフトによる Windows XP のサポートが終了しても、XP 上で動作する他のソフトウェアは他社等によりサポートされるものもある場合があります。それらは脆弱性を可能な限り減らすためにも最新版に更新すること。
6. XP システムを攻撃から守るためのネットワークもしくはホストベースの IPS の導入
   あなたの IPS ベンダーが引き続き、 XP に関しても脆弱性や攻撃を調べ続け、それらの攻撃から守るためのフィルターやルールを提供し続けることを確認すること。
7. マイクロソフトからの情報を監視
   今後マイクロソフト社は Windows XP に対する脆弱性の情報等を公開することはないでしょうが、Windows Server 2003 等に対する深刻な脆弱性は XP にも同様に適用される恐れがありますので、マイクロソフトからの情報には引き続き注意を払うこと。
8. コミュニティの情報に注意
   ユーザーコミュニティー共有される XP 情報に注意を払うこと。
9. XP に攻撃があったときのプランを事前に考えておく
   XP に何らかの問題が生じたときに XP をネットワークから切り離すなどの対策を、事前に考えておくこと。
10. 費用便益分析を実施
    上記を実装する場合の費用とリソース、 残存する XP システムをマイグレーションする場合、あるいはマイクロソフトのカスタムサポートを利用する場合について分析すること。

以上がベストプラクティストップ１０です。

尚、私見ではあまりカスタムサポートに頼る方法は当てにすべきではないでしょう。私はちょうど Windows 2000 が RTM する前にマイクロソフトに入社して、 サーバーサポートを担当しましたが、同時に NT4 のサポートもするのは非常に効率が悪く困難でした。

現在はその頃の反省を踏まえ十分な体勢が出来ていると思いたいですが、 普通に考えても技術的に古いシステムを同時にサポートするのは難しいですからね。

なるべく速やかに新システムへ移行すべきと思いますが、やむを得ず利用する場合は上記を気をつけましょう。