ワークプレース変革の好機「未来志向のWindows XPサポート切れ対応」（8）

社内の原稿執筆に時間を費やしており、前回からやや時間が空いてしまいました。年内にこのシリーズを終わらせるべく、続けていきます。

第7回は、新しいOS環境における現行XPアプリの稼働を実現するために、アプリケーション改修や仮想化による対応について見てきました。

今回は、Microsoft社のサポート切れ後も、Windows XPの利用を継続する場合（いわゆる延命時）のセキュリティ・リスク低減策について紹介していきます。ちなみに、リスクには低減の他に、保有、回避、移転、受容といった対応がありますが、Windows XP延命時にセキュリティ・リスクをゼロにすることはできません。従って、リスク低減という言葉を用います。

Windows XP延命時のセキュリティ・リスク低減

本記事では、主なリスク低減策として考えられる以下の内容を取り上げます。

ウィルス対策SWの導入・利用継続

第3回の記事において、各ウィルス対策SWのXPサポート期限を記載致しました。この期限を踏まえて、XPの更改スケジュールを検討している企業も出始めています。ただし、定義ファイルがきちんと更新されていることが前提となるため、定期的に各端末の状態を確認していく必要があります。 

バーチャル・パッチによる脆弱性保護

これは、前述のウィルス対策SWによるホスト型の防御とは異なり、不正な通信をネットワーク上で検知し遮断する対応策です。対象ホスト（今回はWindows XP端末）の脆弱性を狙ったウィルス・ワーム等の通信を遮断することで、セキュリティ・リスクを低減する方法です。具体的な実現方法としては、IPS（Intrusion Prevention System）ネットワーク上に配置します。

IBMでは、これを「仮想的にセキュリティ・パッチが適用されている状態を作り出すテクノロジー」（旧ISSにて開発）と捉え、バーチャル・パッチ（Virtual Patch）と呼んでいます。IBM Security Network IPSにおいて実装しています。

Virtual Patchには、民間最大のセキュリティ研究開発組織 IBM X-Force® の成果が活かされています。X-Force®では、OS やアプリケーションの脆弱性を発見すると、その脆弱性を狙った攻撃を検知するシグネチャー （X-Press Update、略称 ： XPU） を即座に開発し、IBM Security Network IPS に反映させます。Microsoft社がセキュリティ・パッチを公開するよりも早く、その脆弱性を突く攻撃を防御していた事例もあります。 このIPSをWindows XPが残るネットワークと外部ネットワークの境目に配置することで、外部からの不正な通信を受けるリスクを低減することが可能です。

注意点を挙げるならば、IPSを通過するネットワーク経由の攻撃通信に効果があります。IPSより内側のネットワークについては関与しないため、IPSの設置箇所については十分に吟味する必要があります。

 インターネット環境の分離・仮想化

インターネットを利用することにセキュリティ上の大きなリスクがあると考えるならば、インターネットの利用環境を分離する対応策があります。インターネットへの接続を仮想デスクトップで実現し、Windows XP端末にはその画面を転送する。いわゆる、クライアント仮想化技術、シンクライアント・システムで用いられている技術を利用します。これにより、インターネット上の悪意のあるデータが直接、Windows XP端末に保存されるのを防ぎます。

斬新に見えるこの方法は一部の企業ですでに利用されています。

次回は、このような対策を行おうとする企業を取り巻く課題、課題打開への糸口に関する話を進めます。