6/22/2017

Windows XPにパッチを当て続けることは間違いか?

シュナイアーのブログより。

先週、Microsoftは正式にサポートしていない16年前のオペレーティング・システムWindows XP向けにセキュリティパッチを公表した。先月、MicrosoftはWannaCryで使用されている脆弱性に対するWindows XPのパッチを公表した

これはいい考えだろうか? この2014年のエッセイはそうではないことを示している:

ゼロデイ欠陥とその悪用は不運なことであり、Microsoftは人々にインターネット・エクスプローラの使用を止めさせる政府の要請に苦しんでいる可能性が高い。同社には3つの対応方法があった。何もしなかった可能性がある -- その大物に執着し、サポートの終了はサポートの終了を意味すると断言し、人々は別のプラットフォームに移るよう働きかけた。また、Windows XPのサポート・ライフ・サイクル全体をさらに数年に渡り拡大して全体的に緩和し、Windows XPのユーザベースを重要ではないレベルまで縮小するのを待っていたのかも知れない。あるいは、Windows XPがサポートされていないと主張しながら、このケースは何らかの形で特別だと主張し、パッチをリリースする可能性がまだある。

これらのオプションはどれも完璧である。EOL(end-of-life)に向けた強硬なアプローチは、Microsoftが支援を拒否することを悪用する人々がいることを意味する。完全な方向転換は、Windows XPを市場から一掃するまでさらに時間が掛かることを意味し、開発者や管理者にとっても頭痛の種になっている。

しかし、Microsoftが取った選択肢は、すべての史上最悪である。古いオペレーティング・システムを捨てるITスタッフの努力を損ない、Windows XPをサポートしないというMicrosoftの主張を台無しにし、Windows XPユーザのセキュリティを改善させることを何もしていない。利点は? せいぜいユーザにセキュリティ改善の追加日数を買わせるくらいだ。それがどのくらい価値があったのかは言うまでもない。

これは困難なトレードオフで、モノのインターネットはさらに悪化するだろう。私からは:
我々のコンピュータや携帯電話のセキュリティは、それらを定期的に置き換えるという事実から来ている。我々は数年おきに新しいノートパソコンを購入する。新しい携帯電話をさらに頻繁に手に入れる。これは組込み型IoTシステムの全てに当てはまるわけではない。それらは何年も、何十年も続く。我々は5年、10年ごとに新しいDVRを購入するかも知れないが。我々は25年ごとに冷蔵庫を置き換える。我々は空調設備をほぼ決して置き換えない。既に銀行業界は、ATMに組み込まれたWindows 95のセキュリティ問題に取り組んでいる。同じ問題は、モノのインターネットでも発生するだろう。
少なくともMicrosoftには、Windows XP用のパッチを作成できるセキュリティ・エンジニアがいる。あなたの16年前の空調設備や冷蔵庫のために、それらがセキュリティ・パッチに対応できると仮定しても、パッチを作ることができる人はいないだろう。