ここから本文です

この知恵ノートを「知恵コレクション」に追加しました。

追加した知恵ノートはMy知恵袋の「知恵コレクション」ページで確認できます。

知恵コレクション」に登録済みです。

再登録しました。

追加に失敗しました。

ノートに戻り、もう一度やり直してください。

すでに1,000件のノートが登録されています。

新しく追加したい場合は、My知恵袋の「知恵コレクション」ページで登録されているノートを削除してください。

追加できませんでした。

ノートは削除されました。

サポート終了後のWindowsXPを業務で使い続ける方法

ライターさん(最終更新日時:2014/5/4)投稿日:

  • ナイス!:

    2

  • 閲覧数:15252

印刷用のページを表示する

 

サポート終了後のWindowsXPを業務で使い続ける方法

WindowsXPのサポート期限が2014年4月に迫り、業務で使っているWindowsXPパソコンをWindows7やWindows8に買い換える必要が出てくると思う。しかし、業務パソコンの場合、家庭用パソコンと違い、必要なソフトウェアがWindowsXPまでしか対応していない、新しいソフトを導入すると過去のデータが引き継げない、業務専用に特注したソフトでPCの買い替えで済む話では無い等、様々な理由でWindowsXPからWindows7やWindows8への移行が出来ずにいる企業む少なく無いかと思う。


こういう時に利用したいのが、LinuxというOS。しかし、遊び用のPCであれば今までWindowsXPを動かしていたPCにLinuxをインストールして、Linux専用機として使うという発想になるが、あくまで業務前提の利用なので、その様な素人発想でLinuxをインストールさせるつもりは無い。


シンクライアントサーバの構築

Linuxを遊びで使うか仕事で使うかで使い方が異なって来るが、シンクライアントという方法は今までのパソコンはそのまま利用し、特定のソフトや企業情報の流出を防止する為にデータをパソコンに置かずリモートサーバ上に保存し、文書作成やメールの作成/閲覧、インターネットの閲覧などをサーバ上で操作するという事になる。


サポートの終了したWindowsXPを使い続ける危険性は、サポート終了後にセキュリティホールが発見されても、マイクロソフト社はセキュリティホールを塞ぐ為のパッチを当てない事になる為、今後どの様なウィルスによって攻撃されても一切責任を負わないという事。


ではなぜLinuxなのか。理由は単純で、Linuxの場合はWindows用に作成されたウィルスは感染しない事、万が一メールによる感染やWebサイトを見ただけで感染する様な悪質なサイトがあっても、Linuxの場合はウィルスを実行する為の権限を与えなければならないという操作が必要になる。


Windowsの場合は、EXEファイルを実行させようとすれば実行権限など必要なく簡単に実行できてしまう弱点がある。これはパソコンが苦手な人にとっては便利な機能だが、その便利さを逆手にとってウィルスを実行させようとする悪意のあるプログラマにとっては好都合な仕組みでもある。


Linuxの場合はパーミッションの設定があり、単にウィルスをダウンロードしただけでは実行する事は出来ない。必ずパーミッション設定によって「○○のファイルを実行ファイルとする」という権限を与えなければならない。


シンクライアントサーバをLinuxで構築する事で、今までのパソコンはWindowsXPのまま利用出来る上、インターネット接続やメールの確認/作成といった外部との連絡に必要な部分だけLinuxを利用し、社内の業務システムなどWindowsXPに依存しなければならない部分は今まで通りWindowsXPを利用する方法で対処する。


ネットワークはLANのみ

社内のパソコンをWindowsXP間でフォルダの共有などを行う分には問題無いが、外部からのウィルス侵入を防止する必要が出てくる為、WindowsXPから直接インターネットやメールを使う方法は禁止しなければならない。


なぜ禁止かというと、単純にパソコンの電源を入れておくだけでウィルスに感染してしまう危険性もある為である。メール感染やフリーソフトの拾い食いでウィルスに感染してしまう場合もあるが、ルーター側で適切なファイアウォールの設定も行わず、単にインターネットが使える設定を試行錯誤して使える状態にしたという事であれば、全てのポートを開いている可能性もある。


そうした場合、特定のポートの脆弱性を狙い外部からインターネットを介し攻撃を受けるだけでセキュリティホールの隙を突かれ、何もしていないのに不正に侵入されパソコンが乗っ取られてしまう可能性もある。


また、万が一にも社内のパソコンの1台がウィルスに感染してしまった場合でも、直接インターネット接続出来る状態であれば社内の情報が漏洩する可能性もある。その防御の為にもWindowsXPパソコンから直接インターネットに接続するネットワーク構成は避けた方が良い。


シンクライアントを意識したネットワーク構成

サポート終了後のWindowsXPを使い続ける上で、一番の懸念事項がインターネット接続となってしまう。その為、ネットワークはLANのみとしWindowsXPから直接インターネットに接続する事を避ける必要があるが、業務の中でメールを使ったりインターネットを使って取引先情報を入手したり、銀行システムをアクセスしたりという事も多々発生する。


そこでシンクライアントを意識したネットワーク構成を構築すると、下図の様になる。


 svimg1

この図では、ブロードバンドルーターとスイッチングHUBの間にシンクライアントサーバが入り込んでおり、インターネットへ接続出来る機器はシンクライアントサーバのみとなる。


一方のWindowsXPパソコンはスイッチングHUBで他のWindowsXPパソコンやシンクライアントサーバとの接続は可能であるが、インターネットへ接続する為のルーターへはアクセス出来ない為、インターネットには接続出来ない。


ではどうやってインターネットに接続するかというと、ここでシンクライアントサーバが登場する。シンクライアントサーバはあくまでリモートデスクトップの様な存在で、WindowsXPからシンクライアントサーバをリモートで操作してブラウザを立ち上げたりメールソフトを立ち上げたりする。


この時に利用されるソフトがVNCというソフトであるが、VNCを使う事でWindowsXPからシンクライアントサーバを遠隔操作出来る。シンクライアントサーバとクライアントの関係はあくまで遠隔操作でサーバを利用する仕組みである為、この方法を使いLinuxを扱う事でウィルスの侵入を防止する事が出来る。


シンクライアントのイメージ

シンクライアントサーバはあくまでWindowsXPから遠隔操作を行う事が前提となっているが、遠隔操作がピンと来ない人もいると思う。WindowsXPの場合はコントロールパネルでユーザを追加すれば1台のパソコンを複数の人が利用出来るが、あくまでパソコンは1台しか無いので誰か1人が利用すると別の人は利用出来ない。


それに対し、シンクライアントサーバは同時に複数の人がサーバへアクセスしても、各個人ごとに割り当てたユーザをあたかも自分がサーバを占有しているかの様に利用出来る。この辺りがサーバOSとパソコンOSの違いであり、サーバOSは複数の人が同時に利用していても自分が占有しているかの様に使える利点がある。


例えばシンクライアントサーバにAさん・Bさん・Cさん・Dさんという4人のユーザを作り、それぞれVNCによる個別の環境を提供しておけば、4人が同時にサーバへアクセスしても、パソコンと同じ様に個人フォルダがあり、文書作成やメール作成/閲覧など4人が別々の作業を行っても使っている本人からすれば、そのサーバを一人で使っている様な感覚になる。


サーバを立てるもう一つのメリット

シンクライアントサーバを立て、WANとLANを分離し、シンクライアントで社内と社外を完全に分ける事でサポートの切れたWindowsXPを利用し続けても外部からのウィルス攻撃を防御する仕組みを構築出来たり、万が一ウィルス感染が発生しても重要なデータの外部流出を抑える事も出来る。


そして、サーバをシンクライアントサーバとして利用するだけでなく、他のサーバとして利用する事も可能になる。そのサーバとはメールサーバやファイルサーバといったシンクライアントサーバとは何の関係も無いサーバを同じ機械の中に構築する事も出来る。


今まで社内メールなどをプロバイダのメールボックスを利用したりフリーメールを利用して連絡を取り合うなどといった企業も何度か見た事はあるが、それでは会社のドメインが別会社になっている為に先方に解りにくかったり迷惑メールとして片付けられる場合もある。


特に、ドメインだけ偽装して実際にはプロバイダのメールボックスを使っている様な場合、spfという認証(送信元のドメインとDNSサーバ上のIPアドレスが一致するかの認証方法)の段階で偽装メールと判断され自動的に迷惑メールに分類されたりプロバイダ側のメールサーバで破棄される事もある。


メールサーバをシンクライアントサーバと同じ機械の中に作っておくと、プロバイダのメールボックスを利用する必要もなく、容量制限も自由に設定出来る。また、悪意を持った社員が重要書類をメールに添付して外部に流すといった場合も、添付ファイルそのものをメールサーバで削除する事も出来る。


アルバイトや契約社員、派遣社員などを雇っている会社で会社の情報を流出させる事故は結構見かけるが、それをシステム的に防御出来ないのもプロバイダから借りているメールボックスをそのまま利用しているからに過ぎない。


全てをシンクライアント化する訳では無い

WindowsXPをそのまま利用する上でサポート終了後のOSをインターネットにそのまま接続する事が危険という事でシンクライアントを活用した記事を書いているが、別に何もかもシンクライアント化するという話では無い。


特に業務システムなど特注でソフト会社に発注を行い数百万・数千万円の開発費を投じて社内専用のシステムを作ってもらったものの、Windows7やWindows8では動かないという問題が発生したり、パッケージシステムでも新しいOSに買い換えるとソフトの問題でデータの移行が出来ないなど、業務に支障が出るが為にWindowsXPを使い続けなければならないという状況になっている場合、WindowsXPを使った今までの業務と、シンクライアントを使ったネット/メールの活用を使い分けるという話である。


例えばオフィスソフトもWindowsXPにはマイクロソフト社のMS-Officeを使っている企業も少なく無いと思う。シンクライアントサーバはLinuxだからMS-Officeが動く訳では無いが、互換オフィスとしてLibreOfficeやOpenOfficeといったソフトも利用出来る。


ただ、互換とは云え完全に同じ動きをしたり同じ様な表示が保てたりという訳ではなく、あくまでオフィスで作成したファイルを読み込んで表示・編集出来るという意味であり、構成まで完全に一致するというものでは無い。


特にVBAを使った社内システムを構築している企業も少なからずいると思う。そういう場合はどうしてもMS-Officeを使わざるを得ない。


文書作成を行っても、それを電子メールで送るなどといった個人レベルの利用ではなく、業務の上ではOfficeで書いた文書を印刷する場合も多々ある。そういう時に取引企業と社内で表示方法が違い、社内では綺麗に見える文章が取引先に送ってみると、おかしな表示になっているという事もある。


そういう意味では何でもシンクライアントサーバを活用してインターネット・メール・互換オフィスによる文書作成・印刷などを行うのでは無く、外部との連絡が必要な時だけシンクライアントサーバを活用するという方法が良い。


USBメモリーは絶対に無効化する事

社内業務で作成した文書を取引先などに持っていったり、逆に取引先から文書をもらって来る場合、USBメモリーを介して文書を取り出したり保存する場合もあるが、これは一番危険な事。


ウィルス感染という意味ではUSBメモリーを差し込んだだけでウィルス感染してしまう事もある。設定次第でそのウィルス感染を防御する事も出来るが、情報漏えい防止としてもUSBメモリーの利用は避けた方が良い。


意外と知られていないが、WindowsXP以降のOSはUSBメモリーを差し込んでも利用出来ない様にする事が出来る。


情報の漏洩を考慮したUSBメモリーの無効化は、何もWindowsXPに限った事では無いが、媒体の小ささが逆に仇となり、会社帰りにポケットから落としたり、飲み屋で落としたりという事もある。データを暗号化したりプロテクトが施錠出来るUSBメモリーであれば、多少は危険度を下げる事は出来るが、実は暗号化されたUSBメモリーも解除する方法が密かに出回っている。


そう考えると、いくら暗号化されているから落としても大丈夫という考えでは無く、まず持たない事が重要、そしてパソコンにUSBメモリーを挿しても機能しない設定が必要になってくる。この様な考えはセキュリティを懸念する上で一番最初に取り組んでおかなければならない。


http://www.atmarkit.co.jp/fwin2k/win2ktips/629usb2/usb2.html


シンクライアントサーバを構築する為には

ここまで書いてきて、WindowsXPを使い続ける前提でLinuxサーバを用意しシンクライアントサーバを構築してパソコンとサーバの使い分けの話を書いて来たが、実の所シンクライアントサーバの構築は素人が簡単に出来るものでは無い。


この様な構築はWindows Server 2012などサーバ用Windowsを使った構築の方が簡単に構築出来る。


問題はWindowsでシンクライアントサーバを構築する場合、クライアントアクセスライセンス(CAL)の契約や最新のサーバ機器が必要になり、CALの契約数で利用者数が制限されてしまう事が問題となる。


金銭的な問題が無いのであれば、迷わずWindows Server 2012を用意し、最新のサーバ機器を購入してCAL契約を行い、社員一人一人にアカウントを作成すれば、それぞれの社員がサーバをあたかも占有しているかの様な環境を提供出来る。


しかし実際にWindowsXPからの買い替えが金銭的な負担になり買い替えが出来ないという企業も少なく無い。


Linuxは元々OS料金が無料のものもあれば有料のものもある。RedHat Enterprise LinuxというLinuxは有料ではあるがサポートもしっかりしている。ただ、サポートとは云え質問権があり質問回数も決まっている。


こういう時に利用したい企業がLinuxインストール代行業者。一般にメーカー機器の代理店を行っている企業から個人で企業の構築を請け負っている人もいる。


もちろん、勉強さえすれば自分一人でサーバを構築する事も出来る上、ハードウェアの知識さえあれば型落ちの機器やリース終了によって売却された古いサーバ機器を使い構築する事も出来る。


ただ、自分一人でLinuxサーバを構築し、シンクライアントサーバやメールサーバを立ち上げ、社内の業務の一環として社員にアカウントを提供し、リモート環境を提供出来る技術を身につける為には1ヶ月~2ヶ月程度の勉強では到底理解出来ない。


専門業者がLinuxの構築代行を請け負っている理由はその様な知識を身に付け、一般人がパソコン操作レベルで満足する様な技量とはほど遠く、数年かけて勉強して来た結果クライアントの要求に答えるだけの構築技術を身につけているに他ならない。


私の場合

私の場合はもちろんLinuxでシンクライアントサーバを構築している。また、メールサーバやWebサーバも構築しているがシンクライアントサーバとメールサーバ/Webサーバは分離している。


利用目的はWebアプリケーション(スマホ/携帯電話/PC)の開発・提供・運営とそれぞれあるが、開発するにしてもWindows上で開発すると万が一ウィルス感染によって不正コードを埋め込まれないとも限らない上、不正プログラムによってFTPから侵入されないとも限らない。


その為、パソコンでの開発も行わず、Webサーバとのプログラムの出し入れもすべてシンクライアント上のFTPを使って送受信している。


外出先や帰省先からシンクライアントサーバにアクセスする場合もあるが、その場合はSSH認証を通して、通信そのものを暗号化した上でブルートフォースアタックを防止する対策も取っている。


最近はタブレットの登場で自宅のPCを外出先からリモートでアクセスする人も多くなって来たが、遠隔操作を行う為にはルーター側で特定のポートを開放しておく必要がある。しかし、その開放を逆手に取って不正侵入して来るプログラムや人的な不正侵入も実際に起こっている。


この様な不正侵入を防ぐ為に、リモートで必要なポートの開放は行わず、SSHを使ってその通信の中にトンネルを作り、シンクライアントサーバへアクセスするという方法を利用している。


仮にSSHがブルートフォースの攻撃にあっても、共通鍵というサーバとパソコンで一致する鍵が無ければ通信出来ない。また、ハッキング対策としてデフォルトポートは使用していない。


ネットワーク構築に無知な人が見様見真似でネットワークを構築し、タブレットから自宅のPCを操作出来る仕組みを構築してしまうと、逆にそのアクセスルートを乗っ取られ、自宅のPCを第三者が不正にアクセスしてしまう可能性もある。


こういう構築は素人が簡単に手をだすべきでは無く、自身で技術的な知識を身に付けるか、知識を持った人に依頼しないと、企業の情報漏えいに繋がったり、ウィルスを埋め込まれたり、個人的な写真なども第三者に渡ってしまう可能性もある。



アドバイス(このノートのライターへのメッセージ)を送る

このノートはどうでしたか?  いいと思ったことや、こうしたらもっとよくなるといったメッセージを送りましょう! ノートの内容やライターについて質問がある場合は、Q&Aから質問してみましょう

アドバイスを送るには、
Yahoo! JAPAN IDでのログインおよび
Yahoo!知恵袋の利用登録が必要です。

利用登録ナビへ

感想アドバイス履歴

  • 現在アドバイスはありません

このノートに関するQ&A

このノートに関するQ&Aは、まだありません。

このノートについて質問する

このノートについてライターの方に質問できます。

※ライターの方から必ず回答をいただけるとは限りません

※別ウィンドウで開きます

この知恵ノートのライター

グレード

グレード知恵ノートのグレード:1-2

hapi0622さん

超ガラケー派。スマホをガラケーの代わりに使うつもりは一切無...[続きを見る]

ピックアップ

【裏技】レンジでできる!フレ...
 はじめに「浸す時間無しでフレンチトーストが食べたい!」そ...
≪デキる男のスーツ道場≫ネクタ...
 はじめにデキる男はネクタイの巻き方もサマになっています。...
きゅうりのつくだ煮
☆きゅうり 6本くらい(800g)塩大さじ1で、三ミリくらいの輪切...
知恵ノートを書いてみませんか?知恵ノートの書き方はこちら

知恵ノートとは?

役立つ知恵情報は、Yahoo!知恵袋公式Twitter@yahoochiebukuroをフォロー
本文はここまでです このページの先頭へ