https://jp.quora.com/JR%E3%81%AF%E6%9C%AA%E3%81%A0%E3%81%ABwindows2000%E3%81%A7%E7%B5%84%E3%81%BE%E3%82%8C%E3%81%9F%E3%82%B7%E3%82%B9%E3%83%86%E3%83%A0%E3%81%8C%E5%8B%95%E3%81%84%E3%81%A6%E3%81%84%E3%81%9F%E3%82%8A%E3%81%99%E3%82%8B
インターネット接続やUSBメモリなど外部との接続が遮断された機器なら、セキュリティの問題は無いでしょう。
JRの電光掲示にWin2000が使われていたらしいですが、この様な機器だと、制御に使われているのは一般的なPCではなく、産業用PC基板を組み込んでいるかと思います。産業用PC基板では、素早い最新OSへの対応はなかなか難しい様ですが、逆に古いOSに対して、長期間安定的に供給するのが普通です。Contecなど、業界では名の知られた有名なメーカーがあります。Win2000はマルチタスクで一応モダンなGUIを装備しつつ、シンプルでハードウェアに高いスペックを要求しない安定したOSですから、機器組み込みに使われ続けるのもうなずけます。もしかしたら今もライセンス供給が有るのかもしれません。
ちょっと違う話なのですが、1995年頃、PC9801(フロッピーベースのMS-DOS)+QuickBasic+8086アセンブラで、モーターに高速で精密な特殊動作をさせる制御装置を組んだ事があります。3台作って、その内一台はなんと25年以上、24時間運転で稼働してました。その設備、数年前、まだ使う必要があるが、保守が困難のため更新を打診されました。流石に今の時代のモーター制御には、高速なPLCとモーションコントローラーという優れた制御装置があり、そのなかの標準の機能を使って、シンプルに片付けることが出来ました。
しかし、PC9801、24時間稼働で25年も、よく動いてくれたものです。ハードがシンプルなので、壊れにくいのでしょうね。
Windows2000どころか、数年前に田舎の駅に行くと博物館に置くようなOSもない緑一色の端末で、フロッピー使っている光景もありました。
メンテは大丈夫か?と言われると大丈夫ではありません。
大抵、大手IT企業から購入しているので、万が一の時はメンテナンスはしてくれます。
しかし、その辺の人も引退するので流石にもう無理です。
Windows2000に関してはマイクロソフトが推奨しておりませんし、アップデートも提供していません。
セキュリティに脆弱性がある可能性がありネットワークに接続して利用する事は危険です。一刻も早く別のものに変える必要があります。
有名どころでは、JR東日本の行き先表示のシステムが2000だったという話がありますね。
別にスタンドアロンだったり社内の閉じたネットワークにしかつながっていないPCなら、外部から侵入されたり何か仕込まれたりみたいな事は起きないし、別に壊れてないし不具合もなく快調ならば古くても良くね?みたいな感じで古いままで動き続けている…という流れです。
もっと時代を遡って、DOSの時代やさらにその前のBASICの時代まで行っちゃう機械もあったりします。ここまで突き抜けたらもう対応する悪質ソフトや攻撃者が存在しないんで、むしろ安全ってところまでアリです。敵は己のみ!
そういったシステムではOSの更新なんてしないのです。
最強のセキュリティ対策は物理的な対策です。インターネットから物理的に隔離されていればOSの脆弱性は大きな問題ではないです。インターネットからの「不正な入力」が無ければ攻撃ができません。
ソフトウェアに脆弱性の最大の原因は、外部から(インターネットからとは限らない)の入力チェックが甘くて不正なデータを受け入れてしまっている事が原因です。二番目の原因は外部システムにデータを出力する際に適切なデータ出力の無害化をしていないからです。
Top 10 Secure Coding Practices
これをマトモに実装しているソフトウェアが少ないので脆弱で信頼性が低いソフトウェアだらけなのです。
インターネットに接続せず、信頼できる管理者のみがシステムの操作をできるなら、セキュアなソフトウェアであるのかどうか?はあまり重要でなくなります。
メンテナンスを容易にし、システムの堅牢性を保つため、「インターネットに接続されず、また外部からのメディアを許容しないシステム」は、OS の更新をしない事がよくあります。
他に私の知る事例では、大きな病院で使われている、電子カルテなどのデジタル情報を処理する医用システムの端末 OS が、Windows 2000 Professional だったりします。
インターネットに接続されず、外部からのメディアを許容しない、という点が重要です。 ここが保証されないと、最新の OS を使わざるを得なくなります。
OS 上で組み上げるシステムは、どんなものであれ、「開発時点の OS バージョンに依存する」という性質を自然と持つものになります。
OS 更新したら特定のアプリケーションが動かなくなったとか、動くけどたまに落ちるようになったとか、日常的によく聞く話です。
個人レベルで使うぶんには、対処パッチが上がってくるまで待つのも良い選択ですが、業務用システムだと、止めるわけにはいかない、という事がよくあります。
OS ベンダーも、「アップデートを止める猶予期間」を設けたり、「以前のバージョンに巻き戻す機能」を提供したりしていますが、OS のメジャーバージョンアップや、特定バージョンのセキュリティサポート期限を過ぎるような場合においては、猶予や巻き戻しは有用ではありません。
ならば、OS 上で組み上げたいが(※1)、止めるわけにはいかないシステムは、どうすれば良いのか……その答えの1つが、冒頭にも述べた「インターネットに接続されず、また外部からのメディアを許容しないシステム」とする事なのです。 そうすれば、セキュリティリスクはきわめて低く抑える事が出来るからです(※2)。
(そのような厳しい条件をきちんと守った上で)古い OS を使う事には、利点も有ります。
「枯れた技術なので謎が無く、トラブル対処が容易である」、「更新に掛かる費用が不要」、「運用マニュアルの更新が不要なため、人材育成しやすい(長期間にわたって安定した運用が可能となる)」……などです。
ただし、あまりにも長い間使い続ける事には、もちろん限界があります。 聞くところによると、今も PC-9801 と MS-DOS で動くシステムや、System/370 で動くシステムが有るそうですが、ハードウェアの老朽化や、修理部品の枯渇、人員の高齢化などの問題が出ているはずです。
(注)
※1 なぜ
OS 上で組み上げたいか、と言えば、開発コストを大幅に下げるためである。 OS
無しのコンピューター(ベアメタルとかスタンドアロンなどと呼ばれる)で複雑・高機能なシステムを開発するのは、非常に骨が折れる仕事である。 インターネット接続を要するシステムにおいて、セキュリティを第一に考える場合、そのような開発スタイルが有り得ないとまでは言えないが、私なら「不人気であまり使われていない
OS」も選択肢に入れるだろう。
※2 もし今、Windows XP SP1 以前の Windows マシンをそのままインターネットに接続すれば、半日程度の間に複数種類のマルウェアが侵入しシステムが乗っ取られる様子が見られるだろう。 つまりこの危険性は Windows 2000 でも同様である。
中途半端だとUSB経由のウィルス感染などオフラインでもリスクは存在しますが、突き抜けたらある意味安全かもしれません。
生産ラインなどの組み込みでまだ生き残っているPC98のIOをご覧下さい。
これにさせる機器すぐ用意できます?
ひろゆきがどういう意図で言っているかは別として(あいつは信用できる人間ではありません)
Windows DefenderやWindows FireWallでだいぶ事足りるようになりました。
というよりも、トレンドマイクロやノートンの挙動が怪しい事が増えており(カスペルスキーは最近新作すら出していないような)
わざわざ導入すべきといえる(Window Defenderより検出率がよく、かつ誤検知しない)というSecurity対策製品が無くなってきているという事実はあります。
そもそも、サードパーティーのSecurity製品自体が特権モードで動作できず、Windows自体が、仮想化モードでソフトウェア間のMemoryハッキングを防ぐようになりましたし。
どちらかと言えば、ランサムウェアなど『ユーザー自身が許可をして』環境を使えなくするタイプの攻撃が増えているので、Security製品よりも『ユーザーが内容を理解せず何でも許可する』という状況に対処する方が必要であり
それはSecurity製品では実現できません(ノートンはそう言った状況の対策としてCloudストレージへのbackup機能を提供してはいますが、本気のCloudストレージ(GoogleCloudやBox等)に比べるとかなり容量が少ないので、まともに使えるServiceではありません。
そう言った意味で、「これさえ入れればバカでも大丈夫」というようなセキュリティー製品は存在しないため、わざわざ入れる価値が無いと言うのもあります。
医療機械とか、製造機械とか、メーカー・販売会社が潰れたり、サポートを放り投げたのをサポートしてるお高い機械があったりするので、ネット等に繋げてないのは、世の中結構転がってるかと。。。
こう言う、Win2000とかXPとか、7とかで動いてるのは古いのをサポート出来る所に流れて来るので。。。
後、お高い物に繋がってるの、あまり代換が利かない珍しいハードを載せてたりしてる物とか長く使われてますね。。。 ググっても名前も出て来ない様なPCIカードとか。。。
普段から山のように目にします。
ただ、Windows95~は、最悪の自体でもVMwareを使っていくらでも保存、コピー、リストアができる環境が多いので、そこまでタイトロープシステムという感じではないですね。
ですが、現在知っている史上最高のタイトロープシステムを紹介します。
(ちなみに、どちらもお役所系)
1つ目は、FM TOWNS で動作しているシステムがあります。
これは、2年前に某公共系の場所にお仕事で行ったときにFM TOWNSを見かけて「おぉ!懐かしいものがありますね!?」と言うと「あぁ、、、あれ、、、まだ使ってるんですよ。。。」と言うのです。
「他の部署のものなんだけど、何が動いているのか、何で他のものじゃ駄目なのか、良く知らないんです、知りたくもないんですが」と言うではありませんか。
急にテンション下がった言い回しだったのでそれ以上聞けず。。。
もう1つは、PC-9801の演算システムです。
正確に言うと、現在稼働しているのは、PC-9801RXです。
しかも、80286 モードではなく、V30モードで。。。
とある数百種類の数値を与えると、とある作業に必要な、数千種類の数値を出力するという、演算をしているプログラムが入っています。
データの入出力は、5インチのフロッピー!!
その演算式が全くわからないので、現在もその98を使って演算させているのです。
順番はわからないのですが、
… (もっと読む)
そのOSはインターネットにつながっていますか?ほかの駅にあるPC同士で繋がってるかもしれませんがそれはWANですか?
自社でインフラを持ってるという事は専用回線を構築する事もできるし、別の駅にあるPC同士はLANと同様の構築もできるという事はわかって質問してますか?
未だにという言葉を使うのであれば最低限の知識と確認が必要です。
パソコンのOSというのは世界共通ですので共有しているインターネットに繋げばリスクは生まれますが、スタンドアローンや専用回線、ネットに繋がっていないLANは極端にセキュリティリスクは低いんです。OSの古い新しいは関係のないネットワークもあるという事です。
ただし、表題のPCの仕様は確認していないのでわかりませんが、普通に考えればインターネット網での利用はしてないと考えたほうが正解ではないかと思われます。
理屈の上ではそうです。ネットから隔離されているので「ネットからの脅威については」安全です。
が、コンピュータの脅威というものはネットからの脅威だけではありませんから、USBメモリとかで持ち込まれたウイルスがそういう環境で感染しまくって全滅、ということはわりとあります。
隔離系の設計も絶対にダメではないのですが、セキュリティを何によって守ることにするのか、そのためには何が必要か(上記の例ではネットワーク以外で持ち込まれることへの対策)をしっかり把握して運用したいものですね。
樹脂成型機など産業用機器では、PC98の産業用バージョンFC98で動いている機械が少なくないです
FC98は、PC98をノイズや塵埃の多い産業環境で使えるように、電源を強化したり、塵埃が入り込まないようにケースの開口部(フロッピーディスク挿入口)にカバーを追加したりしたものです
もちろん、とっくの昔(多くは 1995年から1999年、直近のモノでも2004年1月31日)
また、完全互換な製品も上市されていません
樹脂成型機などの産業機関は、非常に高額な機械であり、単位時間当たりの付加価値も大きなものなので、メンテナンスで数時間止めるのが関の山で、制御装置を交換するために長期間停止させることができません
産業用機械では、所有権の移転や転売などで、設計書などのドキュメントが散逸している場合が多く、仕様や機能に関する情報がないので再設計して最新の制御装置に置き換える事が現実的には出来ません
また、産業用機械ユーザーや機械メーカーは動いている機械を改造 特に エレキの部分を弄る事を忌憚する傾向が強く、「お祈り」するしかない状況です
製造中止になったPC98やFC98の中古品を集めてストックしている専門業者もあるようです
脚注
0 コメント:
コメントを投稿