orangeitems’s diary

クラウドで働くインフラエンジニアの日々の感想です(ほぼ毎日更新)。


サポート切れのOSは使っていけないと万人を説得できるか

f:id:orangeitems:20200126001657j:plain

 

サポート切れOS使っていけない論

今月Windows7のマイクロソフト標準サポートが切れた話があって、今後、Windows7を使い続けるのは危険だ!と盛り上がっています。OSという視点で言えば、実はiPhoneを動かすiOSだって、Android OSだって、サポート切れという概念はあります。OSベンダーのサポートが切れると危険危険言いますが、この「サポート切れOS使ってはいけない」について整理しておきたいと思います。

 

所有とリスクの微妙な関係

なぜ整理する必要があるかというと、ソフトウェアはお金を支払って所有するものであり永続的に使用する権利は購入者にあるから、です。買ったんだから使うなとかおかしいでしょ、という議論自体は存在します。

一方で、OSはインターネットにつながるのが当たり前の時代になりました。インターネットには絶えず脆弱性のあるOSを見つけようとする自動化プログラムが存在していて、人の手を介さず攻撃可能なOSを見つけ出す勢力があります。そのような動きがわかっているのに、サポート切れのOSをインターネットにつなぐのは危険、というロジックは大変うなづけます。

クラウドをよく使う私はわかるのですが、OSをクラウドで借り放っておくと必ず侵入しようとする認証失敗のログが大量にログに残ります。WindowsでもLinuxでも同じです。しかもIPアドレスを見ると世界中からアクセスが来ていて、全く油断できないなぁと思います。

そういう状態で、サポート切れのOSをインターネットにつなぐと、OSに保管されているたくさんの個人データが盗まれるかもしれない、というのはひとつの脅威です。個人データには他人の情報も含まれているかもしれません。自分だけが被害に遭っても別に構わないと思っていたら身近な他人や会社にも迷惑をかけてしまう、というのは大きなポイントです。

一方で、いや、盗まれたらいけないデータは特になくて、単にWebを見たりしているだけだから構わないなんて人もいるかもしれません。しかしこれにも落とし穴があります。そのOSを乗っ取ったうえで攻撃用の踏み台として乗っ取られることです。一昔前には仮想通貨のマイニングプログラムを仕掛けられるということもありましたが、自分が知らない間にバックグラウンドで知らない人に攻撃をしているかもしれません。データの問題だけではなく、OSを乗っ取られるというリスクも存在します。

大きな2つのリスクポイントを聞くとサポート切れのOSを使うのはやめたくなるのが常識なのですが、一方でそんなにOSやデータ、ソフトウェアの概念に詳しくない人はどう思うでしょう。どうやって正常にソフトウェアが動作するのかも知らないのに、リスクだの攻撃だのというのはSFのように感じても不思議ではないでしょう。そもそも、リスクよりも所有している事実の方がわかりやすいと言えます。なぜ使えるのに使ったらいけないのか。お金を支払ったのは自分だ。使えなくなるようなソフトウェアを作る方が悪いまで言い始めるのがオチです。

この所有とセキュリティーの対立論に対して、よく似ていると思うのが自動車です。自動車は動けば乗られるというものではありませんよね。車検を通した車じゃないと公道に乗ってはいけません。公道=インターネットです。私道はオフィスや家庭のLANです。私道なら動かすのは自由ですがやはり車検の通っていない車は危険という認識は誰しもあります。同じように、インターネットもLANも本来、車と同じように整備された端末だけつながっていた方が安全です。ところが、端末には何の検査もありません。誰もが自由に接続することができます。したがって良くない端末やプログラムは潜んでいることが常識なので、防御されていない端末をつなぐと攻撃されて事故や事件に巻き込まれるよ、という説明が正しいのだろうと思われます。

ここまでかみ砕いてもセキュリティーがしっかりしていないサポート切れのOSをインターネットにつなぐと危ない目に遭うよ、ということをITリテラシーがない人に伝えるのって、かなり難しいのではないかと想像します。だって売るときに「らくらくホン」なんてキャッチフレーズで売ったりもしていますから、そりゃあ動くのになんで買い替えなきゃいけないの、という感覚はわかります。

 

各社どう説明しているのか

一般の人に対して、サポート切れOSの利用リスクをどのように伝えるのがシンプルなのかと思い、私がよく使っているドスパラのページを見に行きました。

 

f:id:orangeitems:20200126000343p:plain

ドスパラ

 

ウイルス感染等、という言葉と絵で表していますが、こういった表現がスタンダードかな・・とも思います。

ただ、スマホではそういった売り方はあまり見かけず。パソコンよりもスマホのほうが、ITリテラシーの低い人をターゲットにしていますから、ピンと来ないしやはり「所有」という概念の方が強そうだなと思います。

家の冷蔵庫とか電子レンジとか空調とか、10年経ってもそんなに買い替えたりはしませんからね・・。

OSがかなり日用品に近くなってきたこの状況で、妙案を考えていかないとどんどん「サポート切れOS」の端末がインターネットに増えて収拾がつかなくなってくるのではないかと想像しています。