いさぼうネット
賛助会員一覧
こんにちはゲストさん

登録情報変更(パスワード再発行)

  • rss配信いさぼうネット更新情報はこちら
 シリーズコラム 「よろずIT・ネットワーク情報」 
【第1回】 Windows10導入の落とし穴
 

 先日から「Windows10 勝手にアップグレード」問題で世間を騒がせているWindows10ですが、無償アップグレード期限が今年7月29日と迫ってきました。
 無償でアップグレードできるとなると、「早く、アップグレードしなければ損をする。」という気持ちになりがちですが、Windows10がどのようなOSで、今まで使用していたWindows7や8、8.1と、どこが違うかをきちんと理解しておかないと、導入した後にトラブルに巻き込まれ、「こんなことならWindows10に切り替えなければよかった。」と後悔する事態になるかもしれません。
 企業のネットワーク管理者という立場で一通りWindows10を検証してみましたので、その経緯と結果を報告させて頂きます。

1.きっかけ(重役からの突然の電話)
 「XX君来てくれ、突然Windows10のインストールが始まったみたいや!」という重役からの電話に呼び出され、重役のデスク上のPCを見ると既にWindows10のインストールが実行されている状態でした。 「インストールするかどうか尋ねてきませんでした?」と重役に尋ねると、「ポップアップのX印を押しただけで勝手にインストールを始めたんや」という返事でした。 「これが以前から警告されてた'勝手にアップグレードか!’」と私も少し緊張した状態で、対処法を考えました。
 会社内で最もWindowsに精通した担当に問い合わせると、「一旦インストールが始まった状態では、インストールをしてしまったほうがよく、その後、元のOSに戻せるはずです。」という答えでした。
 その後、Windows10のインストールは全てデフォルトでインストールし、今まで使用していたソフトウェアが動作するのを確認し、動かなくなってしまったプリンタのドライバを再インストールすることで、なんとか約2時間半後に は通常業務に復帰することができました。

2.調査(自分のPCでも検証してみる)
 重役の「勝手にアップグレード」事件のあと、Windows10については、別の担当に頼り切りであったことを自分なりに反省し、自分のPCもWindows10にアップグレードしてみることにしました。
 アップグレード作業は1時間弱で終わり、途中ライセンス条項が表示されましたが、ご多分にもれずろくに読みもせず「同意する」ボタンを押しました。 PC再起動後、今まで使用していたWindowsのローカルアカウントでログインし、プライバシーの設定は「設定のカスタマイズ」を選択せず、「簡単設定」を選択しました。次に音声パーソナルアシスタント「Cortana(コルタナ)」というのを使うかどうか聞いてきたので、もの珍しさもあって、「今は実効しない」ではなく、「Cortanaを使う」を選択しました。これで晴れてWindows10が使えるようになりました。

3.検証その1(プライバシーの設定検証、「なんと簡単設定では裸同然!」)
 かねてから、Windows10からは、個人情報に関する規約が変更され、Microsoftの子会社や、協力会社で個人情報を共有するようになると知人に聞いていたので、いくらMicrosoftの協力会社でも、PCの内部情報やOne Driveの情報が筒抜けになるのはご免こうむりたいので、まず最初に [設定]->[プライバシー]を選択し、プライバシーの設定をすることにしました。
 設定項目には 全般、位置情報、カメラ、マイク、音声認識、手書き入力、タイピング、アカウント情報、連絡先、カレンダー、メッセージング、無線 、他のデバイス、フィードバックと診断、バックグラウンドアプリ、の全部で13の設定区分がありますが、なんとインストール時点ではすべての設定がオン。 つまり、すべての情報はマイクロソフトやその協力会社に送られ、共有する設定になっているのです。 GoogleのChromeでもこれに似たような設定がありますが、デフォルトはオフになっています。 Microsoft社にとっては、なにも知らないでWindows10をインストールしたユーザの個人情報は、ほとんど手に取るように取得できる設定となっています。 これには少なからず驚きました。

4.検証その2(個人や企業情報を漏らしたくなければ、最低限のプライバシー設定は必須)
 プライバシー保護上の重要項目で、[オフ]に設定したほうがよりプライバシー上好ましい項目のみをあげてみました。

(1)[プライバシー]->[全般]

・入力に関する情報をMicrosoftに送信して、タイピングと手書きの今後の改善に役立てる
この項目は真っ先に[オフ]に設定すべき項目です。[オン]にのままにしておくと、クレジットカード番号も社内システムで入力したマイナンバーもすべてMicrosoftに送信されてしまいます。

・アプリで自分の公告識別子を使うことを許可する
難しく書いてありますが、Microsoft社が取得した個人情報を基に、自社や協力会社のアプリケーション内で、その個人情報に応じた公告を表示したりすることを認めるということです。 そんな公告必要ないという方は[オフ]に設定して下さい。

(2)[プライバシー]->[位置情報]

・位置情報
業務上、位置情報を送信したくなければ、[オフ]に設定したほうがいいです。

(3)「Cortana]を無効にする設定(業務上はほとんど必要ありません。)
 インストール時にCortanaを使う」を選択した場合、コルタナという人工知能ソフトが常時動く設定となっています。 コルタナは音声で会話したり、手書き入力情報の内容や連絡先、スケジュールといった様々な情報を収集し、定期的にMicrosoftに送信します。 言わば最先端の「個人情報収集ロボット」と言えます。 企業内で業務に使用する必要はほとんどないばかりか、使用することにより、逆に企業内情報の漏えいの原因になる可能性があります。

・Cortanaをオフにする
 [1]タスクバーの「何でも聞いてください」と表示されている検索窓をクリック。
 [2]ノートブックで表示されている項目のなかの「設定」をクリック。
 [3]Cortanaの「オン」になっているスイッチをクリックして「オフ」にします。

(4)その他の設定
 その他、いろいろな設定がありますが、私はカレンダー等以外は全てオフにしています。
 ※設定は個人や企業の環境に応じて行って下さい。

4.Windows10は全て自動アップデート(勝手にアップデートや再起動する。)
 このことも、あまり周知されていない事項ですが、Windows10では、これまでの7 や8、8.1と違ってWindowsアップデートがすべて全自動で行われます。つまり、アップデートを自動で行わせないということができないのです。これは 、例えばそのPCで何かの機械を24時間連続でモニタリングするとか、データ収集するとかの用途には基本的に使用できないということを意味します。また、業務中でも予期せずに勝手に再起動する可能性があり、事実アップグレードした方から夜間に勝手に再起動したことが報告されています。時刻はデフォルトで午前3時に固定されているそうです。但しWindows Professional 以上の場合は、グループポリシーの設定又はレジストリ変更で再起動を抑制できるそうです。しかしHomeEditionはどうやっても勝手に再起動は防げないそうです。

5.Microsoftアカウントという落とし穴(会社や組織のメールアカウントを使用は要注意!)
 Windows8、8.1からMicrosoftアカウントというアカウントが導入されました。それまで(Windows7まで)はローカルアカウントのみでしたが、Windows10ではMicrosoftアカウントが推奨されています。
 Microfoftアカウントとは、googleアカウントのように、アカウントにメールアドレスを使用し、オンラインのアプリケーション(One driveやskype等)のアカウントを一個のアカウントで全て共通にすることのできるアカウントです。
 しかし一見大変便利で大いに利用したいと思わせるこのMicrosoftアカウントには大きな落とし穴があることは、一般にはあまり知られていません。
 よく、社内でも議論される話題に「Microsoftアカウントとgoogleアカウントはどこが違うんや?同じやないか。」という論点がありますが、最も大きな相違点は、「企業内で使用されるPCではMicrosoftアカウントに企業内メールアドレスを使用する確率が圧倒的に高い。」ということです。 googleアカウントはchromeやandroidのスマホで使用されますが、gmailアカウントで作成されます。 一般のメールアドレスと関連付けることも可能ですが、企業内メールアドレスと関連付ける人はごく少数です。 ところがWindowsPCのような企業内で業務に使用されるPCのアカウントとなると、何も知らずに企業内メールを選択、入力してしまう確率が比較にならないくらい大きくなるのです。
 例えば、Microsoftアカウントを使用してWindows10からone driveに記録した業務情報を自宅のパソコンや、iphoneやandroidのスマートフォンで見たり編集したりしていたとします。 仮にそのスマホ等を紛失して悪意のある第三者の手に渡った場合は、OneDrive情報を見られるばかりか、すぐにMicrosoftアカウントからその人の属する企業に関連づけられ、得られた企業内情報から、その企業の内部関係者や取引先関係者を装った偽装メールが送られてくることは、容易に想像できます。つまり、

●企業内メールをmicrosoftアカウントに使用したPC
 ↓
●Microsoftアカウントを共有したアプリが動作する社外のPCやスマートフォン等
 ↓
●何らかの原因(社外での紛失、盗難等)でのMicrosoftアカウントの流出
 ↓
●企業内情報の大量流出
という事態です。

 不思議なことに、IT関連のマスコミ記事や、Web上の専門家の記事で上記危険性を、指摘する記事は現在ほとんどありません。 しかし少しセキュリティを学んだ人ならば、この形態の情報流出が近いうちに数多く発生するであろうことは、簡単に予想できるはずです。
 また、少し専門的な情報ですが、Windows10でも相変わらずNTLMハッシュという脆弱なパスワードのハッシュ値がローカルファイルとして保存されており、そのハッシュが 悪意のある第三者の手に渡り解析されれば、容易に解析されてしまいます。 例えば自宅で使用しているPCがローカルアカウントを使用していたとしても、そのPCがハッキングを受け、内部ハッシュを解析されれば、そのPCは裸同然になり、そのハッキングされた自宅のPC経由で企業で使用しているMicrosoftアカウント経由で企業情報にアクセスするという事態も想定されます。

6.検証総括
●Windows7のサポート期限は2020年1月14日まであるので、Windows10へのアップグレードは慎重に様子を見た方が賢明である。 少なくとも現時点では、Windows7、8.1のほうが安心して使える。

●どうしても企業内で使いたい場合は、プライバシー設定を適切に行い、Cortanaの使用は控え、Microsoftアカウント ではなく、ローカルアカウントで使用する。

●やむを得ず、Microsoftアカウントを使用する場合は、
(1)なるべく企業のメールアドレスをアカウントに使用しない。
(2)企業内で、Microsoftアカウントで結びつけられたプログラムやサービスの利用規定を設ける。
  (家庭の個人端末端末からのMicrosoftアカウントでのアクセス禁止等)。
(3)万が一Microsoftアカウントが漏洩した場合を想定し、Microsoftアカウント漏洩を監視する体制と漏洩した場合の漏洩アカウントの停止を迅速に行える体制を企業内に整備する。

Copyright(C) 2002- ISABOU.NET All rights reserved.