ネットワーク接続

WindowsXPベースの製品をLANに接続したいと考えています。
但し、これは製品であるため、ウイルスセキュリティソフト等
を製品保証の観点からインストールする事ができません。
エクスプローラでファイル転送をする程度なのですが、
ウイルス、セキュリティの観点からどのようなネットワーク構成を
組むべきか、ご指導頂けますと幸いです。
ルータ経由、ゲートウェイ経由、またはポート番号の設定管理だけで、
通常のLAN接続PCと同様にハードウェア接続して良いのか、私の知識
では、考え方すら思いつかない状態です。宜しくお願い致します。

No.3 ベストアンサー 回答者： heinell 回答日時： 2007/01/17 23:49

使用OSはWindowsXPEmbeddedでしょうか？

ならばまだ可能性としては
・通信はRS-232Cを使用
・LAN/USBはドライバ・コンポーネントなどを完全に除去する(追加インストールも絶対に不可能にする)
・Windowsネットワーク関係のコンポーネントも完全に除去する
・WindowsScriptingHostを無効にする（作成したアプリケーションが動かなくなるかもしれませんが）
・動作に不要なサービスをとことんまで削る
・実際に販売する機械にはPS/2ポートをつけない
（どうしても使う場合は筐体内にのみつける）

くらいはやるでしょう。
10分で思いつく範囲でこのくらいですから更なる要素追加は必要だと思いますが。


ウィルスは、キーボードとテキストエディタがあればその場で作れます。
進入を許すのはそのくらい簡単ですので、抜け道塞ぎは大変です。

Embeddedならモジュールを完全に除去することができますから、OS再インストールまでしなければ機能を使えないようにできるのでだいぶ頑丈になるでしょう。

マイクロソフトが毎月当てている修正プログラムは、ソフトウェア設定だけで封じている制限を受けない「管理者権限」を奪い取るものです。
ですからソフトウェア「設定」で封じているだけでは破られると思ったほうがいいでしょう。
物理的に操作や復元ができない状況を作るのが重要です。



ただ、正直Embeddedのモジュール削りは、Windowsの内部知識がないとかなり不安があります。
用件を考える段階(今回の話題)で四苦八苦のレベルではかなり厳しいかもしれません。

そしてやはりウィルス対策ソフトが入れられないという状態は、何かさらに想定外のウィルスが居たらどうなるか不安という怖さは隠せないというところです。

この回答へのお礼

セキュリティに対する考え方から、非常に多くの情報を頂き、有難うございます。仮にLAN接続するならある程度の割切りが必要だと感じています。またテキストファイルだけでもウィルスを作れるというのは驚きでした。有難うございました。

お礼日時：2007/01/19 22:30

No.4 回答者： nobody2004 回答日時： 2007/01/18 09:28

質問者さんは、製品のユーザ側なのでしょうか。

＞メーカは、ウィルス対策されたパソコンと１対１の接続方法を示しています。LAN接続する場合は、LAN管理者に確認するよう示してあります。

感染経路は色々有るでしょうが、ありがちな単純な例として、ウイルス等に感染しているノートパソコンを LAN に接続してしまった場合に、どうやれば防げるかを考えるだけでも、先に挙げられているような外付けのウイルス対策機器を経由するような接続しか無さそうに思います。

もちろん、LAN 全体が、物理的にも完全・確実なウイルス対策を取られているとか、そこまでのウイルス対策は不要だという判断をされるのであれば、別ですが。

この回答へのお礼

分かりやすくポイントをまとめて頂き、ありがとうございます。
教えて頂いた視点で更に自身で調べてみます。有難うございました。
なお、こちらは製品のユーザです。

お礼日時：2007/01/19 22:26

No.2 回答者： heinell 回答日時： 2007/01/16 10:24

>但し、これは製品であるため、ウイルスセキュリティソフト等

>を製品保証の観点からインストールする事ができません。

まずこの時点でウィルス防止に関してはほぼ無防備であると考えてください。


メーカPCの妥協点ですが、継続権だけを購入すれば普通に使えるようになるウィルス対策ソフトの体験版(一定期間有効)を1クリックでインストールできるアイコンをデスクトップに置くという方法をとっているようです。
OSプリインストールでなければCDの自動実行でインストールできるディスクを添付する形でしょう。

体験版をインストールするのは一応ユーザの判断となりますので、メーカとしてはウィルス対策ソフトをインストールしていない事になります。
大手メーカ故に「同等の事をしていなければ保証範囲外です」と鉄壁の突っぱねができる自信があるからできる技です。




>エクスプローラでファイル転送をする程度なのですが、
>ウイルス、セキュリティの観点からどのようなネットワーク構成を
>組むべきか、ご指導頂けますと幸いです。

実はファイル転送が可能という状態は「程度」じゃなくて、「それこそが最も危険な状態」です。
LANでルータを介さない直接接続が前提ですから全ての通信（＝全てのウィルス伝播手段）が通り、最も防御が難しい状態です。

可能な限り悪あがきをするなら、ウィルス対策機能付きルータを使い

＋－ウィルス対策ルータ－PC1
｜
（FTPサーバ等）
｜
＋－ウィルス対策ルータ－PC2

と、
・ウィルス対策機能付きルータをPC1台ずつに付け、HUBでの直接接続をしない
・ファイル転送はルータ経由のFTPなどルータのウィルス対策機能がカバーする転送方法だけを使う。
・ルータでFTP/HTTPなど特定のプロトコル以外を全て遮断する
・USBメモリ・CD・DVD・フロッピーなど外部記憶は一切使用不可にする

この程度で限界でしょうか。
一台のPCがウィルス感染したらもうそのPCは諦めて完全クリーンインストールが前提となりますが、それならこれで無防備よりはマシ程度のセキュリティとなります。


ウィルス対策ソフト無しのPCをネットワークで繋ぐというのは、技量があるなら無免許で自動車を走らせても良いと言ってるようなものです。

免許有りの人が交通事故をおこして人を殺したら業務上過失致死。
無免許ならば「殺人罪」です。

この回答への補足

多くの情報を頂き、有難うございます。
WindowsXPベースの製品というのは、製品側からLAN機器に対して規定されている拡張子のテキストファイル取込みしかできないようにロックされています。WindowsXPベースではありますが、Windows操作ができない特別な操作環境となってます。
オプションでLAN機器側から製品にもテキストファイルの取込み、取出しが可能となっているのですが、今はオプションの事を考慮しないようにします。

>可能な限り悪あがきをするなら、ウィルス対策機能付きルータを使い

上記状態において（製品側からLAN機器に対してテキストファイルの取込みだけを行う）、「ウィルス対策機能付きルータ」を使う場合、製品にウィルス対策ソフトを入れたのと何が異なるか、ご助言頂けますと大変光栄です。

追記：
「LAN接続したい」というのが主旨なのですが、どう接続すべきかを悩んでいます。他のI/FとしてはRS-232Cだけで、フロッピィ、USBなどのI/Fの無い製品ですので、LAN接続方法だけを解決したいと考えています。
メーカは、ウィルス対策されたパソコンと１対１の接続方法を示しています。LAN接続する場合は、LAN管理者に確認するよう示してあります。
このLAN管理者相当の知識がなく、相談させて頂いております。
懲りないと思われかと存じますが、何卒ご指導の程宜しくお願い致します。

補足日時：2007/01/16 20:14

No.1 回答者： nobody2004 回答日時： 2007/01/16 09:32

＞エクスプローラでファイル転送をする程度

そのファイルがウイルスに感染していたらアウトですし、CD や、USB メモリなどからの危険性（感染と漏洩の両方）も有ります。

＞ルータ経由、ゲートウェイ経由、またはポート番号の設定管理だけで、

ネットワーク経由の問題だけを考えたとしても、セキュリティ対策用のハードウェアなり別のマシンを経由するなりしていないと、安全とはいえないと思いますが。（他の LAN 接続されている PC からウイルスに感染するから）

お使いになる予定の環境等にもよるでしょうが、利用ごとに初期化されるようなシステム（ネットカフェとかによくある）にでもしないかぎり、そこだけで対策をするのは難しいのではないでしょうか。

参考URL：http://www.itmedia.co.jp/enterprise/articles/060 …