リナックス は ATM のセキュリティを向上できますか?
リナックス は ATM のセキュリティを向上できますか?
ATM のセキュリティは、他の多くの業界 (運輸、医療、一部の工業用アプリケーションなど) ほどには必ずしも生命に関わるほど重要ではありませんが、これらのデバイスには金銭や個人情報の盗難のリスクが伴うことは確かです。
ATMへの様々な攻撃ベクトル、年間のハッキング推定件数、そして業界へのコストに関する情報は、ウェブ上に豊富に存在します。ここで考察したいのは非常に具体的な疑問です。ATMのWindowsオペレーティングシステムをLinuxベースのものに置き換えることで、セキュリティは向上するのでしょうか?ほとんどの専門家は、答えは「イエス」だと考えています。
今日のATMは、机の上のパソコンとよく似ています。世界で最も人気のあるデスクトップOSであるWindowsを、世界で最も人気のあるハードウェアであるIntelマザーボード上で実行しています。
しかし、そこに問題の一部が潜んでいます。最も普及しているということは、悪意のある者が一般的なATMの内部をシミュレートするのを阻止する障壁がほとんどないことを意味します。この事実だけでも、Windowsは他のOSよりも攻撃を受けやすいと言えます。
オープンソース、より安全な選択肢
Linuxの市場シェアはWindowsに比べてはるかに小さいかもしれませんが、多くのシステムで依然としてLinuxが稼働しています。Linuxにはもう一つの強みがあります。それはオープンソースです。
データによると、オープンソースソリューションは最高のセキュリティを提供するとされています。これは、コードが誰でも簡単に検査でき、文字通り何千もの目がすべてのコード変更を精査しているからです。
Windowsの場合、ユーザーにはデフォルトでかなりのシステムアクセス権限が与えられています。ATMベンダーはこれらの権限をロックダウンしようとしていますが、すべての領域を特定して保護することは困難です。Linuxは異なる方法で構築されており、多くの機能がデフォルトで保護されています。システム管理者はこれらの設定を上書きできますが、出発点として、オープンなシステムではなくロックダウンされたシステムを選択する方が有利です。
Linuxのもう一つの利点は、ディストリビューションに多くのセキュリティツールが組み込まれていることです。これらのツールは長年導入されてきました。実際、ほとんどのLinuxディストリビューションには、長年かけて強化されてきた包括的なセキュリティスイートが付属しています。
対照的に、ウィンドウズ では、ファイアウォール、ウイルス対策ツール、主要アプリケーションをホワイトリスト化するソリューション、暗号化ソリューション、無線経由のファームウェア プログラムなどを選択する必要があります。これらのアプリは連携して動作する場合としない場合があり、追加のセキュリティ上の欠陥にさらされる可能性があります。
さらに、Windowsの新しいバージョンは、最新のハードウェアでのみサポートされます。これはATMベンダーにとって様々な問題を引き起こします。数年ごとに数百万ドルもの費用をかけてハードウェアをアップグレードしていますか?サポートされていないハードウェアでソフトウェアを実行しようとしていますか?それとも、アップグレードせずにサポートされていないソリューションを使い続けていますか?
永続的な解決策
簡単な答えはありません。多くのATMベンダーは、ウィンドウズ 7のサポート終了とWindows 10への移行という課題に直面しており、まさに今まさにこの課題に直面しています。一方、Linuxは、主にオープンソースコミュニティの要望により、ハードウェアを長期間サポートすることがよくあります。
誰かが「"マザーボード Xddhhhh」と「"周辺機器 Y,ああああ」を実行し、コードを継続的に開発していく意思がある限り、Linuxはサポートされます。コードはオープンなので、Microsoftがサポート対象かどうかを判断するまで待つ必要はありません。本当に必要な場合は、お客様、OEM、またはODMがサポートを受けることができます。
Linuxは、セキュリティ上の欠陥がより迅速に修正されるという点でもWindowsよりも優位性があるかもしれません。証明するのは難しいですが、Windowsのサービスパックとパッチチューズデーの手法は非常に厳格であるため、対応が遅いように思われます。さらに、Linuxのパッチはセキュリティ上の欠陥修正のみを含むため、サイズが小さいことが多いのに対し、Windowsのセキュリティパッチは他の多くの修正と組み合わせられます。
最後に、フットプリントの観点から見ると、リナックス は ウィンドウズ よりもコード行数が少なく、攻撃ベクトルが小さくなるという別の利点があります。
今日では、セキュリティは絶対的な要件となっています。実際、製品のセキュリティ対策を講じている企業にとっては、それが差別化要因となり得ます。製品のセキュリティ対策が不十分な企業は、脅威の増大、罰金の可能性、そして企業存続そのものの危機に直面します。
誤解しないでください。データ侵害に関しては、状況は改善される前にさらに悪化し続けるでしょう。
