ハクソク

世界を動かす技術を、日本語で。

顧客にWindows 11へのアップグレードではなく、Linuxへの切り替えをお勧めしています。

222日前原文(scottrlarson.com)

概要

  • Secure Resilient Future Foundation がWindows 10サポート延長をMicrosoftに要請
  • Windows 11による プライバシーリスク の増大
  • Linuxへの移行体験と 自由の回復
  • Windows 11の設計上の問題点と 監視社会への懸念
  • Linuxディストリビューション の推奨と注意点

Windows 11の問題点とLinux移行のすすめ

  • Windows 10サポート終了 (2025年10月14日)に向けた懸念
  • Windows 11登場後、 データプライバシーの脅威 が過去最悪水準
  • Microsoftの圧力で TPM・Secure Boot などの不要なハードウェア制限を搭載するPCメーカーの増加
    • 不要な ハードウェアアップグレード の強制
  • 新規PCの初期設定時に 曖昧な言語表現 でユーザーを混乱させるUI
    • デフォルトで データ共有 を促す選択肢
  • OneDrive によるデータバックアップ設定
    • ユーザーの同意なく 全データをクラウドへ移動
    • フォルダがOneDrive専用に変更され、 元に戻しにくい
  • Edgeブラウザ の選択肢が不明瞭
  • AIツールCo-pilot が同意なしにインストール・有効化
    • 削除が困難、もしくは不可能
  • Recall機能 (今後リリース予定)がユーザー体験のスナップショットを OneDriveに保存
    • 表向きは便利だが、 監視社会化の一端
  • Windows 11は多くの 標準機能の完全アンインストールを禁止
    • アカウントごとには削除可能だが、アップデートやアップグレードで 再インストール
  • Microsoft Edge の強制・選択肢の隠蔽

Linuxの推奨と導入方法

  • 新規PC構築時は Linux を推奨
    • 希望があれば Windows選択も可能
  • WindowsからLinuxへの移行サポート も提供

Windows代替におすすめのLinuxディストリビューション

  • Zorin OS :Windowsライクな操作感、現代的なハードウェア向け
  • Pop!_OS :ゲーマー向け設計
  • Ubuntu :バランス型デスクトップ、現代的なハードウェア向け
  • Elementary OS :ミニマリスト志向
  • MX Linux :10年以上前のハードウェアにも対応

Linux移行時の注意点・制限事項

  • Windowsとは異なるデスクトップ環境
    • データ利用には 別のアプリケーション が必要
  • パワーユーザー・ゲーマー の場合、ソフトやゲームが動作しない・代替が必要なケース
  • 代表的な非対応・課題例
    • Adobe Cloud製品 :代替あり
    • アンチチート搭載ゲーム :非対応多数
    • Microsoft Office/Outlook :LibreOffice(Office代替)、Thunderbird(Outlook代替、Office 365との親和性低)
      • Office 365利用時は IMAP対応メールサービス への移行推奨
    • QuickBooks :オンライン型代替必須
    • Turbotax :オンライン型代替必須

Microsoftの市場支配と今後の技術動向

  • Microsoftは PC市場での独占的地位 を利用し、TPM 2.0などの セキュリティハードウェア を強制
    • 消費者の選択肢と自由の制限
  • これらの変化が 技術の未来 にもたらす影響の考察

ご質問や個別相談が必要な場合は、 個別コンサルテーション をお申し込みください。

Hackerたちの意見

私は公共機関や小規模ビジネス向けのITソリューションを提供してるんだ。Windows 11の変更は、監視国家を作るために組織と連携する準備をしてると思うから、顧客向けに作るコンピュータではWindowsよりもLinuxを推奨することにしたよ。もしこのプロモーションをもっと良くするためのアイデアがあったら教えてね。

どうやって既に存在するものを作れるの?

あなたがビジネスであることを考慮して、ライセンスの対象になる可能性のあるLinuxインストールのアイデアを調べた方がいいよ。もしプロモーションしたり、インストールのためのリソースを無償で提供したりするなら、それは多分問題ないと思う。でも、Linuxがプリインストールされたシステムを販売する場合は、少なくとも何らかの帰属が必要になるかもしれない。

正しいディストロを選んで、可能な限りアップデートを自動化しよう。MintはWindowsユーザーにとっては一番なじみやすい選択だよ。でも、彼らは絶対に自分から何もアップデートしない。永遠にね。

LibreOfficeとuBlock Originが含まれていることを確認してね。どれだけ速くて、広告が少なくて、文書を書くのにマイクロソフトのサブスクリプションが必要ないかを見せてあげて。ビジネスのお客さんには、Linuxでのデータベースがかなり安いことを知っておいてもらいたい。先週、自動化会社と話したときに「データベースが10GB近くになるたびに、いろいろ削除しないとマイクロソフトにお金を払わなきゃいけない」と言われたよ。しかも、Linux自体にはライセンス費用もかからない。これがMSがすでに根付いている大企業には通用しないかもしれないけど、小規模ビジネスには絶対にお得だよ。

これをやるなら、商業サポートが受けられるものを設定してあげてね。個人的には、ユーザーのニーズがChromebookで満たされるなら、Linux + ブラウザ + メール + Zoomなどで十分だと思う。もしOfficeや他のWindows専用ソフトに依存しているなら、説得するのは難しいだろうし、善意であっても、彼らが慣れ親しんだソフトを使えないのは逆効果かもしれない。

ターボタックスがウェブ専用に移行するって聞いた気がするけど、もしかしてそれは個人用だけで法人用じゃないのかな?

TPMやセキュアブートを「人工的制限」と表現するのは不公平だと思う。多くのLinuxディストロはこれらと問題なく動作するし、重要な目的があるんだ。問題は、これらが存在することやWindows 11がそれをサポートしていることじゃなくて、マイクロソフトがそれが必要だと装っていることだよ。

マイクロソフトがそれが必要だと装っている それが「人工的制限」の意味だと思う。マイクロソフトが必要だと装っているけど、実際にはそうじゃない。

その気持ちはわかるけど、正直言って必要ないと思う。私の意見では、その機能は自分が買ったハードウェアのコントロールを奪うために使われてる。コンピュータにより良いセキュリティを追加したいなら、オプトインにして、必要ない人に使わせようとしない方がいいよ。

私はWindowsを使ってないし、他の人のコンピュータでWindowsを使うとちょっと狂ってるなって感じる…でも、TPMやセキュアブートが彼らのソフトウェアの要件かどうかは、MSFTの選択だよね。もし彼らのソフトウェアがOSが信頼できるハードウェアにアクセスすることを前提にしているなら、それは要件になる。セキュア版と非セキュア版のWindowsを作るべきだという意見もあるけど、実際にそれを真剣に受け止める人は少ないと思う。ハードウェアがある程度信頼できると仮定することには多くの利点があるけど、逆にマイクロソフトが自分のマシンで何が信頼できるかをコントロールするのは嫌だよね。そういう場合は、MSFTにルート権限を与えたくないだろうし、別のOSの方がいいかもね。

そうだね、セキュアブートチェーンを提供してくれるけど、それを証明するのは難しい。例えば、TPM暗号化でディスク暗号化キーが保護されているところで働いたこともあるよ。これらは、(遅いけど)ハードウェアのランダム性のソースとしても使えることが多い。最近のIntel(8世代以降)やAMD Zen以降はfTPMも搭載してるし。これらはアップグレード中にBIOSで有効にして、また無効にすることもできる。個人的には、Win11が利用可能になった瞬間にアップグレードしたけど、それは無料のMS Windowsを永遠に使い続けたいからで、ゲームをするためだけに起動してるんだ。最近はそれも少なくなってきたけど。

ここはStackoverflowじゃないけど… フルディスク暗号化とセキュアブートの問題を整理するための良いメンタルモデルを持ってる人いる?新しいSSDのことでずっと procrastinate しちゃってるんだ。ユースケースはこんな感じ:* BIOS/UEFIで既存のWin10ドライブか新しいLinuxドライブのどちらかを選ぶデュアルブート。* アンテナントブートは全く必要ないから、毎回パスフレーズを入力したい。* 悪意のあるメイド攻撃に対する抵抗は嬉しいけど、盗難に比べたら優先度は低い。* 何か問題が起きた時に、壊れたコンピュータからドライブを取り出して他の場所でアクセスできるようにしたい。バックアップから再フォーマットして再ロードする必要はない。* セキュアブートをオフにした状態でディストロをインストールした場合、後でメリットのためにオンにできるのか、それともその逆も可能なの?

セキュアブートはいつでもオンオフできるよ。これによる唯一の影響は、測定値にバインドされているかもしれない暗号化キーを失うことだね。だから、悪意のある人に対抗するためには、LUKSキーをバインドする必要がある。でも、それと同時にLUKSキーに強いPINを設定することもできるよ。

SSDだから、デフォルトで暗号化されてるよ。ユーザーと管理者のパスワードを設定するだけで、フルディスク暗号化ができる!HDD/SSDのパスワードはBIOS/UEFIから設定できるし、僕のおすすめはHDPARMの—SECURITYコマンドを使うこと。ドライブを取り外しても、別のコンピュータから直接接続すればロック解除できるし、UEFIがHDD/SSDのロック解除をサポートしてれば問題なし。サポートしてなければ、Linuxで動くプレブート認証をドライブにインストールしてロック解除して、その後は普通の非暗号化ドライブとして動作するよ。HDPARMやOPAL標準について調べてみて。

デュアルブートのWindowsについては何も言えないな。WindowsアップデートがカスタムEFI変数の設定を上書きして、Windowsブートローダーを再インストールすることがよくあるって聞いたことがある。それ以外は、FDEとセキュアブートは関係ないよ。ボードのUEFIは、あなたのカーネル+initramfs(UKIバイナリ)か、好きなブートローダーを起動するんだ。ディストリビューションによっては、MSのサードパーティCAに署名されたgrubやsystemd-bootのようなブートローダーがすでにあるかもしれないし、その場合は自分のキーで生成して署名する必要はない。そうでなければ、自分のキーを生成してそれでセキュアブートを設定して、UKIバイナリやブートローダーバイナリにそのキーで署名する方法を考えないといけない。このinitramfsは、ルートやその他のパーティションを見つけてマウントする役割を果たすよ。systemdディストリビューションの場合、UAPI Discoverable Partitions仕様を使って(ルートパーティションには特定のタイプIDを使用)、systemdにはそのパーティションのLUKSパスワードをttyで入力するように促す組み込みのcryptsetupターゲットがあるよ。そうでなければ、ディストリビューションのinitramfsオプションを調べてみて。

  • BIOS/UEFIで既存のWin10ドライブか新しいLinuxドライブのどちらかを選ぶデュアルブート。grubとsystemd-bootはどちらかの利用可能なEFIバイナリを選択するメニューを表示するよ。そうでなければ、UEFIが似たようなメニューを表示するかも。
  • 壊れたコンピュータからドライブを取り出して、他の場所でアクセスできるようにしたい。再フォーマットしてバックアップからリロードする必要がないように。どんなPCでも、元のPCと同じパスワードを指定すればcryptsetupでドライブをマウントして復号化できるよ。
  • セキュアブートをオフにした状態でディストリビューションをインストールしたら、後でメリットのためにオンにできるのか、それともその逆も可能?はい。ボードのUEFIを起動して、SBの状態を「セットアップモード」に設定してからOSを起動し、新しいキーを生成して登録すれば、SBが「ユーザーモード」に設定されて次回の起動時に署名が強制されるよ。もし壊れたら、ボードのUEFIで「セットアップモード」に戻してOSを起動し、トラブルシュートやキーの再登録ができる。OSは以前にSBを有効にしていたことを気にしないけど、今はSBを無効にして起動することになるよ。セキュアブートとメジャードブートは違うから注意してね。標準のメジャードブート設定では、ディスク暗号化キーはボード上のセキュアエレメント(例えばTPM)がブートチェーンを測定して保護するから、ブートチェーンが前の測定と一致すれば自動的にディスクが復号化されて、一致しなければ自動的に復号化に失敗するよ。ディスクの復号化に失敗することへの懸念はこの設定に関するもので、SBには関係ないよ。でもLUKS暗号化されたパーティションは複数のキーを持つことができるから、メジャードブートで保護された暗号化キーと手動でディスクを解除するための緊急用パスワードの両方を持つことができるよ。

slicktuxの提案に賛成だよ:OPALを調べてみて。LUKSに比べて設定や使い方がずっと簡単だし、OSに対して暗号化が透明だから、複数のOSをマルチブートしても暗号化やパーティションツールとの互換性を心配しなくていい。だけど、ドライブはOPALをサポートしている必要があるから、SEDの管理にはsedcliをチェックしてみて。

お客さんにはWindows 11にアップグレードするよりもLinuxに切り替えることを勧めてるよ。 (scottrlarson.com) でも、実際の記事タイトルとはちょっと違う釣りのような感じだね… > Windows 10の引退と、マイクロソフトの監視国家への移行 もしHNのタイトルガイドラインに従っていれば、「recomming」を読む羽目にならずに済んだのに。

ごめんね。ハッカーニュースの読者向けに、スイッチの理由を説明しようとしてたんだ。

いいディストロの選択肢に加えて、Debian Stableもあるよ: https://cdimage.debian.org/debian-cd/current/amd64/iso-d... デスクトップ環境の選択肢がいくつかあって、インストーラーのイメージをブートするときにどれをインストールするか選べるし、後で追加したり減らしたり、ログイン時に好みを変更することもできる。見た目が良くて、95年以降のMicrosoft Windowsを使ったことがある人には使いやすいCinnamonが特におすすめ。ほかのデスクトップ環境も似たような感じだけど、現在のデフォルトのGnomeはちょっと直感的じゃないクリエイティブな感じだね。

私はメインPCにDebian Stable + Gnomeを使ってる。Linuxで利用できるネイティブアプリをいくつか使ってるし、他のアプリはほとんどウェブベース。昔はGnomeデスクトップがあまり好きじゃなかったけど、今のGnomeは速くて、無駄がなくて、邪魔にならないんだよね。

もう1年以上Unbuntuのバリアント(Pop_OS)を使ってるけど、意外と良いよ。デスクトップでは約10年間MacとWindowsを使ってたから、10年のビフォーアフターを体験してる。興味深い点は以下の通り: - 写真には、darktableが意外と良い。これが一番の驚きだった、Lightroomユーザーとしては。 - GIMPはずっと素晴らしかったけど、今はさらに良くなった。 - LibreOfficeは十分すぎるくらい使える。Keynoteが恋しいけど、致命的ではない。 - 図にはDiaが使えるけど、OmniGraffleが恋しい。 - Windowsアプリで恋しいものはない。Macアプリは恋しいけど(KeynoteとOmniGraffle)。 - ウェブ関連は何でもちゃんと動く。 - Linuxのノートパソコンのスリープ/復帰はWindowsよりも良いけど、AppleのMハードウェアには及ばない。 - Linuxのノートパソコンのバッテリー寿命はWindowsよりも良い。ほとんどWindowsがスリープ中にノートパソコンを起こすからで、Windowsノートパソコンを閉じて持ち運ぶと、数時間後にはバッテリーが完全に切れちゃう。Linuxにはその問題がない。 - 開発ワークフローは素晴らしい。Linuxでプログラミングする方が他のどれよりも好き。 - 余計なソフトや煩わしい通知がないのが本当に素晴らしい。

  • 図を作るなら、draw.ioは悪くない代替手段だよ。Photoshopユーザーには、Photopeaの方がGIMPより合うかもしれないし、本当にAdobeエコシステムに留まりたいならPhotoshop Express/Onlineもあるよ。

小規模から中規模の会社でITとソフトウェア開発をやってるよ。先月は急なプロジェクトがあって移行が終わらなかったけど、ほとんどのシステムをLinuxに移行中なんだ。ユーザーの90%はブラウザで作業してて、残りの10%は僕が作った社内アプリで動いてる。そのアプリはLinuxでも動くから、僕の作業用マシンは何年もLinuxだしね。少しMacと2台のWin11マシンは残るけど、他は全部移行する予定。メール、ドキュメント、ドライブはGoogleのエコシステムを使ってるから、Libre Chromiumの代わりにChromeを導入するつもり。ユーザープロファイルの問題をトラブルシュートしたくないし、どうせみんなデータにはアクセスできるしね。正直、OSの変更に気づかないユーザーが結構いると思ってる。

記事のポイントには全部同意だけど、最初のポイントだけは違うと思う。TPMとセキュアブートはユーザーの選択肢を減らしたり、国家や企業の監視を促進するものじゃないよ。ルートキットを防ぎたいならセキュアブートが必要だし、ユーザーパスワードなしで解除できる秘密を保存したいならTPMが必要だよ。特にセキュアブートに関しては、Microsoftは実際にユーザーの選択肢を促進したと思う。Windowsロゴに準拠したPCは、デフォルトでMicrosoftの信頼のルートをインストールする必要がある。Microsoftはそこで止まることもできたけど、そうしなかった。Windowsロゴに準拠したPCは、ユーザーが自分の信頼のルートをインストールできる方法も必要なんだ。Microsoftはその要件を追加する必要はなかった。確かに、大企業や政府の購入者はそれを求めるかもしれないけど、Dellを説得することはできるよ。結局、MicrosoftはすべてのPCにそれが必要だと言ったから、セキュアブートを利用したい人は、自分の信頼のルートをインストールしてブートイメージに署名する手間をかければできるようになったんだ。

その通りだね。今のスマホの状況を見れば、ベンダーに承認されていないものは起動できないからね。

その機能が変わったら、その状況を生み出す可能性があると思う。言葉を更新した方がいいかもしれないけど、消費者の選択肢の観点から見ると、そういう解決策はベンダー特有で、オープンな組織によって管理されているわけじゃない気がする。

でも、全体の設計がクローズドでファームウェアもそうだから、セキュリティはほぼゼロだよ。ファームウェアデバイスイメージ(例えばオプションROM)をシールすることさえ難しいし、ブートローダーはなおさら。いくつかのセキュリティホールが見つかってるし、標準のWindowsブートローダーでブートルートキットを起動するのに問題はないよ。手動でコマンドラインやグループポリシーでイメージをシールしない限り、同じイメージがワイプ後に起動するから、新しいブートローダーをインストールすることでバイパスされる可能性もあるんだ。

これは古い逆効果のFSFミームで、もう引退すべきだけど、なぜか残ってるよね。

「Secure Bootに関して言えば、Microsoftは実際にユーザーの選択肢を促進したと言える。Windowsロゴに準拠したPCは、デフォルトでMicrosoftの信頼のルートがインストールされている必要がある。Microsoftはそこで止まることもできたけど、そうしなかった。最初のSecure Bootの導入時は、BIOSがロックされていて、特定のデバイスではWindows 8しか起動できないようにされていた。あの時代のWindows RT ARMマシンがそうだった。今は、再びマシンをロックダウンするにはビットをひっくり返すか、e-fuseを吹き飛ばすだけで済む。すでにスマホやタブレットではそうなってる。TPMや暗号コプロセッサを悪用してリモート認証を強制する可能性もある。私はあなたの最初の段落に賛成し、すべてのマシンでSecure BootとTPMを使っている人間としてこれを言う。」

表面的にはただのセキュリティ機能だけど、実際には業界全体がそれを使ってデバイス認証システムを実装して、プラットフォームをロックダウンしてソフトウェアエコシステムの中央集権的な管理を進めているんだ。別のOSをインストールできても、重要なアプリやウェブサイトが動かないならあまり意味がないよね。

TPMとSecure Bootは、第三者に対してそれを使っていることや特定の設定をしていることを証明する手段がなければ良いものなんだけど(つまり、リモート認証のことね)。それが可能であることが、ユーザーの選択肢を減らし、国家や企業の監視を促進する要因になってるんだ。

https://www.welivesecurity.com/2023/03/01/blacklotus-uefi-bo...

これを後悔することになると思う。何かが変わって「くそっ、Win11!」ってなるかも。でも、今はWindows 11 Pro(Windows 10 Proからアップグレードした)を使ってるけど、ほとんど違いを感じてない。もしかしたらPro版だからかな?それとも2つのプロファイルがあるからかも。インストールに使ったのはMicrosoftアカウントが必要なやつで、普段使ってるのはローカルアカウント。もう一方のアカウントを使ったのはいつだったか思い出せない。多分、Windows 11にアップグレードしたときかな。Microsoftを擁護するつもりはないけど、設定に入ってできるだけオフにしたよ。Win-E(それともWin-Wだったかな)を押すたびにExchangeのインストールを促されるのを止めるのに手間取ったし、これをよく使うからね。Win-WはMacだとCmd-W(新しいウィンドウを開く)だし(A: Powertoys)。だから、これには文句言ったけど、解決策は見つけた。それ以外は、今のところは大体邪魔にならずに動いてる。あまり違いに気づかないんだよね。Pro版だから?ローカルアカウントだから?それとも運が良かっただけ?わからないけど、少なくとも今のところ使える可能性はあるってことだね。

あなたが「OSを設定して邪魔にならないようにする」ためのキャパシティに達してないだけのように聞こえる。それは人それぞれの選択だよね。Windows 10は、インストール後に変更しなきゃいけないデフォルトの数が多すぎて、結局私のキャパを超えちゃった。これがWindows 10がリリースされてすぐのことで、私はWindows 7の後に出たWindows 8のハイブリッドのモンスターが嫌いだった。Windows 7が最高だと思ってるからね。だから、Pop! OSに移行して、デスクトップとノートパソコンで5年以上楽しんでるよ。

セミパワーユーザーなら誰でも気づいてイライラすること: * OSをインストールするのにインターネットとMicrosoftアカウントが必要 * スタートメニューがプログラムリストにアクセスするのに2回クリックが必要 * 右クリックで使いたいオプションにアクセスするのに2回クリックが必要(例えば、7zで解凍したり特定のプログラムで開く) * タスクマネージャーが遅くてラグがある * 通知エリアにゲームインストールを促すランダムな広告が出る * ... あと、日常的にイライラさせる小さなバグがあちこちにある: * エクスプローラーのタブが時々クリックを受け付けなくなる(キーボード選択はできる)。だから、タブを閉じて再オープンする必要がある * キーボードレイアウトの設定が壊れて、リセットする適切な方法がない(この設定が新しい設定アプリの20階層も深く埋もれていることはさておき) * 設定アプリの検索が機能しない * ... 私の意見では、これが最悪のWindowsバージョン(VistaやMEを抜いて)だよ。普段はLinuxを使ってるけど、仕事ではWindowsを使わざるを得なくて、もちろんWindows 11にアップグレードさせられたよ...

これは、顧客がすでにかなりのコンピュータ経験を持っている場合にのみ機能する。大多数の人にとって、Linuxは乗り越えられない課題を提示して、深刻なフラストレーションにつながるだけだと思う。私は毎日Linuxを使ってるけど、単純に大衆向けにはまだ準備ができてない。一般の人が何かカスタマイズしようとした瞬間、苦労することになるよ。

大多数の人は、ウェブブラウジングやドキュメント/スプレッドシートの編集など、基本的な機能のためにPCを使ってると思う。そういうユーザーにはLinuxで十分だよ。私の70歳の母がその典型例で、Windows 3.1から7までのすべてのバージョンを使って、10年前にLinuxに切り替えたけど、全く問題ないよ。もし母がLinuxを使えるなら、普通の人も使えるはず。問題が起こるのは、パワーユーザーや特定の専用ソフトウェア/ハードウェアの要件があるユーザーだね。カーネルレベルのアンチチートがあるゲームをプレイするゲーマーや、AdobeやAutoCADなどに依存しているプロフェッショナルたちがそうだ。