knoppixとかのようにCDにまるっと載ってしまうモノって、ナニゲにいろんなリスクを避けられてイイですよね。ハードディスクに載せられているモノとは異なり、USBメモリの内容物を防御すればイイということになりますしねえ。
もちろんそのまんまだとUSBメモリって単に容量が小さいディスクでしかありませんから、カーネルの汚染は避けられたとしても、USBメモリに入れる動的なデータへの攻撃を避けることはできません。しかし、動的なデータは限定できるので、カーネルも動的なデータも両方防御する場合と比べて対象は大幅に減りますよね。攻撃する側から言えば自由度はかなり減りますしねえ。また、攻撃による影響の深刻さもかなり低減されると思います。
あとは、起動中の（USBではない）メモリ空間内のデータの汚染が問題となるくらいでしょうか。
もしかしたら、適切なバッファオーバーフロー防止機構を組み込んだOSを1CDモノにしておけば、かなりのリスクを避けることができるようになるんじゃないですかねえ？*1
書いてる途中で更新したらすかさずツッコまれてしまいましたが（笑）、さらに言えば1CDにしちゃった上で、SELinuxとかになっていたとしたら、データリソースのアクセスコントロールのみに集中すればいいから、もしかしたら機能もサブセットとかでいいかもしれないし、管理の手間とかも軽減できたりするのかなあ？どうですー？＞中村さん（笑）。