Windows 7を今もまだ使っていますか?OSサポート終了に伴うセキュリティリスクと「2020年問題」への対応
多くの企業で利用されているWindowsですが、Windows 7、Windows Server 2008 / 2008 R2は2020年1月14日にOSサポートが終了したことをご存知でしょうか?OSのサポートが終了すると、以降のアップデートを受けられなくなり、セキュリティにおける危険性が高くなります。
「サポートが切れたけど、何も変わらないのでは?」と思われる方もいらっしゃるかもしれませんが、時間の経過とともに確実にセキュリティのリスクは高まります。
今回の記事では、Windowsの「OSサポート終了」に関して、概要、バージョンアップの実態、「2020年問題」といわれるサポート終了後のリスクと対応について述べます。
あわせて次回の記事では、そのリスクを生み出す「脆弱性」といったキーワードを中心に、具体的にどのようにリスクが高まるのか、その仕組みや事例などを含めてご説明します。
これらの記事が、バージョンアップ計画など貴社のIT推進の一助となれば幸いです。
Windows OSのサポート終了とは
サポートは大きく2つの期間に分かれている
Windowsのサポート期間には、大きく分けて前半の「メインストリームサポート」と後半の「延長サポート」の2種類があります。
製品発売後の最低5年間はメインストリームサポート期間となり、セキュリティアップデートや新機能の追加、パッチを介してバグを修正するバグフィックスなどのアップデートが提供されます。メインストリームサポート期間終了後は延長サポート期間となり、セキュリティアップデートのみが提供される期間になります。こちらも、メインストリームサポートの終了後、最低5年間サポートされます。
延長サポートも終了してしまうと、それ以降セキュリティアップデートが行われなくなります。
Windows OSのサポート期間
以下に各種Windows OSのサポート期間をまとめました。
ここ最近(2020年1月14日現在)では、Windows 7とWindows Server 2008 / 2008 R2の延長サポートが終了しました。Windows 8.1も2023年までで延長サポートが終了します。またWindows 8は既にサポート対象外となっており、留意が必要です。
OSサポート終了時の継続利用実態
では延長サポート終了時に、どのくらいの台数が継続利用されているのでしょうか?過去の主要OSについて、サポート終了時のWEB記事を見てみると、Windows 2000では「OSサポート終了後稼働するサーバーは10万台以上、クライアントマシンは20万台以上」*1とされ、Windows
XPでは「法人市場で241万台、家庭市場で351万台が、OSサポート終了後も使用される」*2といった見込みが述べられています。
そして今回のWindows 7では「法人で753万台、一般家庭で639万台が残る」*3と見込まれています。
移行遅れの増加 サポート終了による「2020年問題」
Windows 7やWindows Server 2008 / 2008 R2に加え、Office 2010等のマイクロソフト社の重要なソフトウェアのサポートが2020年に相次いで終了します。これにより多くの企業がタイムリーに次世代バージョンへ移行できず、セキュリティが脆弱となる「2020年問題」が危惧されています。
マイクロソフト社からの2019年7月の発表では、「従業員1,000人以上の大企業では、95%がWindows
10に向けた活動を開始しており、移行は順調に進んでいる」とする一方で、「Windows 7サポート終了時期を認知している中小企業は77%にとどまり、移行に遅れがみられる」*4としています。
これらの結果を踏まえると、大企業より中小企業の方が「2020年問題」に直面しやすいと考えられます。
またWindows Server 2008 / 2008
R2といったサーバーOSでは、データベースやメールサーバー等さまざまなシステムを稼働させていることが多く、個人端末のPCに比べて移行作業の負荷が大きくなる傾向があります。これらもタイムリーな移行を妨げる要因になると懸念されます。
では、このような移行遅れによって、サポート終了OSをそのまま使用し続ける場合、どのようなリスクがあるのでしょうか?
サポート終了OSを使い続けるリスク
OSサポートが終了したままPCを使い続けると?
OSサポートが終了したPCでは、セキュリティアップデートが行われません。そのため新たな脆弱性が見つかってもその対策がなされず、無防備な状態で運用を続けることになるので、セキュリティリスクが高まります。
実際にOSの脆弱性は日々見つかっており、そのたびにOSサポートでセキュリティパッチが配布されています。Windows XPの時代では、年間300件以上の脆弱性が発見されており、そのたびにセキュリティパッチが配布されていました。
OSサポートが終了したPCを使い続けるということは、これらの脆弱性を放置したまま運用することになり、時間の経過とともにセキュリティリスクは高まります。
セキュリティ被害の例
- サイバー攻撃による「情報漏えい」や「業務機能の停止」
- 前項被害に関連した顧客情報流出による「社会的信用の失墜」や「損害賠償」
- フィッシング詐欺等による「金銭被害」 等
OSの構造は非常に複雑なため、セキュリティ的に弱い部分である「脆弱性」がどうしても含まれるものです。サイバー攻撃も年々巧妙化しており、OSの脆弱性を狙ったさまざまな攻撃が行われることで、上記のような被害を受けるリスクがあります。
「脆弱性」の詳細については、次回の記事でもご説明します。
OSサポート終了への対応方法
ではOSのサポート終了に対しては、どのような対応方法があるのでしょうか。
Windows 10へのアップグレード
第一の対応方法は、Windows 10へのアップグレードです。Windows 10には、パッケージ版・ダウンロード版・DSP版があり、適宜選択できます。
延長サポートサービスの運用
使い慣れたWindows 7のままセキュリティ対策を行いたいという企業では、有償延長サポートプログラム「Windows 7 Extended Security Update(ESU)」が活用できます。Windows 7 ESUは、2023年までセキュリティパッチを提供する延長サポートサービスです。
Windows 7 ESUを利用することで、2020年の延長サポート終了後も同様にセキュリティ更新が行えます。しかし、費用に関しては年ごとに上昇しますので、Windows 10へのアップグレード費用と比較検討することをお勧めします。なお、Windows 7 ESUを利用しても最終的にはWindows 10へのアップグレードが必要になりますが、直近のアップグレードが難しい場合は、有力な選択肢となります。
新しいPCを購入する
Windows 10搭載のPCを新規購入することは、重要な選択肢です。Windows 7に比べて高機能なWindows 10は多くのハードウェアリソースを必要とします。2009年にリリースされたWindows 7が、古いPCで快適に動作していても、Windows 10ではリソース不足となる可能性が出てきます。
またWindows Server 2008 / 2008 R2を使用している企業においては、Windows Server 2016へ移行するケースが一般的ですが、既存のハードウェアを使用し続けるかどうかがポイントになります。Windows Server 2008 / 2008 R2を使用している企業のハードウェアは約10年使用されていることになり、そのまま使用する場合はハードウェア故障のリスクも高く、やはりサーバーの新規購入が有力な選択肢となります。
更新をせずそのまま継続使用せざるを得ない場合
サポート終了にあたっては、基本的に前述のいずれかの対応が求められますが、業務上どうしてもサポートの切れたPCを利用しなければいけない場合もあり得ます。
このような場合は、以下の点についての十分な考慮、検討が求められます。
- 外部ネットワークに接続されないクローズドな運用(機会リスクの低減)
- 機密性の高いデータを扱うような業務を行わない(被害リスクの低減)
- 情報漏えいや業務停止等のインシデントを事前に十分考慮、対策しておく(リスクの予想と対策)
勿論、これらの対応によってリスクがなくなるわけではありません。基本的には、前項に述べた根本的対応が必要なことには変わりありません。
まとめ
この記事では、2020年のOSサポート終了に伴うリスクや対応などについて述べました。
貴社では、既にこれらの対応を完了しているでしょうか?まだ対応できていない、もしくは対応遅れの機器が残っているかも知れないと思われるなら、今一度、社内のPC、サーバーの状況を確認し、確実に対応されることをお勧めします。
社内PCのOSバージョンを正確に把握できていますか?
ここまで述べてきたOSサポートの終了に伴うアップグレードや延長サポートの適用を行うためには、まず社内で利用されているOSバージョンの正確な把握、管理が必要です。しかし企業によっては、自社PCのOS状況の把握が完全にできていないことは決して珍しくありません。利用者からの申請内容を台帳管理するだけでは、いつの間にか現場で改版されていたということも起こります。またこれらの管理には多くの工数を必要とするため、なかなか徹底できないことも多いものです。さらに会社資産のPCだけでなく、私物端末を使用可としている場合はそのOSバージョンの把握も必要となり、私物管理独自の難しさが加わります。BYOD(私物端末業務利用)については、是非以下の記事もあわせてご参照ください。
「BYOD(私物端末の業務利用)とは?メリット・デメリットと導入にあたって考慮すべきポイント」
OSサポート終了への対応を検討されるなら、これらIT機器管理の見直しもあわせて検討されることをお勧めします。
iNetSec SFは、セキュリティ対策の第一歩をサポート
PFUが提供するiNetSec SFは、以下のような基本的なセキュリティ基盤を提供し、対策の第一歩をサポートします。
①社内ネットワークの見える化
iNetSec SFを社内ネットワークに接続するだけで、接続されているIT機器をリアルタイムに見える化、把握することが可能。
②リスクのある端末をネットワークから遮断
持ち込み端末やセキュリティパッチのあたっていない脆弱な端末をネットワークから自動遮断して、クリーンなIT環境を維持します。
iNetSec SFを社内ネットワークに接続することで、IT機器の状況の「見える化」を実現することができます。現在把握できていない端末接続も発見でき、IT機器管理をサポートすることができるサービスです。
現場任せになっているOSアップデート等の管理漏れや脆弱なOS環境を発見することができる「iNetSec SF」で、効率的なIT機器管理を実現してみてはいかがでしょうか。
「iNetSec SF」の詳細はこちら
Windowsは、米国Microsoft Corporationの、米国、日本およびその他の国における登録商標です。
<出典>
- *1: アイティメディア株式会社(2010/7/5)「Windows 2000のサポート終了まで1週間、最大のリスクは「脆弱性」」
- *2: 株式会社アイ・ケイ・シー(2014/4/12)「Windows XP サポート終了 やむをえず継続利用するなら・・・・・」
- *3: アイティメディア株式会社(2020/1/6)「Windows 7のサポート終了まで残り1週間、日本マイクロソフトがWindows 10への移行を改めて訴求」
- *4:日本マイクロソフト株式会社(2019/7/16)「サポート終了まで半年。Windows 7の稼働状況と、最新環境への移行支援施策のご紹介」