55％の企業がサポート終了後もWindows XPを継続利用

　Windows XPの延長サポートがこの4月で終了いたします。…というような話は、既に読者の方は読み飽きているかもしれません。しかし間違いなく今年のセキュリティ対策の中核を占めるトピックですので、何度でも繰り返させていただきます。

　なぜこのようなお話を冒頭にしたのかといいますと、私の所属するNRIセキュアテクノロジーズが実施したある調査に深い懸念を抱いているからなのです。

　NRIセキュアでは、国内各社の情報セキュリティ担当者へのアンケート「企業における情報セキュリティ実態調査 2013」を通じて、セキュリティの「今」を毎年レポートしております。本年の調査内容には正に本件、「Windows XPサポート終了に伴う企業のセキュリティ対策状況」がトピックとして含まれています。

　まずこちらの内容からご報告しますと、実に55％の企業はサポート終了後も継続利用する（ただし継続サポートを行うアンチウイルス製品の導入を付帯条件とするケースが多い）という結果となりました。

XPのサポート終了問題は世界的なホットトピック

　Windows XPサポート終了の問題で揺れているのは、日本だけではありません。本連載は世界的に著名なセキュリティ専門組織「SANS」のニュースレターよりトピックを取り上げるものですが、XPに関連したたった1行のニュースにさえ、複数のSANSメンバーより熱いコメントが寄せられている状況です。

　やはりXP問題は、それだけ重要なトピックなのです。折角ですので、本記事にて要約してご紹介したいと思います。

「SCADA/ICS系の機器でXPは広く利用されており (※)、急激な移行は困難である。しかしそれが故に攻撃者の標的になり得るのは明らかである。」 (Assante氏)

※筆者注：組込機器用途であるWindows XP Embeddedについては、延長サポート終了は2016年です。しかして、オペレーション用端末など通常のXPの利用が多いのもまた事実です。

「従来利用のアプリケーション、組込ソフトウェアの問題もある。ファイアウォール や ”ラッパー” (※) の導入検討をお願いする。」 (Murray氏)

※筆者注：いわゆる TCP Wrapperのような、ホストベースのアクセス制御システムを指します。即ちファイアウォールでのネットワーク経路上対策だけでなく、ホストごとでもアクセス制御を施して、多層防御を実現すべし、という意味です。

「インフラ自体を安全にするために依存しているものがあってはならないし、そうであれば依存するリスクの検討もしなければならない。」 (Pescatore氏)

「Windows XPを必要とするシステムがある場合は、保護対策を検討しなければならない。アップグレードできない原因となっている機能に限定し、不要なソフトウェアを削除すべき。」 (Ullrich氏)

　日々最前線でセキュリティを担っている彼らの声には強い説得力を感じます。私からもこれらの意見に少々補足を付けたいと思います。

【次ページ】非OA環境のXPはどうする？取引先のXPはどうする？アップグレードが間に合わないのなら…？