Comments
Description
Transcript
最終対策
特集 特 集 サポート切れ直前! サポート切れ直前! Windows XP機 機、最終対策 Windows XP 最終対策 Windows XPのサポートが4月9日でついに終了する。 こうスッキリと最後を締めくくれれ だが、企業内にはいまだ移行を終えていないXP機が多く残る状況だ。 ばよいのだが、残念ながらそうはいか 移行までの間、XP機をどう守っていけばよいかを解説する。 ない。4月10日以降も、国内企業には (斉藤 栄太郎) まだ相当数のXP機が残る見込みだ。3 月の駆け込み移行が想定されるもの X P サポート期 限 切れ (4月9日) 2014年 3月 OSの脆弱 性情報公開 とパッチ提供 2015∼2017年頃? 4月 5月 6月 … OSに関する脆弱性情 XP対応ソフ 報の公開とパッチ提供 トのサポート がない状態 も終息 新たに見つかったOSやアプリの脆弱性を修 正できない「常時ゼロデイ状態」 に に 1 4月10日以降「常時ゼロデイ状態」 図 48 NIKKEI SYSTEMS 2014.4 2014年4月9日、 つ い にWindows の、日本マイクロソフトが公表してき XPのサポート終了日を迎える。2001 たデータなどを基に考えると、サポー 年10月25日の発売以来、主力のクライ ト終了時点でもなお100万台単位で残 アントOSとして12年半にわたって企 ると見られる。 業のITを支えてきたが、ようやくそ の役目を完全に終える。4月10日以降 移行できない三つの理由 はOSの脆弱性が見つかっても修正さ 企業ユーザーがXP機を移行しない/ れないままになる、いわば「常時ゼロ できない理由は何か。大手セキュリ デイ状態」になる(図1) 。そのため、 ティベンダーのトレンドマイクロは リスクを冒して利用する企業はさすが 2013年12月、企業のIT管理者約500人 にもういない―。 を対象にアンケート調査を実施した。 それによると「時間の関係で移行し切 れていない」 「XPでなければ動かない 業務アプリがある」 「必要なコストが捻 出できない」という三つの理由が上位 を占めた。何年も前から分かっていた 誤解1 誤解2 ウイルス対策ソフトを入れて 最新の状態を保てば大丈夫 だろう XPは12年以上も使われてきたか ら、十分枯れてもう危険な脆弱性 は少ないのでは? OSそのものに脆弱性 があると防ぎ切れない いまだ多数の脆弱性 が見つかり続けている状況 XP ことなのに、企業として社会的に責任 を果たしていないという意見も多いだ ろう。しかし、今必要なのは批判では なくソリューションである。 誤解3 一方、企業向けにXP機の移行支援 うちは小さいから、狙われて被害を 受ける可能性は小さいだろう サービスを提供するITベンダー各社に 度の間に、企業内に残ったXP機の多 2 「XPのサポートが切れること」に関する主な誤解 図 かった。 つまり、XP機を抱える多くの企業 にとって、4月10日から移行日までの “つなぎ期間” をどうしのぐかが喫緊 ( 1 )W e bサイトを改 竄 し、XPからのアクセスが あったときのみ攻撃する プログラムを仕掛ける 正規のWebサイト W eb アク セス セス アク 正 可能な限り軽減し、攻撃者の手から 不 (3)感染 XP機を守り切る。本特集はそのため に必要となる実用的なリスク軽減策を XP 情報漏洩や遠隔制御 紹介する。 リスクを知る 確実な脅威が目前に迫る 攻撃者 (2)XP機でWeb サイトにアクセス 機、最終対策 Windows XP の課題となる。セキュリティリスクを サポート切れ直前! くが移行するだろう」という意見が多 特 集 正規Webサイト経由の 待ち伏せ攻撃などでやられる 尋ねたところ、 「今後数カ月から1年程 (4)何でもやり放題 企業ユーザー 3 現在の主流は外からの攻撃ではなく「外で待ち構える攻撃」 図 企業規模に関係なく、あらゆるXP機が攻撃を受ける可能性がある 最初に「サポート切れとなったOS を使うことのリスク」を正しく理解す べきものだが、サポートの切れたXP だ。 「そうした新規の脆弱性に対して今 るところから始めよう。これが分から を守るには不十分だ。これは取材した 後情報の公開やパッチの提供が一切な なければ、軽減策を考えたり実施した すべてのセキュリティ関係者が口をそ くなることを考えると、利用リスクは りすることはできない。 ろえる事実である。 非常に高い」 (IPA 技術本部 セキュリ まずはXPのサポート切れに伴うリ 「12年以上も使われてきた “枯れた ティセンター 情報セキュリティ技術ラ スクに関する三つの誤解について知っ OS” だから、脆弱性はもうあまり残っ ボラトリーの大森雅司研究員) 。 ておきたい(図2) 。 ていないだろう」という誤解もある。 “攻撃手法の変化” によって生じた誤 筆頭となるのが「ウイルス対策ソフ 情報処理推進機構(IPA)が公開した 解もある。 「うちは小さいから狙われ トを入れて最新の状態を保てば大丈 データによれば、2009 ~ 2013年の過 て被害を受ける可能性は低いだろう」 夫」という誤解だ。ウイルス対策ソフ 去5年間のうち2012年を除いて、XPに という考え方がそれ。一昔前によく トは基本的に、既知のウイルスを見つ は毎年100件を超える脆弱性が報告さ あった考え方だが、今ではもう通用し けて駆除するだけ。OSの穴(脆弱性) れている。この傾向から見てXPにまだ ない。 「最近は正規のWebサイトを改 をふさぐことはできない。必ず導入す 多数の脆弱性が残っていることは確実 ざんして待ち構えるタイプの攻撃が主 NIKKEI SYSTEMS 2014.4 49