XPを利用し続けることはリスク - 官民一体で挑むXPサポート終了対策

日本マイクロソフトは2月13日、「Windows XPサポート終了に向けたセキュリティ対策」の記者会見を開催した。

Windows XPのサポートは4月9日に行なわれる月例のセキュリティ更新プログラム配信をもって終了となる。13日でサポート終了まで残り55日となり、また、政府が情報セキュリティ政策会議で制定した「情報セキュリティ月間」のタイミングでの記者会見でもある。

会見に登壇した日本マイクロソフト 業務執行役員 最高技術責任者でマイクロソフト ディベロップメント 代表取締役社長の加治佐 俊一氏はWindows XPからのPC環境移行を促す上で、「最新のWindows 8.1は多層防御という考え方、一つ目が破られても次で防御する仕組みを導入している。安心して利用していただけるように、サポートが切れるXPから最新のPCへと移行していただきたい」と語った。

この取り組みは、安全安心なセキュリティ環境への移行促進であると共に、安倍政権が制定した「日本再興戦略」でITをキーポイントとしていることの下支えとしてのサイバーセキュリティ戦略の要でもあるという。

経済産業省 商務情報政策局で情報セキュリティ政策室 室長を務める上村 昌博氏は「ITを利用した戦略を進める上で、サイバーセキュリティ戦略は重要な要素となる。官民一体となってIT活用基盤を拡げていくためにも、サイバー攻撃に対する対策をしっかりしなくてはならない」と、政府としてもセキュリティ対策への取り組みを行なっていく考えを示した。

その一方で、「政府だけでセキュリティ対策を進めることは困難。各企業やセキュリティベンダー、マイクロソフトなど、それぞれと連携した上で、『XPを利用し続ける』ことに対してリスクがあることを改めて考える必要がある。日本人は自分のモノを大切に使う傾向があると言われているが、ネットに繋がっているサポート切れのPCを使い続けることはリスク」とサポート切れのOSを使い続けるデメリットを指摘している。

会見には、JPCERTコーディネーションセンターや各社セキュリティベンダーの代表者も登壇。

JPCERT/CCの早期警戒グループ 情報分析ライン リーダーで情報セキュリティアナリストを務める満永 択邦氏は、この4年間で同センターに対するインシデントの報告数を記した図を示し「ここ1年は報告数が急増しており、3カ月で1万件の報告が連続して続いており、平均して1日に100件以上のインシデントが発生している状態。背景にはITの社会インフラへの導入が進んでいるほか、ネットの世界的な普及や攻撃用インフラの整備など多面的な要因がある」とした。

その上で「適切にPCが管理されていれば、98%は攻撃を受けずに済む。適切な管理とはセキュリティの修正プログラムなどのパッチマネジメント。こういった基本的なセキュリティ対策が出来なくなるという点で、Windows XPの継続利用は厳しい。ただ、予算の都合などで、全ての企業が4月にPCを切り替えるのは難しいことが現実。お手上げといって投げ出すのではなく、リスクが高くなってしまうことと向かい合って、リスクをどのように低減していくかを考える必要がある。1年、2年と使い続けるのではなく、どこかのタイミングで移行することを計画し、セキュリティベンダーが提供する様々なサービスを活用してリスクを下げて欲しい」と管理運用の徹底を行なうよう指摘している。

また、トレンドマイクロ 取締役副社長の大三川 彰彦氏やシマンテック 執行役員 マーケティング統括本部で本部長を務める岩瀬 晃氏は、近年増加傾向にある標的型攻撃が大企業だけではなく、中小企業も標的にしていることを説明。「企業ユーザーだけではなく、個人ユーザーも含め、全員がサイバー攻撃とは無関係とは言い切れない」(トレンドマイクロ・大三川氏)や「中小企業は大企業と比較してセキュリティが脆弱であるケースが多いし、大企業との取引がある企業は狙われていることを意識してほしい」(シマンテック・岩瀬氏)とした。

ほかに、マカフィーでサイバー戦略室 グローバル・ガバメント・リレイションズ 室長を務める本橋裕次氏は、具体的にセキュリティソフトの運用面で、リアルタイムスキャンをかけるだけでは、根本的な対策になっていないことを説明。「シートベルトと同じで、セキュリティソフトはちゃんとした利用方法を心がければ安心。リアルタイムスキャンによって、常に入ってくるファイルを監視していれば大丈夫だろうと思っていると、それは間違い。ストレージに保存されているファイル全てをスキャンするフルスキャン/スケジュールスキャンと組み合わせて初めてしっかりとした利用方法になる」と説いた。これは、PCを頻繁に利用しないユーザーの場合、セキュリティスキャンを行なう際のパターンファイルがPCにダウンロードできておらず、更新される前にマルウェアが侵入する可能性があるためだという。本橋氏は「パターンファイルが最新のものであるか、そしてフルスキャンも合わせて1週間に1回は気を付けてほしい」とした。

一方でカスペルスキー 代表取締役社長の川合 林太郎氏は、「日本のセキュリティリテラシーは高くない」と指摘。

「私の両親は80歳近くになるが、20年前からMacを使うなど、ITリテラシーが高いと考えていた。だが先日、『PCが使えなくなるって聞いたんだけどどうすればいいの?』との相談を受けて、良く聞いてみると、Windows XPがサポート切れになるというだけの話だった。親だけの話ではないが、日本人は自分の身になってみないと危機感を持たない節がある」(川合氏)

川合氏は例え話として「カスペルスキーなどのセキュリティベンダーは家を犯罪者から守ることはできるけど、シロアリ対策や雨漏り、台風といった根本的な家の脆弱性には対処できない」と語り、最も有効なセキュリティ対策であるセキュリティパッチの配信がなくなることが、一番危険であることを強調。その後登壇したFFRI 代表取締役社長の鵜飼 裕司氏も「XPの延命措置としてパッチが当てられないところのリスク軽減を図る製品は提供しているものの、根本的な解決にはならないことを認識してほしい」と話した。

なお、マイクロソフトでは以前よりWindows XPのサポート終了に対する啓蒙活動を行なっており、PC購入支援や移行促進、セミナーなどの各種移行支援サービスをパートナー企業と共に行なっている。また、一般コンシューマー向け施策として、最新PC環境へ移行するにあたって必要な情報を開設した小冊子を配布する。この小冊子には「今でしょ!」でお馴染みの林 修先生が起用されており、Windows 8.1やOffice 2013などをわかりやすく解説している。

最後に日本マイクロソフト チーフセキュリティアドバイザーの高橋 正和氏は、「XPのシェアはハッキリと掴めないが、4月9日の目標として1割、750万台まで引き下げたい。マイクロソフトのセキュリティソフトであるMicrosoft Security Essentialsは定義ファイルやエンジンに関する更新プログラムを2015年7月14日まで提供するものの、ダウンロードは4月9日までとなる。Webブラウザやメールしか使わないからと言うユーザーがいるが、PCやネットワークの機能をフルに使っていることを忘れないでいただきたい」と、サポート終了によってマルウェア感染の危険性が高まることを再度強調していた。