サポートが終了したWindows XPのリスクと対処法とは?

クオリティソフトは7月4日、グランドアーク半蔵門にて「PC・ネットワークの管理・活用を考える会(PCNW) 大会 2014」を開催した。PCNWとは、日頃から社内のシステム管理に悩みを抱えている情報システム管理者を対象に、事例講演やディスカッションなどで解決策を探っていく会である。今回のイベントは年1回行われており、今年のテーマは「どう対処する! 回避不能な『サポート切れ』のリスク」。それでは、基調講演と事例講演の様子を見ていこう。

※当日の資料はWEB上でも公開中

攻撃者にとってWindows XPは絶好のターゲット

今回のイベントは、PCNW事務局長であり、クオリティソフト 代表取締役社長の久保統義氏による「19年目を迎えた本大会は、1年の総括であり、1年のキックオフでもあります。メインの取り組みとして、年間を通じて行っている勉強会についても、これまで同様多数の方のご参加をお願いします」という挨拶で開幕した。

「攻撃者の変貌と、その視点から考えるXP利用のリスクと対処法」と題した基調講演では、NRIセキュアテクノロジーズ 上級セキュリティコンサルタント 事業開発部の与儀大輔氏が登壇。冒頭で情報セキュリティ3要素に関する考え方の違いを挙げ、「日本において、情報セキュリティでは、最初に習う3要素は『C.I.A』(Confidentiality:機密性/Integrity:完全性/Availability:可用性)です。一方、IT先進国の欧米では『A.I.C』と、可用性を重視しています。私たちのようにITに携わる人間は、これをいかに利活用し、便利に普及させるかを考えなければいけません。つまり、『A.I.C』の視点で考える必要があるわけです」と語った。

続いて与儀氏は、Windows XPのサポート終了に関する概略と脆弱性について解説。脆弱性対応の考え方として、「ゼロデイ攻撃」は全体から見ると極めて微少に過ぎないため未公表の脆弱性は、公表されているものよりは相対的に危険ではない点、更新プログラムの公開をきっかけに脆弱性分析および攻撃コードの開発が始まる点、そして早期パッチ適用の重要性を指摘した。

XPを使い続けることの問題として、もっとも懸念すべきなのは悪意あるソフトウェアに感染することだという。Windows XP SP2の感染率は、Windows 8の約6倍に達するという資料を挙げ「サポートが切れると、マルウェア感染率は一気に高まります。そして攻撃者は労力に見合わないことはやらないため、狙いやすいところにターゲットを絞り込むのです」と警告する与儀氏。さらに同社が実施した「企業における情報セキュリティ実態調査2013」から、Windows XPサポート終了後も55.4%の企業が継続利用を予定しているとの結果を示し、警鐘を鳴らした。

高度情報セキュリティ人材の育成が鍵

与儀氏は、ここ数年で攻撃者とサイバー脅威も大きく変化してきている現状も解説した。従来のように、愉快犯や自己顕示欲を満たすことが中心だったいわゆるHackerやGeeksのような存在から、最近ではハッキングを抗議活動の道具として、より広い闘争に参加する「Hacktivist(Hacker＋Activist)」が増加。目的についても、換金可能な情報売買やオンラインバンクを狙うものも増加しており、政府機関や国家機密を狙うものまで現れている。

続いて、こうした脅威の対処に必要な情報セキュリティ人材育成動向を紹介した。NPOの(ISC)²が認証する情報セキュリティ専門家資格「CISSP(Certified Information Systems Security Professional)」の取得者数から、日本が深刻な情報セキュリティ人材不足に陥っている現状を指摘。日本の取得者数は1,334人で、米国の6万950人と比べて明らかに少ないのはもちろん、韓国の2,902人に対しても半分以下となっている。

一方で、世界的に見ても情報セキュリティ人材のニーズは増加を続けており、企業では慢性的な人材不足が懸念されている。情報セキュリティの専門家に求められる要素としては「包括的かつ専門的なセキュリティスキルと、洗練されたコミュニケーションスキル」を挙げ、同時に資格取得の必要性も強調した。人材育成のポイントについて、与儀氏は「"as is"から"to be"へ、情報セキュリティはStep by Stepで学ぶことが重要です」とした上で、企業としてはスキルの可視化や教育予算の確保も重要だと解説した。

与儀氏は、最後にまとめとして「常に最新の情報収集を行い変化し続ける攻撃者とサイバー脅威に対して、ツールやシステム強化のみではセキュリティ確保ができないことを認識する」「セキュリティ強化には人材育成が欠かせないことを理解し、どのように"高度情報セキュリティ人材"を育成するのか検討する」「社員のスキルを可視化してキャリアマップを作成する」という3つのポイントを掲げ、講演を締めくくった。

プロジェクト視点の4要素"要求/影響/スケジュール/対策"

事例講演「Windows XPから7へ ～移行事例と残ったXP搭載パソコンのリスク低減策～」では、大成建設 社長室情報企画部長 兼 大成情報システム 代表取締役社長の柄登志彦氏が登壇。同社では実際にWindows XPからWindows 7への移行を実施中であり、その経験に基づくポイントを解説した。

同社では、2009年5月にOSの更新プロジェクトを発足した。Windows XPのサポート終了を受け、Windows 7への更新を決定したプロジェクトでは、「要求」「影響」「スケジュール」「対策」の4つのキーワードを要素として挙げている。OS更新の必要性や期日に関するものが「要求」となる。

端末数も多い、大企業のOSの更新だ。当然、影響の範囲は広くなる。更新によって引き起こされる業務システムや操作性・生産性、コストインパクトなどへの悪い影響と度合いを考慮しなければならない。業務システムの稼働性は、稼働確認後に問題があれば改修が必要となる。また、操作性が変わることによる一時的な業務効率の低下も懸念される。コスト面では、バンドルOSを利用しているためハードウェア更新が求められるほか、Officeアプリケーション/業務システムの検証・改修/ヘルプデスクなどが関係してくる。これらは後述の"対策"とあわせて、投資判断に直接的な影響を及ぼすものだ。

"スケジュール"については、OSに加えてIEおよびOfficeの更新、業務システムと開発環境の検証、必要であれば改修・更新作業も含まれている。これらをステップごとに分け、予備検証や基本方針の決定、各種検証などを行っていく。

"対策"は、更新によって受ける悪い影響を最小限にするための施策だ。業務システムの稼働性については、OS更新前に稼働確認および必要に応じた改修を実施。操作性の変化は、ヘルプデスクを一定期間にわたり増員することで対処が行える。コスト面では、ハードウェアとOfficeのライセンス費用が大半を占めるが、調達努力にも限界が出てくる。同社は通常4年リースで購入しており、単年度に入れ替えるとコストが大幅に増加するため、3年間かけての入れ替えでコストインパクトを抑えたそうだ。

柄氏は、更新の基本方針について「準備に1年、検証に2年の計3年を費やしましたが、これはユーザーに無用の混乱を与えず、生産性を下げないことを最優先した結果です」と語る。ほかにも、Windows 7へ移行する前に、Windows XP環境でIE8/Office 2010(32bit版)へ更新する、Windows 7は64bit版を採用する、主要な業務システムは移行前にICT部門が検証する、OSは上書きせずに新規導入端末へインストールする、といった基本方針としてまとめられたという。

これらを基に、同社では更新スケジュールを決定。予算に関しては中期計画に織り込み済みで、費用圧縮としてはOffice 2010移行支援サービスの利用、移行作業を定常運用・保守の範囲で実施、周到な検証計画立案と準備などが挙げられた。

Windows XPの残存リスクとその対処

続いて柄氏は、各項目における問題点と具体的な対策について解説した。

IE8に関しては、タブ機能によるユーザーの混乱が懸念されたが、デフォルトでタブ機能をオフにすることで解消。IE6のみ対応の外部サービスはFirefoxなど他ブラウザで代用し、IE8の「イントラネット内互換表示」設定はデフォルトでオフに設定している。ただし、この結果としてタブブラウザの利点を活用できない、標準外のブラウザが乱立する、コストが増加する、といった新たな課題も生まれている。

OSについては、Windows 7上で動作しないソフトウェアを廃止し、メール/IT資産管理/テキストチャットなどの各種標準ソフトウェアを変更。従来のWindows XP環境ではセキュリティの観点から通常使用のユーザーIDに管理者権限を持たせていなかったが、UAC(User Access Control)を有効との判断に加えて、実用上管理者権限が必要なアプリケーションも存在するため、Windows 7環境ではユーザーIDを管理者権限としている。

さらには、今回のWindows XPサポート終了を受け、同社では大成版CSIRT(Computer Security Incident Response Team)として「T-SIRT(Taisei-SIRT)」を設置し、さらなるセキュリティ強化に向けて取り組んでいるそうだ。

当日の資料や詳細はこちら：http://www.pcnw.gr.jp/pcnw2014/conv/index.html