法人のお客さまに起こりがちな状況
2020年1月14日でWindows7の延長サポートが終了しました。これにより技術的なサポートやWindows Updateからのソフトウエア更新プログラムは利用することができなくなっています。
また、最近では2020年10月30日にOffice2010のサポートが終了しました。現在Office2010のテクニカルサポート、バグ修正、セキュリティの修正プログラムは提供されていない状態です。
しかし現実的には中小企業では財務事情等からなかなかリプレースが進まないケースも多々あります。
もしこれらのソフトウエアを使い続けた場合にどのようなリスクが発生するのか、セキュリティの観点から見た脆弱(ぜいじゃく)性とその対策についてお伝えします。
サポート期限外のソフトウエアを利用するリスクとは
サポートが切れているソフトウエアを利用し続けた場合、主に以下のようなリスクが発生します。
-
- 新しい脆弱(ぜいじゃく)性や不具合が修正されない
セキュリティの世界では日々新たな脆弱(ぜいじゃく)性が発見されては修正されて、ということを繰り返しています。IPA(情報処理推進機構)が発表している「脆弱(ぜいじゃく)性対策情報データベースJVN iPediaの登録状況 [2020年第3四半期(7月~9月)]」によると、該当期間で発見されたWindows7の脆弱(ぜいじゃく)性の数は113件にのぼります。
(参考:https://www.ipa.go.jp/security/vuln/report/JVNiPedia2020q3.html)
しかしサポート期限が切れているソフトウエアでは当然新たな脆弱(ぜいじゃく)性が発見されても修正プログラムが配布されることはありません。そうなると当然そこを突いた不正プログラムが作成され、脅威に晒(さら)されることになってしまいます。
脆弱(ぜいじゃく)性ではないものの新たに発見された不具合の修正についても問題が出てきます。
「今まで使ってきて特に問題ないから大丈夫」と考える人もいるかもしれません。
しかし、例えば日付に関する不具合であればどうでしょうか?過去に「2000年問題(y2k)」と呼ばれたようなケースがあれば、今までどうだったかに関わらず突然使えなくなってしまうケースも想定されるのです。
-
- 新しい機能が追加されない
ソフトウエアは常に改善が行われています。
ユーザビリティに関することから新たな機能までユーザの声を基により使いやすく便利になるようアップデートが繰り返されています。サポート期限切れの場合はこうした部分が行われず、新しいOSやソフトウエアとの互換性が担保されません。
数年前「ExcelにPythonが統合されるのでは?」と言ううわさが流れました。現時点ではまだ実現されていませんが、仮に実現された場合こうした機能が追加されないと新たなスタンダードにそろえることができなくなり、メンテナンスコストが上がってしまうことにもつながりかねません。
セキュリティ事故が発生した場合に失うもの
セキュリティ事故が発生した場合には経営レベルでの影響が発生するケースがあります。
-
- 信用
- セキュリティ意識が非常に高まっている現在、セキュリティ事故が発生した会社はBtoBでは与信の関係で取引停止、BtoCでも風評被害を含めたユーザ離れが一気に加速します。信用は取り戻すのに非常に多くの時間を要することはさまざまな事例を見ても明らかです。
-
- お金
個人情報の漏えいが発覚した事例は数多くありますが、BtoCの場合返金対応などに加え個別での賠償が発生する場合があります。ある小売企業が個人情報を漏えいしてしまった際は1人あたり500円程の金券を配布し数億円単位の損失が発生したりもしました。
BtoBであっても事前の取引先調査の段階で与信チェックに引っかかり契約に結び付かないなど未来の売上損失が発生するケースや既存顧客からの賠償請求に対応する必要が出てくるケースがあり経営へのダメージが非常に大きくなってしまいます。
特に後者の場合はこじれた場合裁判に発展するケースもあり、対応の難易度が非常に上がってしまうケースもあります。
-
- 人材
大きな事故が発生し社外に大々的に公表されてしまった場合、社員に対しての風当たりが強くなってしまう場合があります。
特にカスタマーサポート部門や営業部門などの窓口に立つメンバーが影響を受けます。そうなると当然精神的に追い詰められて退職と言う選択肢を取る人も出てきてしまいます。エンジニア部門などの比較的流動性の高い部門に関してもこうした場合にその企業にいるデメリットを考えて社外に人材が流出してしまう可能性があります。
また、退職する社員が増える一方で採用については難易度が上がります。新卒中途問わず求職者は必ず企業研究を行います。そうなるとセキュリティ事故についても知られることになり、何か他の理由がない限り発生した企業に好き好んで入る人もなかなかいないためしばらくは難易度が一気にあがってしまうのです。
WindowsOSのサポート状況
Windows7は2020年1月14日でサポートが切れていますが、その他のOSについては以下の状況です。
- <Windows8/8.1>
- メインストリームサポート終了。延長サポートについては2023年1月10日まで。
- <Windows10>
- 「モダン ライフサイクル ポリシー」を持っており、継続的にサービスやサポートが提供されます。ただし提供されるのは基本的に新しいバージョンを保っている場合のみとなります。大型アップデートが半期に1回程度あり、現在は大体直近3バージョン程度がサポート対象となっています。サポート期限が来ているバージョンを利用している場合も手動アップデートを行うことが可能なので明確な理由がない場合は原則最新版にアップデートすることが推奨されています。
Officeのサポート状況
現在Microsoft OfficeにはサブスクリプションモデルのMicrosoft 365と買い切り型のOffice2010、2013、2016、2019などがあります。
買い切り型のソフトについては2020年10月30日にOffice2010の延長サポートが終了しました。その他のバージョンについては以下の通りです。
- <Office2013>
- メインストリームサポート終了。延長サポートについては2023年4月11日まで。
- <Office2016>
- 2020年10月13日にメインストリームサポート終了。延長サポートについては2025年10月14日まで。
- <Office2019>
- メインストリームサポート終了が2023年10月10日。延長サポートについては2025年10月14日まで。
2016と2019で延長サポートの期限が同じになっていますが、こちらはマイクロソフト社がサブスクリプションモデルのMicrosoft 365を推奨販売していることから徐々にそちらにシフトさせようという販売戦略と思われます。
原則は最新版のソフトウエアを採用、リスクの正しい把握で適切な判断を
ソフトウエアにおいて推奨されるのは原則最新版のOS及びソフトウエアを利用することです。
公式のサポート、セキュリティパッチは脆弱(ぜいじゃく)性や不具合に対して適切なセキュリティ対策を行ってくれます。情シス担当の気持ちとしてバージョンアップに伴う不具合の確認やその手間に対してあまり乗り気にならない方もいるかもしれませんが、セキュリティ事故の経営インパクトを考慮した場合、きちんと対応することでセキュリティリスクを大きく下げられます。
また、そのうえでセキュリティソフトの導入も必須の対応となります。OSやソフトウエアだけでセキュリティを担保できるわけではなく、そのうえでネットワーク上の脆弱(ぜいじゃく)性や人の行動特性を逆手に取った攻撃などについてはセキュリティソフトによる対策が効果的です。
組み合わせて使うことで全体のセキュリティレベルを上げて、穴のない環境を構築するようにしましょう。
トレンドマイクロからのアドバイス
OSなどの土台の上にOfficeなどの業務用ソフトウエアがあり、さらにそれらを守るセキュリティソフトがあることで会社全体のセキュリティレベル向上が可能になります。
トレンドマイクロでは企業運営に不可欠な様々なソリューションを提供しています。
自社の体制をご確認のうえ、不足している点がありましたらぜひご検討ください。
軽くて・強くて管理負担が少ない中小企業向けクラウドセキュリティ
ウイルスバスター™ビジネスセキュリティサービス(VBBSS)は現場から求められる「速さ」と「防御力」を両立させるとともに、管理者が求める「導入のしやすさ」や「管理のしやすさ」にもこだわったセキュリティ製品です。
従業員数の増減に合わせてPC1台から手軽に導入可能でありながら全PCのセキュリティを遠隔管理できます。
「クラウド型」のため管理サーバも不要で、管理者、ユーザ共に自宅などのテレワーク環境で作業するケースにも対応した管理サーバも不要な管理コスト軽減に貢献できるソリューションとなっています。
Exchange Onlineのクラウド上にあるメールボックス内に残っている脅威を可視化
Trend Micro Security Assessment Service™は企業が直面する高度な脅威から効果的に守られているかどうかを確認できるMicrosoft 365のメールサービス (Exchange Online) 向けの無料メールセキュリティ評価サービスです。
検出した脅威情報を詳細なレポート形式でご提供し昨今の脅威からどの程度保護されているかが検証可能となっています。
CAS: 高度な脅威からクラウドメールサービスのメールやファイル共有サービス上のデータを保護
Trend Micro Cloud App Security™(CAS)はMicrosoft 365のメールサービスやファイル共有サービス等でやりとりをするメールやファイルに含まれるランサムウェアや標的型サイバー攻撃によく利用されるOfficeファイルをはじめとするビジネスでよく使用される形式のファイルに潜む不正プログラムを検出します。
ドキュメントエクスプロイトの検出技術と挙動分析により未知の不正プログラム、不正URLも検出できるメール・コラボレーションセキュリティ製品で人間のセキュリティ意識と合わせ効果的にランサムウェアを防御することができます。
※すべての未知の脅威に対応するものではありません