シンです。早いもので、今年もあと1ヶ月半を切り、短い秋が過ぎて冬のように寒い日が多くなってきましたが、みなさん体調を崩されてはいませんか。ところで、最近私が頭を悩ませているのが、来年2014年4月9日にWindows XPのサポートが終了することです。
まだ大丈夫と思って何となく先送りにしてきてしまいましたが、気が付けばとっくに残り半年を切ってしまい、いよいよ本気で考えなければいけないところまで迫ってきてしまいました。そこで今回のブログではこの問題について取り上げたいと思います。
1.XPのサポートが終了するとどうなるのか
XPのサポートが終了すると、米国Microsoft社(以下Microsoftと略)からのセキュリティ対策などの更新が途絶え、次のような問題が起きることが予想されます。
- XPのサポート終了と同時にセキュリティソフトのサポートもなくなってしまうため、パソコンがウイルスにきわめて感染しやすくなる。
- パソコンのセキュリティが脆弱(ぜいじゃく)になり、パソコンからの情報が漏洩(ろうえい)しやすくなる。
- 自分でも気付かないうちにウィルスに感染し、ネット犯罪の踏み台にされ、ネット犯罪の加害者となる恐れがある。
- XPのサポート終了と同時にMicrosoft Office 2003のサポートも終了するので、Office 2003形式の文書もウイルスに対して脆弱となり、そのままOffice 2003形式の文書を使い続けると、ウイルスの温床となりかねない。
ごくおおざっぱに言ってこれぐらいの弊害が予想されますが、特に企業にとって深刻な問題になるのはB.のケースだと思われます。弊社も業務上個人情報を扱う機会が非常に多く、XPのサポート終了は喫緊(きっきん)の課題と言えます。このケースについて、ネットでだいぶ以前から「さよならWindows XP:Windows XPが招く「最悪のシナリオ」」と題するシミュレーション的な架空の事例が紹介されていて、これがとてもわかりやすくパソコンの情報漏洩の被害の大きさについて述べていると思われるので、ちょっと長いのですが、ほぼ原文通りに以下にご紹介したいと思います。
2.Windows XPが招く「最悪のシナリオ」 -日常業務が招いた最悪の事態-
製造業A社は、首都圏に本社と数カ所の生産拠点を持つ、中堅の製造業企業である。顧客の中心は世界に名立たる大手メーカーであり、A社が提供する製品は高品質と低価格が高く評価され、ここ数年は順調にシェアを拡大していた。
ところが、ある事件をきっかけに、A社の信用は失墜。ついに経営破たんという事態になり、海外投資企業のB社によって買収された。A社が長年に渡って蓄積してきた製造技術やノウハウはB社によって解体、同業種の新興国企業に事業単位でバラ売りされてしまうという事態に陥った。この一連の経営破たんを招いたそもそものきっかけは、ある営業部門の社員が通常業務の一環として情報収集のために閲覧していたWebページだった。
A社営業部門に勤務していたK山は、A社の事業拡大のために仕事に邁進するバリバリのビジネスマンだった。主にマーケティングを担当していたK山は、顧客拡大のために独自に市場や競合製品の動向を日々調査し、それをプレゼンテーション資料にまとめてアカウント担当者の営業活動を支援するという役割を担っていた。自分が作成する資料によって商談がまとまり、アカウント担当者に感謝されることに、K山は仕事のやりがいを感じていた。
その日もK山は、資料の参考にするための情報収集活動を行っていた。A社では、セキュリティ対策の一環として、社内から閲覧できるWebサイトに制限を設けている。しかし、K山のような情報収集を業務とする社員だけは、ほぼ自由にWebサイトを閲覧できる権限が与えられていた。K山は、官公庁のWebサイトで毎日公開される公報にひととおり目を通し、競合する他社の製品動向を企業のWebサイトで確認。さらに、製品に対する評判や口コミを見るという業務を午前中に行うことを日課としていた。
いつものようにWebブラウザを使い、検索エンジンのキーワード検索でヒットしたWebページを片っ端から閲覧していたK山は、製品についての口コミが詳細に書かれたWebサイトを見つける。興味を持ったK山は、Webページにあったリンク先も閲覧してみた。いくつかのリンクは海外のWebサイトにあり、一部のリンク先はすでにWebページが存在しなかったり、移転・閉鎖を示すWebページに飛ばされたりした。こういうことは、情報収集していればよくあるものだ。その日も情報収集を終え、プレゼンテーション資料作成に取り組んでいた。
3.Windows XPが招く「最悪のシナリオ」 -信用の失墜、そして企業の消滅-
だが、このときK山が使っているクライアントPCでは、とんでもないことが起きていた。
K山が閲覧していたWebページの中にマルウェアが仕込まれていたのだ。それも、延長サポートが終了し、すでにセキュリティ修正プログラムの配布も行われていないWindows XPを狙ったマルウェアだった。
実は、A社では製品の競争力を高めるために低価格路線を進め、社内にはどんなことにもコスト削減意識を持たせる風潮があった。情報システム関連のコストも例外ではなく、業務に支障がなければ、古くても壊れるまで使い続けることが当たり前になっていた。
こうしたA社の方針に対し、情報システム部門で働くS木は違和感を感じつつも、情報システム関連機器をリプレースするために経営層を納得させる策を持っていなかった。さすがに、ビジネスに直結する基幹業務システムや全社のサーバに関しては、おおむね5年のライフサイクルで更改していたが、クライアントPCはそれほど気にも留めていなかった。エンドユーザーも、使い慣れているWindows XPのクライアントPCを変更する必要はないという意見が大勢を占めていたため、文句を言われてまで新しくする必要はなく、サポート終了までにリプレースすればよいだろうと高をくくっていた。
後回しにしていたクライアントPCのリプレースだったが、Windows XPのサポート終了を迎え、S木もいよいよもって着手しなければいけないと準備を始めていたその矢先、事件は起きた。K山が閲覧したWebページから侵入したマルウェアは、クライアントPCで密かに実行され、K山がアクセス権限を持つ社内の機密情報を漏れなく外部に流出させ始めたのだ。
発覚したのは、3日後のことだった。営業部門のアカウント担当者のもとに、顧客から苦情の連絡が入ったのだ。どうやら、顧客企業の担当者の個人情報が、海外の無料アップローダで晒されているという。調査を依頼されたS木は、驚きを隠せなかった。個人情報のみならず、機密扱いだった技術情報までが漏えいしていたのである。Webサイトへのアクセスや外部メディアによるデータの持ち出しは、万全なセキュリティ対策を施しているつもりだったのに・・・。
K山のクライアントPCに侵入したマルウェアは、まさにサポート終了になったWindows XPをターゲットにしたものだった。サポート終了後に発見されたWindows XPの脆弱性を突いたもので、すでにサポートを打ち切っていたマイクロソフトも把握できていなかったという。サポートが打ち切られた古いOSを使い続けることが、どれだけリスクを伴うか、S木は身を持って知らされることになった。
顧客から情報漏えいを指摘されたA社は、守秘義務違反によって取引停止を通知される。信用が大きく失墜したA社から顧客が次々と離れ、ビジネスは完全にストップしてしまった。経営破たんに陥ったA社は、最終的に海外投資企業のB社に買収され、A社が培ってきた技術は新興国へ流出。日本の技術という視点からも、損失は決して小さいものではなかった。
技術部門ではないK山も、リストラによる人事整理の対象になるという憂き目に遭うことになった。
(以上2・3の出典は、http://www.itmedia.co.jp/enterprise/articles/1111/04/news006.htmlによっています。)
終わりに
私の自宅にある日頃よく使うパソコン3台のうち、2台のOSはWindows 7であり、まだしばらくは心配ありませんが、残りの一台はXPなので、知らないうちにネット犯罪の加害者にならないよう、使用を中止するか、Windows 7以降のOSが稼動するパソコンに置き換える必要があるでしょう。
しかし、一番の問題は私が会社で使用しているパソコン2台が、まだ2台ともXPのままだということです。Windows 7が稼動するパソコンを一台は確保したものの、そのパソコンでの現在使用しているアプリケーションの動作の検証等はまだ済んでおらず、これが悩みの種となっています。私が関わっている業務の内容からして12月は年賀の宛名等で大忙し、年が明けて2月から3月にかけてはこれまた決算月にかかるため大忙しと、とても落ち着いてパソコンの移行ができる時期ではありません。従って、遅くとも来年の1月中には新しいパソコンの移行を済ませておかないといけないという切羽詰った状態になっています。
みなさんも私のように慌てることがないよう、早めのXPサポート終了対策をお勧めします。では、今回はこの辺で。
コメント