Windows XPサポート終了（2015年時点）から1年　企業はどうリスク対策すべきか？

2014年4月9日（日本時間）にWindows XP（以下XP）のサポートが切れ、既に1年がたちました。企業によっては、いまだに移行が進まない状況もあるようで、つい先日も社内に数万台残存しているとのニュースがありました。
※単純に放置ということではなく、経営判断でOSに依存しない環境整備によりセキュリティ維持をするようです。
 

弊社FOCのサイトもXPユーザーのアクセスが約6%（2014年4月10日から2015年3月31日集計）います。2014年4月直後からは減りつつも、その後は“安定的”なアクセス数をいまだに保っています。アクセスされるユーザーは主に企業の方が多いため、この数値はほぼ企業内で使用されているXP機からアクセスと考えてよいかと思います。

ユーザー視点でいえば、「Microsoft社の勝手」とはいえ、実際、セキュリティに問題があるといわれながらここまで使用されているのは何故か、また使用している企業は今後どうすべきかを説明します。 

セキュリティリスクについて

改めてXP機を使用しつづけるリスクについて考えます。リスクは大きく分けて2つあります。

1つは自社にリスクのあるもの、もう1つが取引先を始め関係会社に対してのリスクです。

1つ目の自社のリスクについては、自社サイトデータの改ざん、情報漏えい、ネット犯罪の踏み台になる可能性があり、実害もあれば、社会的な信用失墜もあることが挙げられます。

想定されるパターンは・・・

です。

2つ目の取引先を始め関係会社に対してのリスクは、自社でウイルスに感染したメールやデータファイルを送信してしまうことで関係会社もウイルスに感染してしまうことやサイトが改ざんされることで閲覧者のPCもウイルスに感染（マルウェア）してしまうなどが挙げられます。

こちらも・・・

ネット環境なくしてビジネスが成り立たない今の社会で、セキュリティを高度に保つことはもはや企業の責任のひとつです。XP機を使用しつづけることは、この責任を無視していることにもなります。 

何故利用しているのか

今でもXPを使用している企業は、ネット環境に直接的、間接的問わずアンチウイルスソフトやファイアウォール、プロキシ経由などを活用して延命しているかもしれません。

こうまでしてもXPを使用する大きな理由について、ITアウトソーシング事業部 コンサルタントのYは、こう説明します。

「古いアプリケーション（特に独自で開発した）をどうしても使い続けなくてはいけないということがあります。その他にも予算や手間がない（本音としては、現状で満足しているから“余計なこと”はしたくない）ため、使い続けているケースもあるようです。」

「特に根深いのはXP上でしか動作しない可能性があるアプリケーションの扱いです。開発当初に関わった社員（もしくは外部業者）が既に退職したなどで仕様がブラックボックス化しており、最新OSに対応したくても改修の手がだせない事や、そもそも高い開発費をかけたアプリケーションが、現状故障もせずに問題なく使用できるに、“OSが変わっただけ”で、入替えの費用や時間がまたかかってしまうのは納得できない、というのが企業の本音だと思います。
Microsoft社としては、サポート期間の終了を早くから公表しており、このような状況を回避してもらいと思っているようですが、アプリケーションの寿命とサポート期間をどう比較するかは判断が難しいところですね。」

「また訪問するお客様の中で、サポート終了から1年、ここまで“放置している”ような企業は、壊れたら取り替える、アプリケーションが動作しなくなったら考える、というように、ある意味最後まで使おうという“覚悟”を持たれているようです。XPを使用しないことを強く勧めたいのですが、実態は正論ばかりでないですので。」 

この1年での実害はあったのか

実はXP関連でニュースになるほどの事件、事故は、ネットで調べても見当たりません。実際には起こったのかもしれませんが、XPが理由でという論調のニュースはないようです。

企業というよりは、XP機ユーザーが、マルウェアに乗っ取られたサイトに知らずにアクセスして、IDとパスワードを入力してしまい、大きな損害を受けたケースはあったかもしれません。（2014年5月頃に銀行サイトが乗っ取られたニュースがありました）

また、実害ではありませんが、アプリケーションで動作保証しないものや新機能や追加のバージョンのタイミングで一部しか動作しないような現象は起こっているようで、クラウドサービスであってもXPでは動作を保証しなくなってきています。

2015年7月にはWindows Server 2003のサポートが切れます。XPと2003をセットで使用している企業は要注意です。リスクが今以上に高まることは必須ですので、過去、実害の報告があまりないとしても将来的に発生する確率は高まります。 

今後どうするべきか

独自のセキュリティを備えたXP機を使用していても、情報漏えいやウイルス感染があり、ましやそれがニュースになれば大きな信用失墜、損賠賠償請求などが起こりえます。可能性の話として問題を考えるのではなく、まず企業の責任としてXP対策をきちんととるべきです。

ベストな対策はサポート対象であるOSが入ったPCへの買い替えです。元XP機を使用する場合、Windows 8.1をクリーンインストールしても重くて動かない可能性があります。もともと高性能なPCならともかくビジネスユースのPCでは、スペック不足の可能性が高いので、買い替えがベストです。（処理スピードを軽減する手段として、HDDからSDDへ換装する方法もありますが、メモリやCPU自体のスペック不足もあるので要注意です）

また、自前でOSの入替えは、PCの組立てが趣味ではない限りお勧めしません。データが消える、クラッシュするなど失敗することや原因不明でインストールが停止することもあり、ネット情報や専門書を参考に行うにしても結構な負担が伴います。1台なら頑張れますが、従業員分の入替えとなると相当な負担がかかります。

その他、型落ち品を狙う手もあります。その際、OSはWindows 7でも8.1でもOKです。Windows 7と8.1は無償でWindows10へアップグレードできるので、Windows 10が正式リリースしたら無償アップグレードをし、社内OSのバージョンを統一させていくのも良いでしょう。

しかし、アプリケーションの問題はどうしても残ってしまいます。XP機を丸ごと仮想化してアプリケーションを使用する手段もありますが、結構な費用がかかります。数台のPCの場合は、やはりアプリケーションについては諦めるしかないでしょう。（ネット環境につなげなくても使用できれば延命はできますが）

XPについては残念ながら、あと数年使えるような期待は持たず、よく言われているようにできる限り早く新しいPCに切り替えるべきです。ネット環境に繋がっていなくても、「インポートしたデータにウイルスが仕込まれていた」「社員が家から持ってきたUSBメモリがウイルス感染していた」「配布されたCD-ROMがウイスル感染していた」など、侵入経路を遮断することは難しく、管理も大変です。

補足（先ほどのコンサルタント Yより）

2015年10月にリリースされる予定のWindows10ですが、MS社はかなり本気です。
それはWIndwos7/8からは無償アップグレードできるという事からも受け取れます。
昨今、クラウドサービスの利用の割合が増えてきている中で、よりシームレスなクラウドサービスとの連携を実現できる環境を提供するのがWindows10とされております。
また、タブレットなどのモバイルデバイスとの連携も強化されている様で、マルチデバイス環境の実現にもWindows10には期待されております。