Windows7のメインストリームサポートは2015年1月13日で終了していましたが、2020年の1月14日をもってセキュリティアップデートを含む延長サポートも完全終了します。企業でのWindows 10対応が待ったなしとなっている状況です。ほとんどの企業はなんらかの対策をとっていると思われますが、一部の企業は未だ対応していない所もあるようです。そこで今回はWindows 10対応に伴い、企業として取り組むべき課題、移行にあたり情報漏えいを可能な限り防ぐためにはどうすればよいか等をまとめていきたいと思います。
2019年6月時点で移行未着手の企業が11.7%
引用:https://news.mynavi.jp/kikaku/20190621-833745/
2019年6月21日のマイナビニュースの調査では全体の9割近くはすでに何らかの手を打っているようだ。しかしながら10%強の担当者は、「未着手」と答えている。
と、紹介されていました。未着手と答えた企業は理由として4割近くが「現在利用中のアプリケーションや周辺機器との互換性が不安」と答えていますが、「必要性を感じていない」という答えも2割強ありました。確かにマイクロソフトのサポートが終了してもPCはそのまま使用することができます。Windows7をそのまま使い続けることに問題はないのでしょうか?
古いWindows PCを使い続ける危険性
プログラムの不具合が見つかった場合や、ウイルスの攻撃に対する脆弱性が発見されるなど、セキュリティ上の問題が生じたときには修正プログラムが必要となる場合があります。メインストリーム サポートの期間中は、システムとセキュリティの更新が配信され、延長サポートではセキュリティの更新のみが配信されます。サポートが終了すると、これらの更新プログラムは提供されなくなります。そのため、ウイルスの感染や、個人情報の漏えいなどのセキュリティリスクが高まります。マイクロソフトも公式サイトで次のように説明しています。
マイクロソフトでは、製品の発売以降に発見されたプログラムの不具合やセキュリティ上の問題点 を修正するため、セキュリティ更新プログラムを提供しています。ウイルスなどの悪質なプログラムは、こうした問題点利用するため、コンピューターを安全にお使いいただくには、セキュリティ更新プログラムを定期的に適用することが重要です。マイクロソフトの延長サポートが終了すると、このセキュリティ更新プログラムの提供が行われなくなり、セキュリティ上、大変危険な状態になります。
引用:https://www.microsoft.com/ja-jp/windows/lifecycle/eos/consumer/
無料のサポートは終了しますが、マイクロソフトはWindows7向け有償延長サポートプログラム「Windows 7 Extended Security Update(ESU)」をすべての規模の企業向けに提供すると発表しました。日本マイクロソフトによると、日本の法人ユーザーも対象となるとのことです。古いOSを使い続けるのはセキュリティリスクにつながりますが、職場の理解を得られずPCの置き換えが進まない等、どうしてもWindows 7から移行できない場合、もしくはWindows10への移行が間に合わなかった企業は有償サポートの導入の検討が必要になります。しかしこちらも2023年で終了予定ですので、基本的には早急にWindows10への移行を進めるようにしましょう。
組織内部からの漏えい対策が鍵
情報漏えいインシデント分析結果2018
- 漏えい人数:561万3,797人
- インシデント件数 :443件
- 想定損害賠償総額 :2,684億5,743万円
- 一件あたりの漏えい人数:1万3,334人
- 一件あたり平均想定損害賠償額:6億3,767万円
- 一人あたり平均想定損害賠償額:2万9,768円
こちらは2018年に起こった情報漏えいインシデント分析結果です。一件あたりの漏えい人数以外は前年度と比べ上昇しています。特に想定損害賠償総額は2017年の1,914億2,742万円から2,684億5,743万円と大きく増加しています。一度情報漏えいが発生すると、企業の社会的信用の低下と共に多額の賠償が発生することになります。
情報漏えい原因の過半数以上は、 PC等の紛失・置き忘れや誤操作などの内部ミス
JNSAがまとめている漏えい原因によると、最も多い原因は「紛失・置忘れ」で比率は全体の26.2%、続いて誤操作の24.6%です。この2つは「過失」によるものですが、全体の半数を超えています。続いて不正アクセスの20.3%、管理ミスによる12.2%、盗難の3.8%、設定ミスの3.6%、内部犯罪・内部不正行為の2.9%そして不正な情報持ち出しの2.3%と集計されています。情報漏えいはサイバー攻撃のみならず、様々な要因があることがわかります。その中でも内部ミスや管理ミスといった組織内部からの漏えいが大きな割合をしめています。そのため「持ち出しPCやモバイル端末は紛失や盗 難のリスクから100%逃れることはできない」「データや情報が抜き取られるリスクは必ず存在する」ことを前提に、組織内部からの漏えい対策が必要になってきます。
ハードディスク暗号化が不可欠
Windows10標準搭載暗号化機能「BitLocker(ビットロッカー)」は有用か?
Windows 10対応で企業が注意するポイントとして組織内部からの漏えい対策が鍵となることを前項でまとめました。その対策として有効なのは、ハードディスク内のデータを特殊な技術で暗号化し、第三者による不正な読み出しを困難にする暗号化ソフトや機能です。Windows10に標準で搭載されているドライブ暗号化機能「BitLocker(ビットロッカー)」もそのひとつです。
BitLockerとは、Windowsに搭載されているドライブ暗号化機能の名称です。Windows 10のProエディションより上位エディションを選択すれば、標準搭載されています。ドライブを暗号化することによって、他のPCにディスクを接続されてもデータを読み取ることができなくなり、盗難・紛失時の情報漏えい対策として利用できます。しかし情報漏えい対策のデータ暗号化がBitLockerだけでは不十分といえます。例えば、ローカル管理者権限を付与されたユーザーは、BitLockerを簡単に無効化できます。回復キーの管理が煩雑課題もありますが、回復キーを紛失するとドライブの復旧が不可能となってしまいます。そのため、回復キーをどう管理するかも生じます。
また、ディスクを暗号化できるのは、ユーザーが認証された後のため、PCが配布された状態ではセキュアな状態になっていません。またBitLocker自体には、複数台のパソコンを一元管理するような機能が用意されていません。別途有償の管理ツール(詳しくは後述)を導入しない限り、パソコンごとにスタンドアロンで利用することになります。数十台、数百台規模でPCがあるような企業には現実的なソリューションではありません。企業で本格的な情報漏えい対策を行うにはBitLockerだけでは不十分です。信頼性の高さや運用管理の手軽さを求めるのであれば、より高性能な有償の暗号化製品を導入すべきでしょう。
有償の暗号化製品ならより安全に対策が可能
有償の暗号化製品なら専用ツールでクライアント管理が可能になり、多くのPCの一括暗号化、デバイスのグループポリシーの変更といった一元管理も可能になります。また回復キーもサーバ上で管理するためエンドユーザーが忘れても対応可能です。またどのドライブが暗号化されているか等も管理者が管理できるので、重要なドライブの暗号化をし忘れてしまうといたミスも防げます。また昨今はクラウド上にデータを置く企業も増加しています。クラウド上のデータ、データベースの暗号化を念頭におけば、BitLocker(ビットロッカー)以外の暗号化製品を検討すべきでしょう。
詳しくはこちら
以上Windows10への移行と、情報漏えい対策のための暗号化の必要性についてお届けしました。企業の担当者はセキュリティへの関心を持って、必要な対応を取ることが望まれます。
