ニュース記事なども散見されます。
Windows7のサポートがきょう14日で終了… サポートがなくなるとやっぱり危ない?担当者に聞いた
Windows7のサポートが終了 10への移行どうやる?
「Windows 7」PC、サポート終了で2020年1月15日以降どうなる?
記事によっては「無償アップデートできない」とありますが、実際は無償アップデート可能のようですので、騙されないように注意が必要です。
さて、この手の問題で記事では置き去りになる注意点を伸べていきたいと思います。
更新プログラムの適用の目的の多くは「セキュリティ強化」「セキュリティホールの修正」になります。
つまり「セキュリティ対策」なので、「サポートが切れる=OSを更新しなければならない」というわけではありません。
スタンドアローンの環境(完全に独立してネットに繫がない)であれば、OSの更新どころか更新プログラムの適用すら不要です。
また、ローカルネットワーク(社内通信網)を構築している場合でも、そのネットワークがグローバルネットワーク(外部通信網)と接続状態に無ければ、外部からの悪意あるプログラムの混入やバックドアと呼ばれるハッキングを受けることも無いわけですから、やはりOSの更新どころか更新プログラムの適用すら不要です。
更新プログラムの問題点
ハッキングを防ぐ為に更新プログラムがありますが、バグを修正する為にマイクロソフトは「デチューン」させることがあります。
記憶にあるものとしては、オフィス系ソフトがあります。
キャッシュメモリへのアクセスを取りやめるアップデート(デチューン)が行われたことがあり、以前は問題なく使えたが、更新後は非常に重くなって使用に堪えなくなったという記憶があります。
このケースより、セキュリティ上問題がなければ、更新プログラムの適用は避けた方が良いわけです。
他にも更新プログラムを適用したらおかしくなった。更新プログラム自体に問題があって、メーカーもプログラムの配信を停止した、などの話もあります。
OSを提供する側としては個別の対応は出来ないため、どうしても「新OSに移行してください、更新プログラムを適用してください。OSの移行や更新プログラム適用による不具合が発生しても責任は負いません。利用規約に書いていますよね?」となるわけです。
(利用規約をよく読めば、有償ソフトと無償ソフトのサポート体制に差は無いですよね。まぁ有償ソフトはそれで食ってるわけですから、サポートの期間や対応に差は出てくるでしょうが)
OSを提供する側としてはそれでよいのですが、じゃぁ、各事業者の「セキュリティ担当者」はそれでよいのか?となると話は別です。
現状は、適用しなくても良い更新プログラムまで適用させてしまうのが実態でしょう。
物理的に遮断状況ではなくソフト的に遮断状況を作り出せば、スタンドアローンのパソコンと差が無いわけです。
メールソフトを媒体とするのであれば、パソコン上からメールソフトをアンインストールしてしまえば、それ系のウイルスに感染しても効果は発揮しないわけです。
セキュリティ担当者(IPA)は「現実」を認識しつつ、実態は「理想」に位置付けてそこで対応が止まっていませんか?
キチンと現実を理解している担当者のいる会社の場合は、ウイルスの傾向を見定めてサーバー等を経由してグローバルネットワークに接続するなり、メールサーバーにて送受信される添付ファイルをチェックするなどの仕組みを導入している物です。
セキュリティの不思議
アプリケーションをインストールする場合、有料ソフトに比べてフリーソフトは厳しくチェックしていませんか?
その反面、圧縮・解凍ソフト、ブラウザ、メールソフトあたりはフリーソフトを使って問題ないとしていませんか?
基準は何でしょうか?
マルウェア? スパイウェア? ランサムウェア? なにを基準にそうだと識別?
この場合、セキュリティ管理者としてどのように対応していますか?
勝手にインストールを制御したいと思って、事前にインストール可能なソフトを決めており、それ以外でインストールしたい場合はセキュリティ管理者に連絡して許可をもらうルールになっていませんか?
ユーザーとしては「使いたい機能があるか分からないので試しに入れてみたい」というケースも多いわけですが、同じような無料ソフトや有料ソフト(無料お試し版など)を沢山申請してきた場合、「どのソフトを使うか絞れ」と言っていませんか?
ウイルスは、ソフトの脆弱性を利用した物も多いわけです。
セキュリティの脆弱性の有無やハッキングを試したりするのは、圧倒的にシェアの大きいソフトがターゲットとなりやすい面もあります。昨年(2018年)はFire FoxやChromeを対象としたマルウェアがありましたよね?
作成されるウイルスの母数はマイナーソフトと比較すれば膨大になります。
ウイルスはセキュリティソフトによって「発見されていない」場合はスルーされるわけです。
ターゲットになり易いソフトの利用を控え、マイナーなソフトや自社で製作して公開していないスタンドアローンなソフトを利用するなど、改善するべき点は残っていませんか?
ブラウザなんて変なスクリプト踏んでBase64で文字列にデータ変換し、URLの後にパラメータとして送信してしまうことも考えられます。パラメータ含めて制限がありますが、Fire FoxやChromeあたりはヤバイと思うのです。(文字制限数だけ見れば、安牌はEdge、次点Safari?)
要するに、そういった部分をコントロール(制御)出来るかどうか次第で、古いOSを利用し続けることも可能ではないか?といった検討をセキュリティ担当者は実施する必要があると思うのです。
セキュリティ担当者も企業を構成する構成員の一人ですから、コストを考えないといけないでしょう。
(OSを更新する=設備を更新する→付帯する設備への影響を考える→付帯する設備も更新する→お金掛かる)
とまぁ、こういった「従来のシステムを残す」といった方向での記事はさっぱり見かけないので気になって書いて見ました。
古いOSを使用する企業が未だに多い=問題だ。とする記事は多いのですが、事情があって使用しているわけです。
それをばっさり切るのではなく、どうすれば古いOSでも問題なく継続して使用することが出来るのか? という点で記事を書いて欲しいと思いますね。
0 件のコメント:
コメントを投稿