Windows XPサポート終了問題、移行しないとなぜ駄目なの?:産業制御システムのセキュリティ(6)
日本マイクロソフトは、2014年4月9日に迫ったWindows XPのサポート終了に対するセキュリティリスクについて、経済産業省やセキュリティベンダー各社と説明を行った。
日本マイクロソフトは2014年2月13日、残り55日と迫ったWindows XPのサポート終了に対し、移行を行わない場合に発生するセキュリティリスクについて啓発する説明会を開催した。会見には経済産業省やJPCERTコーディネーションセンター(以下、JPCERT/CC)などの他、セキュリティベンダー6社が参加し、Windows XPから新OSへの移行を呼び掛けた。
マイクロソフトのPC用OSであるWindows XPは、2014年4月9日(日本時間)の定期アップデートを最後に、セキュリティ更新プログラムの提供が終了する。セキュリティアップデートが行わなくなると、OSの仕組みそのもののセキュリティ上の弱点である脆弱性が解消されなくなる。そのため、サイバー攻撃者にとっては、一度脆弱性を発見すると、そこから何度でも効率的に侵入および操作が行えるようになる。また対策を行わない個人や企業だけでなく、その未対策PCを“踏み台”とし、そこにつながる人々にとってもセキュリティリスクを招く可能性も高いと見られている。
攻撃者にとってリスクが少なくメリットが大きい
日本マイクロソフト 業務執行役員 最高技術責任者の加治佐俊一氏は「セキュリティアップデートを行うなど、Windows XPは当時としてはセキュリティに配慮したOSだった。しかし、2001年当時と現在では、技術的な背景が全く異なる。スマートデバイスが一般化し、クラウドが普及。インターネットが世界中につながり、今では世界のインターネットユーザー数は27億人にも及ぶようになった。それは同時に世界からサイバー攻撃を受ける可能性があるということだ」と話し、最新のセキュリティ機能を持つWindows 8.1への移行を呼び掛けた。
また、セキュリティインシデントの情報提供などを行うJPCERT/CCの早期警戒グループ 情報分析ライン リーダーの満永拓邦氏は、サイバー攻撃が急増する要因として「ITの社会インフラ化」「インターネットの世界普及」「攻撃用インフラの整備」の3点を挙げる。「これらの要因により、攻撃者は特定できても捕まえられないようなケースが増えてきている。攻撃者にとってリスクが少なくメリットが大きい状態になっていることが大きい」と警鐘を鳴らす(関連記事:あなたの工場はこうやって襲われる! ――標的型攻撃の典型パターンとは?)。その対策としては「PCの“適切な管理”が一番の近道だ」と満永氏は強調する。
セキュリティベンダーの立場から日本のサイバーセキュリティの弱さを指摘したのがカスペルスキー代表取締役社長の川合林太郎氏だ。「日本は今まで“日本語”という一種のファイアウォールで、サイバー攻撃から守られてきたようなもの。しかし、言語による壁が障壁にならなくなった今、明らかに日本を標的にしたサイバー攻撃は急増している。サイバー攻撃は既にビジネスとなっており、より効率的に価値のある情報を得るのに、狙うべき地域となっている」と川合氏は指摘する。
OSの脆弱性をセキュリティ製品でカバーするのは無理
Windows XPからの移行について中小企業などでは二の足を踏み、「Windows XPを使い続ける方法」にも注目が集まっている。しかし「OSの脆弱性をセキュリティベンダーがカバーするという話も出ているが、リスクを抑えることはできても完全にカバーするのは無理だ。例えば、PCを家とすると、セキュリティベンダーが行っているのは泥棒対策のようなもの。OSの脆弱性とは“白アリで柱が弱る”や“強風で屋根に穴が空いて雨漏りする”というような状況のことで、泥棒対策のノウハウで白アリ駆除や雨漏り対策をしろというのは無理な話だ」と川合氏は強調する。
では、Windows XPから新OSへの移行が間に合わない場合はどうしたらいいのだろうか。日本マイクロソフトのチーフセキュリティアドバイザーである高橋正和氏は「移行計画を立てると共に、使用せざるを得ない部分で、オフライン利用や利用条件を狭めるなどのセキュリティ対策が必要だ」と語る。また、中小企業向けでは、PC購入やWindows 8.1への移行において、金銭面でのサポートを行う他、Windows XP移行対策セミナーなどを展開していく方針を示している。
製造業の新OSの移行は他業界に比べて遅い
実は、Windows XPからの移行が最も遅れそうなのが、製造業だ。
2013年11月に調査会社の矢野経済研究所が発表した「Windows XPに関する法人アンケート調査結果」によると、マイクロソフトによるサポート終了後もWindows XPを使い続け、2015年3月の時点でのWindows XPの構成比が最も高いと見られているのが「加工組み立て製造業」だという。その比率は28.1%で他の業種に比べて圧倒的に高い。またそれよりは低いものの「プロセス製造業」も17.1%のシェアは残るとされており、Windows XPを使い続けることによるセキュリティリスクの影響を色濃く受けそうな状況だ。
日本マイクロソフトでは、2014年4月までにWindows XPのシェアを「全OSインストールベースの1割、750万台以下にしたい」(加治佐氏)としており、製造業の移行はその中でも大きな比率を占めると見られている。
危機を迎える制御システムのセキュリティ対策とは?:「制御システムセキュリティ」コーナーへ
工場やプラントなどの制御システム機器へのサイバー攻撃から工場を守るためには何が必要なのでしょうか。「制御システムセキュリティ」コーナーでは、制御システムセキュリティ関連の最新情報をお伝えしています。併せてご覧ください。
Copyright © ITmedia, Inc. All Rights Reserved.
関連記事
あなたの工場はこうやって襲われる! ――標的型攻撃の典型パターンとは?
JPCERT コーディネーションセンターと経済産業省は「制御システムセキュリティカンファレンス」を開催した。今回はその中から、最近のセキュリティ脅威の状況がどのように制御システムの危機につながるのか、仮想事例を基に分かりやすく紹介したJPCERTコーディネーションセンター 理事で分析センター長の真鍋敬士氏の講演内容をお伝えする。
ググるだけで水圧バルブを直接操作可能!? ――制御系システムの「危うい現実」
いま、製造業の世界で“セキュリティ”が注目されている。産業制御システムへのサイバー攻撃がニュースとなる中、制御系システムにおけるセキュリティの現状や「ネットの脅威」への対策などを、トレンドマイクロがまとめた調査レポートを基に紹介する。
事例から見る、製造現場でのセキュリティ導入の“ツボ”
増加する“制御システムを取り巻く脅威”に対し、制御システムセキュリティ対策が急務になっているが、そこには製造現場ならではの課題も多い。現場で実際に起こったセキュリティ事例から、製造現場でのセキュリティ導入の“ツボ”を考える。
なぜ今、制御システムセキュリティがアツいのか?
なぜ今制御システムセキュリティが注目を集めているのか。元制御システム開発者で現在は制御システムセキュリティのエバンジェリスト(啓蒙することを使命とする人)である筆者が、制御システム技術者が知っておくべきセキュリティの基礎知識を分かりやすく紹介する。