2020年1月14日、Windows 7の延長サポートが終了を迎えました。そのわずか3日後、MicrosoftはInternet Explorerの脆弱性に関する情報を公開しました。攻撃者がアクティブユーザーと同じ権限を取得可能となる脆弱性です。Windows 7を使い続けている企業の多くは、この脆弱性に対するパッチを受け取る可能性が低いと考えられます。確かに有償サポートは2023年1月10日まで継続されますが、ここに採算性を見出す企業ばかりではありません。したがって、今こそアイデアを出し合い、アクションを取るときです。ここでは、この問題に対する当社の見解をお届けしたいと思います。
棚卸し
ITインフラの監査は、あらゆる組織が定期的に実施すべきものであり、Windows 7のサポート終了は、監査を今すぐ実施する好機です。監査によって、ローカルネットワーク上に少なからぬ「驚き」が発見されることでしょう。これはWindows 7関連に限った話ではありません。時に、管理者が問題解決を安く済ませようとしたことで妙な状況になっていることがあります。
当社のエキスパートがお客様の元でたびたび目にするのは、大昔のコンピューターが一種のプリントサーバーとして使われている例です。使わなくなったコンピューターに、イーサネットやWi-Fiに対応していない低価格のプリンターを接続し、ネットワークからアクセスできるように構成されているパターンです。このようなイレギュラーな仕掛けは、場合によっては長年にわたってオフィスの片隅に存在していたりしますが、ソフトウェアのアップデートについては忘れ去られています。そのコンピューターではサポート期限の切れたWindows 7が稼動している可能性があるだけではなく、大昔のWindows XPが見つかるかもしれません。したがって、このような遺物の存在をWannaCryのようなマルウェアが暴いてくれるのを待つのではなく、自分で発掘してみる価値はあります。
電子計器盤や医療診断機器、組み込みシステムなど、変則的な機器には特に注意したいものです。これらが本質的に普通のコンピューターであり、Windowsが稼働している場合があるという事実を、管理者は見落としがちです。こういったコンピューターにオンライン制御されるタイプのソフトウェアがインストールされていて、パッチの当たっていない脆弱性を大量に抱えている可能性があります。
ITの棚卸しは、さほど複雑なことではありません。ネットワーク上のアクティブなホストをすべて探し出してくれる無料アプリケーションは多数あり、当社製品にもその機能が搭載されています。たとえば、Kaspersky Endpoint Security for Business Advancedには、ネットワーク上のデバイスをすべて検出するだけでなく、保護されているコンピューターに関する詳細情報を取得し、システムや主要なソフトウェアをリモートアップデートすることも可能なツールが備わっています。検出されなかったコンピューターについては、手作業で棚卸しする必要があります。
分析と分類
棚卸しの対象となるのは、Windows 7やWindows XPが稼働するコンピューターだけではありません。ネットワークのどこに何があるか、正確に把握しておく必要があります。使用しているOSのビルド番号を把握していない、システムを最後にアップデートした(したならば)時期がいつだったか分からない、というお客様は少なくありません。
また、Windows 8やWindows 10について把握することも重要です。Windows 8.1のメインストリームサポートは2018年1月9日に終了しましたが、延長サポートのおかげで、セキュリティ更新は2023年1月10日まで継続されます。まだ先のことに感じられるかもしれませんが、サポートの観点では見え方が違います。Windows 10の初期リリースの方が陳腐化したWindows XPよりもはるかに安全だったかといえば、そうでもありませんでした。また、一部の管理者はアップデートを無効化しがちです(パフォーマンス上の理由、または単に必要性を感じないという理由で)。
自社ネットワーク上にどのようなコンピューターがあり、どのOSが稼働していて、何の目的で使用されているかという包括的な情報があれば、コンピューターを2つの基準で分類できます。脆弱性を解消するために必要なアクションと、各ネットワークノードの重要度の2点です。
脆弱性解消のためのアクション:Windows 10とWindows 8は、入手可能な最新バージョンにアップデートしましょう。一部のノードを切り離すだけで状況が改善される場合もあります。おそらく、少なくともノードの1つはアップグレードが必要なはずです。Windows 7またはWindows XPが実行されているコンピューターを見つけたら、これらの保護に特化したセキュリティソリューションを導入しましょう。当然ながら、ネットワーク上にある全コンピューターの保護を推奨するものではありますが、サポート期限の切れたOSを使用しているコンピューターは桁違いに脆弱であるため、早急な手当が重要です。
ネットワークノードの重要度:各PCについて、事業に対する重要度がどれほどかを明確にする必要があります。サイバー犯罪者がそのPCへのアクセスを手に入れたら何が起こるかを検討する、と言い換えてもよいでしょう。大惨事につながる可能性があるならば、そのPCを真っ先にアップデートする必要があります。他とは切り離されたセグメントで稼働しているのであれば、次の機会でも良いでしょう。最終的には、あらゆるものを細部に至るまで保護する必要があります。WannaCryは計器盤やPoS端末や医療機器を標的にしませんでしたが、結果として企業が被った風評被害は、コンピューターのダウンタイムによる損失と変わらぬ規模でした。
管理プランの更新
分類するだけでも、いつ何をアップデートしなければならないのか明確になりますが、期を逃さぬうちに、変更の全工程を計画することが求められます。ここまで進めることで、ITの棚卸しは単に脆弱なコンピューターを把握することにとどまらず、インフラの保護レベルを本当に強化することへとつながります。重要なノードには、直ちに対処が必要です。最後になりますが、システムアップデートは必ず有効にしてください。これがなければ、あなたの組織のネットワークは、2週間のうちに今と同じくらい脆弱なレベルに戻ってしまうことでしょう。
何らかの理由(ほとんどの場合、組み込みシステムの関連で)により、古くなったシステムの処分やフル機能版のセキュリティソリューションの使用が不可能な場合には、Kaspersky Embedded Systems Securityの活用をお勧めします。このソリューションはATMやPoS端末を保護しますが、期限の切れたOSが実行されている低価格の機器でも効果的に動作します。Kaspersky Embedded Systems Securityの詳細については、こちらのページをご参照ください。