Windows XPの延長サポート期限である2014年4月8日が目前に迫ってきた。当然、多くの企業では社内PCのリプレースが実施されているが、それでもなお、一定数のXP端末は運用され続けると見られる。また、セキュリティ・ベンダーが続々とXPサポートの延長を表明したことなどにより、レガシーPCを延命することに対する楽観的な空気も広がっている。はたして、レガシーPCの延命は本当に現実的なのか。本稿ではセキュリティ・リスクの観点から改めて考察する。
周知のとおり、すべての市販ソフトウェアにはサポート・ライフサイクルが設定されており、デスクトップ製品も例外ではない。Windows OSを開発・提供するMicrosoft社のポリシーによれば、法人用OSは、発売から最低5年間の「メインストリーム・サポート(機能追加を含むアップデート対応)」、メインストリーム・サポート終了から5年間は「延長サポート(セキュリティ・パッチ配布が中心)」と定められており、“発売開始から10年間”というのが基本的なライフサイクルである。したがって、発売された2001年12月から12年以上もの長期サポートとなっているWindows XP Professionalシリーズなどは、デスクトップ用ソフトウェアとしては異例の長寿製品である。そのサポート期間がいよいよ終焉を迎えるのが2014年4月というわけである。
ユーザー企業にとって、サポート切れOSを運用することの第一のリスクはセキュリティである。開発元によるセキュリティ・パッチ配布が終了することはもとより、当該OS上で機能するアプリケーションやセキュリティ・ツールの利用継続もまた困難となるからである。
例えば、セキュリティ・パッチの配布停止は、脆弱性が放置されるだけでなく、開発元から発せられる現行OS向けの情報提供によって旧OSの脆弱性が特定されやすくなるという結果をもたらす(多くの場合、現行製品の脆弱性は旧製品にも当てはまるため)。また、昨今のサイバー攻撃の主要な手口となったOfficeファイル、PDFファイルを媒介するタイプの攻撃や、Webアクセス経由でのマルウェア配布などの対策を講ずるうえで、最新版のアプリケーションが利用できないことがもたらすリスクも決して小さくない(図1)。
現在、主にアンチウイルス製品を提供するベンダーが自社製品のWindows XPのサポート継続を続々と表明している(図2)。それにより、企業の間でサポート切れのWindows XP端末を「延命」させることに対する危機感が薄れつつあるように見受けられるが、アンチウイルス製品のサポート継続だけで、サポート期間中と同様の安全性が担保されると考えるのは早計である。Windows XP以前のクライアントPCの継続運用は、あくまでも短期間の暫定措置、あるいは特殊な環境で利用される端末に限定された手段であると割り切るべきであろう。