~2014 Microsoft Windows XP/Office2003 サポート終了 サポート終了に 終了に対する備 する備え Feb..3.2014 Feb Vol.1 Windows XP 保護対策 1.外部デバイスの接続を制限する 外部デバイスを接続させない(もしくは特定のデバイスのみに制限する)ためにデバイス制御ソフトを導入する。 2.インターネットとの接続を制限する スタンドアロンもしくは、Firewall/UTM スタンドアロンもしくは、Firewall/UTM、プロキシ Firewall/UTM、プロキシ/ 、プロキシ/フィルタリングソフトにてインターネットへのアクセス制限を行う。 フィルタリングソフトにてインターネットへのアクセス制限を行う。 3.マルウェア(ウイルス)対策ソフトを最新に保つ マルウェア(ウイルス)対策ソフトのパターンファイルを最新に更新する。 本書では悪意のあるコンピュータウイルス、ワーム、スパイウェアなどソフトウェアの総称としてマルウェアと表記します。 第1章 はじめに 来る 2014 年 4 月 9 日に Microsoft Windows XP および Microsoft Office 2003 の製品サポートが終了する。Microsoft はサポート終了をさまざまな媒体において告知し特設サイト1 も開設し、最新のバージョンへのアップデートを勧めている。 地方公共団体が所有する 26 万 6 千台(全 203 万台中の 13.1%)2、政府機関でも約 5 千台3がサポート終了日までに対 策の目処がついていない。Microsoft では 2014 年 4 月以降の Windows XP パソコンを 350 万台未満に減らすことを目標に各 種キャンペーンを展開している。 セキュリティベンダーである当社としても、サポート終了前 に新しい OS・バージョンにアップグレードするか、新しいパソコ ンに切り替えるようにお願いしたいところであるが、移行する のが困難なケースもあると想像される。当面、移行しないこと を決めた場合でも、リスクを正しく認識して必要なセキュリティ 対策を実施するために、本レポートを参考にして欲しい。 第2章 マイクロソフトのサポートポリシー Windows XP をはじめ、マイクロソフトが販売する Windows OS や Office などのソフトウェアには、サポート対象期間を表 す「製品サポートライフサイクル」が定められている。サポート ポリシーは、製品発売後、最低 5 年間のメインストリームサポ ートと、最低 5 年間の延長サポート (合計最低 10 年間) を 提供するとされている。「メインストリームサポート」とは、新機 能・仕様変更を含むサービスパック(SP)などを提供する期間 で、「延長サポート」とはセキュリティ更新プログラムの提供の みが行われる期間である。 2014 年 4 月 9 日にサポート終了日となるものは、Windows XP(Windows XP Home Edition / Professional / Professional x64 Edition / Media Center Edition 2002 / Media Center Edition 2004 / Media Center Edition 2005 / Tablet PC Edition / Tablet PC Edition 2005 )4および、Office2003(Access 2003 / Excel 2003 /Outlook 2003/ PowerPoint 2003/ Publisher 2003 / Word 2003 / InfoPath 2003)、Internet Explorer 6.0、 OneNote2003、Exchange Server 2003 Standard Edition /Enterprise Edition などがある。 1 http://www.microsoft.com/ja-jp/windows/lifecycle/xp_eos.aspx 2 2013 年 11 月 22 日新藤義孝総務大臣閣議後記者会見 3 2013 年 12 月 12 日情報セキュリティ対策推進会議(議長:杉田内閣官房 副長官)にて内閣官房情報セキュリティセンター(NISC)より報告 4 Windows 7 上の Windows XP モードも終了の対象となります。 Windows クライアント OS のサポート終了日 製品名 サポート終了日 Windows XP 2014 年 4 月 9 日 Windows Vista 2017 年 4 月 12 日 Windows7 2020 年 1 月 15 日 Windows 8/8.1 2023 年 1 月 11 日 Office のサポート終了日 製品名 サポート終了日 Offce2003 2014 年 4 月 9 日 Office2007 2017 年 10 月 11 日 Office2010 2020 年 10 月 14 日 Office2013 2023 年 4 月 12 日 ※Windows クライアント OS、Office とも日本時間 第3章 サポート終了による影響 現在、Windows XP のパソコンをそのまま使い続けた場合、 どのようなことが起こり得るのだろうか?一つには、ソフトウェ アや周辺機器も同じようにサポートを受けられなくなり、最新 版の提供が受けられなくなったり、不具合に対応してもらえな いこととなる。そして、もう一つの影響が 2014 年 4 月 9 日以降 セキュリティ更新プログラム、その他の修正プログラムの提供 が終了することである。現在までに発見されていない脆弱性 に限らず、発見されていても終了日前に修正プログラムが提 供されなければ、サイバー攻撃の対象になり得る。また一般 的に OS を含むソフトウェアは上位製品や新しいバージョンで あっても旧パージョンのプログラムをベースにしている。従っ て Windows 7 や Windows 8 にて発見された脆弱性が Windows XP においても存在する可能性がある。 例えば、2013 年 10 月 9 日に公開された Internet Explorer の脆弱性(CVE-2013-3893)は Internet Explorer6~11 が対 象であった。5 Windows 8 での脆弱性のイメージ Windows Windows Windows Windows Windows ME 以前 XP 以降 Vista 以 7 以降の 8 以降の の脆弱 の脆弱 降の脆 脆弱性 脆弱性 性 性 弱性 2014 年 4 月 9 日までの対象 2014 年 4 月 9 日以降の対象 ※修正プログラムのリリースは Microsoft の判断によります。 2014 年 4 月 9 日以降に公開される Windows Vista 以降の 脆弱性情報から Windows XP にも同じ脆弱性が存在する可能 性があることが攻撃者には容易に想像できるだろう。 5 https://technet.microsoft.com/ja-jp/security/bulletin/ms13-080 攻撃者は、OS を Windows XP に限定して攻撃したり、OS を 限定せずに(Windows XP だけでなく)修正プログラムが適用さ れていないすべてのパソコンを狙う可能性がある。 OS が Windows Vista 以降であれば修正プログラムを適用 すれば被害を受けないが、適用されていない場合、攻撃者の 意図通りの動作(例えばリモート操作される)となってしまう。 Windows XP を使い続ける場合、修正されることのない脆弱 性(未知の脆弱性も含めて)が永遠に存在することとなり、攻 撃者のターゲットとなってしまう。 マルウェア6(ウイルスや悪意のあるプログラム)によって、 被害の内容は異なる。ネットワークや他のパソコン(社外も含 め)へ影響を与えるかもしれないし、パソコン内のデータが漏 洩する可能性もある。万一、重要な情報が社外へ漏洩し、公 表せざるを得なくなった場合、原因が Windows XP であったと したら、言い訳はできない。 30 日で終了しているが、Windows XP ダウングレードパソコン や、ボリューム ライセンスでの購入の場合など Windows 7 Professional および Windows Vista Business にはダウングレ ード権(下位の同一エディション、同一言語へのダウングレー ドを Microsoft が許諾)の行使により Windows XP を使用して いるのであれば、本来の OS へのアップグレードが無償にて 可能である。7 第5章 アップデートできない場合の仕分け アップグレードできない場合(ソフトウェアや周辺機器が正 常に動作しない)、Windows XP をそのまま継続するだけでは、 リスクは解消されない。できる限りリスクを低減させる対策が 必要である。 以下にリスクを低減するために検討すべき事項を記載す る。 さまざまなサイバー攻撃 1.業務の改善 ユーザは Windows XP が必要なのではなく、そのパソコン で行っているソフトウェアを用いた業務が行えなくなること が問題なのである。従って、まず、その業務は本当に必要 なのか?変えることはできないのかを考えることから始め るべきである。例えば、別のソフトウェアや周辺機器で代用 できないのだろうか?業務そのものを変えることで、パフォ ーマンスが向上したり、新しい機能が使えるなどメリットが 発生する可能性も高い。 2.ソフトウェアの改修 市販のソフトウェアであれば、最新版を、自作のソフトウ ェアであれば、改修によって最新の OS で動作するように対 応を行う。 インターネット(Web・メール)から、直接・間接(社内のパソ コン)攻撃を受け、感染した結果、情報漏洩したり、他のパソ コンを攻撃する踏み台になる。 また、USB メモリなどによりウイルスに感染する。 第4章 まずはアップデートを検討 Windows XP、Office2003 などサポート終了日を迎える前に (終了日を過ぎた場合でもできるだけ早く)OS を上位バージョ ンへのアップデートを行うことを検討して欲しい。サポート対象 である Office2007 などを Windows XP 上で動作させても修正 プログラムは適用できない。 サポート期間が 5 年以上ある Windows 7 または Windows 8 が望ましい。そのためには、現在 Windows XP パソコンで動作 している Microsoft 以外のソフトウェアや周辺機器が対象とな る OS 上で正しく動作するかを確認する必要がある。正しく動 作するのであれば、パソコンごと買い替えるのか、OS・ソフト ウェアのみアップデートするのか、費用を踏まえて検討し、ス ケジュールを計画する。 なお、費用をかけられない場合でも、あきらめるのは早い。 Microsoft やソフトウェアベンダーがキャンペーンなどを実施し ている場合もある。Windows XP のライセンスがダウングレード 版の可能性もある。通常、法人向けパソコンを購入すると OS がインストール(OEM 版 Windows)されている。OEM 版を搭載 した Windows XP 搭載パソコンのメーカ出荷は、2008 年 6 月 3.互換モードでの使用 Windows 7、Windows 8 上でソフトウェアが動作しない原 因の一つにソフトウェアが Windows XP と互換性のない Windows API を使用していることがある。この問題を回避し て Windows 7、Windows 8 上でソフトウェアを動かす方法と して「互換モード」がある。 なお、Windows 7 professional エディション以上には、仮 想化技術により、Windows OS 上にて Windows XP を動作さ せる「XP モード」があるが、「互換モード」とは違うので注意 してほしい。「XP モード」は Windows XP とともにサポートが 終了する。 まずは、この3つの仕分けにより、使用を止めるソフトウェア、 Windows 7、Windows 8 に移行するソフトウェア、改修するソフ トウェア(改修に必要な期間も精査する)、延命するソフトウェ アを見極める。 要は Windows XP パソコンで動作させるソフトウェアを極力減 らし、限られた用途にのみ使用することである。 6 本書では悪意のあるコンピュータウイルス、ワーム、スパイウェアなどソフトウェ アの総称としてマルウェアと表記します。 7 パソコンに同梱されていた CD もしくは PC メーカに確認して下さい。 第6章 Windows XP を延命する場合のリスク低減 Windows XP の延命を選択せざるを得ない場合、第 3 章に 記載した通り、セキュリティリスクを抱えることとなるため、サイ バー攻撃対策が重要となる。 1.外部デバイスの接続を制限する。 ウイルスは USB メモリなどのデバイスからの感染も多く ある。Windows XP パソコンには外部デバイスを接続させな い(もしくは特定のデバイスのみに制限する)ためにデバイ ス制御ソフトを導入する。 忘れがちであるが、個人(自宅など)のパソコンにおいて も、Windows XP のサポートは終了する。自宅の Windows XP パソコンで使用した USB メモリなどを用いるとウイルス 感染のリスクは高まる。 2.インターネットとの接続を制限する。 理想的には、ネットワークに繋がないスタンドアロンパソ コンが望ましい。サイバー攻撃の多くは Web サイトから悪 意のあるプログラムをダウンロードしたり、メールの添付フ ァイルが要因である。最近の標的型攻撃は感染したパソコ ンを踏み台にして、社内のサーバーやパソコンへ攻撃をす るため、ネットワークに接続しないことが理想である。社内 のネットワークに接続せざるを得ない場合でも、Windows XP パソコンからインターネットに接続できないように、 Firewall/UTM やプロキシ/フィルタリングソフトにて制限を 行う。不必要なサイトへアクセスさせないために、特定のサ イトのみアクセスを許可するなど、柔軟な設定が、フィルタ リングソフトであれば可能である。 3.ウイルス対策ソフトを最新に保つ 多くのウイルス対策ソフトベンダーは Windows XP のサポ ート終了後も Windows XP パソコン用パターンファイルの提 供を継続する8のでパターンファイルは最新に保つようにす る。なお、前述したネットワークに接続しないスタンドアロン パソコンであっても、パターンファイルは USB 等により更新 する。 第7章 終わりに 2014 年問題と言われる Microsoft のサポート終了に伴う課題 は、警察庁9から呼びかけが行われるほどの社会的問題である が、決して今年に限った話ではない。また、Microsoft だけでなく、 どのようなソフトウェアであっても永遠にサポートされるものでは ない。第 6 章に記載した対策も、Windows XP の修正プログラム が提供されないことにより、リスクが高まるものの、Windows XP パソコンに限った話ではなく、一般的なセキュリティ対策である。 肝要なのは、リスクを正しく認識してコントロールすることである。 Microsoft のサポートが終了する 2014 年 4 月以降も Windows XP を使用する場合であっても、できるだけ早く移行するように、 重要度・使用頻度の高いパソコンから移行するように計画し、実 施して欲しい。 Microsoft のセキュリティ更新プログラムは毎月 1 回発行され る。従って Windows XP、Office2003 用セキュリティ更新プログラ ムはあと 3 回(2 月 12 日、3 月 12 日、4 月 9 日)しかない。4 月 9 日の更新を確実に適用することも忘れずに行い、Windows XP を より安全な状態で運用して欲しい。 8 ウイルス対策ソフトのサポート期限はベンダーに確認して下さい。 9 http://www.npa.go.jp/cyber/kanminboard/siryou/report_xp.pdf Windows XP 保護対策ソリューション デバイス制御ソフ デバイス制御ソフト ソフト 外部デバイスの利用を制限し、情報漏洩・ウイルス感染防 止し、組織レベルでの PC セキュリティ対策を実現します。デバ イスだけでなく、ネットワーク利用制限や、プリンタ利用制御、 また外部メディアへの書込み制御など詳細なコントロールが 行えます。 セキュリティ USB メモリ作成ソフト 汎用 USB メモリをセキュリティ USB メモリに変換するソフト ウェアです。 USB メモリからセキュリティを強固することにより 情報漏洩を防止します。また、登録されていない PC からのデ ータ侵入を防ぎ、ウイルス感染も防止します。 Web フィルタリングソフト URL データベースに基づいてクライアント PC の Web アクセ スをコントロールするゲートウェイ型の法人向け国産 URL フィ ルタリングソフトです。不正サイトへのアクセスや書き込みを 防止し、情報漏洩・ウイルス感染防止や私的利用防止による 業務効率向上を実現します。 クラウド型 Web フィルタリングサービス フィルタリングサービス InterSafe CATS は業界初のサーバー不要、クラウド型 URL フィルタリングサービスです。 ポリシー設定からアクセス規制、ログ管理にいたるまでクラ ウド上のサーバーで行なうため、大がかりな設備投資が不要 で導入も容易です。設定・管理はブラウザで行うことができ、 操作も簡単です。書き込みに加え、不要なアプリケーションの 利用を規制できます。 ※Windows は、Microsoft® Windows の略称として表記していま す。 ※記載されている会社名および商品名は各社の商標または登 録商標です。 Security Division Technical Report ~2014 Vol.1 発行日:2014 年 2 月 3 日 発行元:アルプス システム インテグレーション株式会社 セキュリティ事業部 東京都大田区雪谷大塚町1-7 TEL:03-5499-8045 FAX:03-5499-0357 Mail:[email protected] Web:http://www.alsi.co.jp/
© Copyright 2024 Paperzz