「2020年1月14日のWindows 7の延長サポート終了」が目前に迫りました。後継バージョンに移行できない事情は各種あると思いますが、Windows 7をまだ利用中の場合は、その事情を踏まえて何らかの対応が必要です。今回はあらためてサポート終了を周知するとともに、同時期に延長サポート終了を迎えるサーバ製品についても触れます。
間もなく「Windows 7」の延長サポートが終了します。しかし、世界的に見ても稼働中のデスクトップOS(OS XやLinuxを含む)におけるWindows 7のシェアは20%を超え、トップの「Windows 10」に次ぐ2位、日本国内のWindows PCに限ってもバージョン別シェアは、Windows 10に次ぐ2位の20%以上という調査結果があります([参考]StatCounterのDesktop Windows Version Market Share in Japan - September 2019)。
個人のPCや企業のオフィスの汎用(はんよう)端末として、サポート終了後もWindows 7を使い続けることは、セキュリティリスクが高いため、やめるべきです。本連載第49回では、Windows 7のサポート終了対策を行って、Windows 10にリプレースする、Windows 10にアップグレードする、どうしてもWindows 7を維持する必要がある企業は最大3年の「拡張セキュリティ更新プログラム(ESU)」を購入するという3つの選択肢を示しました。
業種によっては、アップグレードや更新そのもの、あるいは作業に伴うシステム停止が困難な場合もあります。
筆者は先日、健康診断の結果、CTによる精密検査が必要という通知を受けました。最寄りの大きめな県立病院に向かい、精密検査の結果は問題なく一安心したのですが、診療科の受付の端末も医師が操作する端末もWindows 7であることを目にして、そういえば医療分野は特殊な事情を抱えていることに気が付きました。
ちなみに、その端末がWindows 7であることは「スタートメニュー」のボタンデザインで識別できました(画面1、画面2)。Windows Vistaでないことは、ボタンがタスクバーの高さに収まっていたことから判断できました。
医師の端末の方は「スタート」という文字があったのですが、おそらく「Windowsクラシック」テーマで使用しているのでしょう。あるいは、Windows Server 2008またはWindows Server 2008 R2の可能性もあります。そういえば、数カ月前、歯の治療のために行った歯科医院(個人)では、レントゲンを表示する画面が既にサポートが終了している「Windows XP」でした(画面3)。
目の前の端末がWindows XPやWindows 7で動いているからといって、“このシステム古いですよ”とか、“セキュリティが危ないですよ”とか言うつもりは全くありません。それは筆者が心配することではなく(精密検査の結果が心配)、医療機関のシステム担当者や医療機器メーカーが心配することです。
そもそも院内ネットワークは厳しく、そして適切に管理されていなければなりません。電子カルテや画像データを扱うネットワークは、情報系のネットワークと完全に分離されているはずですし、USBメモリなどのメディアの取り扱いにも運用上の厳格なルールがあるはずです。
ある医療機器メーカーのWebサイトを確認してみると、Windows XPと「Windows Server 2003」、あるいはWindows 7と「Windows Server 2008」の組み合わせで動く医療機器(CT、X線、MRIなど)やシステムが多いことに気が付きます。
また、サポートが終了したWindows XPを搭載する医療機器についても、機器全体としてサポートを継続していることが示されていました。医療機器や業務システムのサプライチェーンがWindowsのライフサイクルに追随できていないという側面が垣間見えます。
機器全体として動作を確認しているものについては、そもそもOSのアップグレードやセキュリティパッチの更新を想定していないものもあるようです。例えば、2019年5月にリモートデスクトップサービスの脆弱(ぜいじゃく)性「CVE-2019-0708」(通称、BlueKeep)がセキュリティパッチとともに公開されました。
この脆弱性については、サポートが終了しているWindows XPやWindows Server 2003に対しても特例でセキュリティパッチが提供されましたが、この医療機器メーカーが出したセキュリティアドバイザリは、セキュリティパッチについての言及はなく、影響を受ける医療機器に対する通信ルートの遮断とプロトコルおよびポートの遮断または制御が有効な対策として示されていました。
機器全体として動作保証をする必要があるため、セキュリティパッチを1つ適用するにも、事前検証が必要になります。また、24時間体制のため、パッチで対応したくても、システムを停止できないという事情もあります。そのため、セキュリティ対策としては、OSのセキュリティ更新以外には、ネットワークの分離、ウイルス対策、メディアの使用ルールなど、その他の方法に依存するしかないというわけです。
しかし、Windowsの脆弱性を放置するこのような運用では、不適切な運用や人的なミスなどによって間接的な方法でワームなどのマルウェアが端末の1台に入り込んでしまった場合、セキュリティがもともと弱い古いバージョンのRDP(Remote Desktop Protocol)やSMB(Server Message Block)を介して、想定外のスピードで感染を広げてしまうでしょう。
2017年に発生したランサムウェア「WannaCry」の事例として、英国の医療機関(病院および地域医療連携システム)での感染拡大が取り上げられるのは、医療分野のこうした事情が大きく関係しているからだと思います。しかし、日本国内でのWannaCryの影響が少なかったこともあって、その教訓が生かされているかどうかは疑問があります。
同じような事情を抱えている業種は他にもあるでしょう。例えば、筆者が知っている中堅の印刷会社では、数年前まで「Windows NT Server 4.0」ベースの組み版システムが現役で動いていました(その後、どうなったのかは知りません)。
中古の大型印刷機の制御端末でも古いバージョンのWindowsが動いていましたが、印刷という本来の目的を達成できなければ大問題なので、たとえ緊急でセキュリティパッチが提供されたとしても、安易に適用することはできないはずです。
一方で、大容量の印刷データをやりとりするために、ネットワークから切断することもできません(通信ルートやポートの制御、パッチではない回避策による対処など、他のセキュリティ対策が重要になります)。
Copyright © ITmedia, Inc. All Rights Reserved.