日米の文化の違いも一因!?

「日本の企業はなぜOSをアップグレードしないのか」

2007/03/14

jpcert01.jpg マイクロソフト チーフセキュリティアドバイザー 高橋正和氏

 「アプリケーションがクラッシュしたときに出るWindowsエラー報告というのがありますよね。あれでマイクロソフトに送られてきたデータを分析した結果、クラッシュのうち相当量がスパイウェアがOSのシステムコールをフックしているために引き起こしたものだということが分かりました」――。JPNICとJPCERT/CCが3月13日に開催したセキュリティーセミナー「知っておくべき不正アクセス対策」で基調講演をしたマイクロソフト チーフセキュリティアドバイザーの高橋正和氏は、そう指摘する。今やセキュリティ上の脅威はウイルスだけではないし、むしろ活動が見えづらいスパイウェアやボットに移ってきている。新たな脅威に対応するには新しいOSが有利だが、必ずしも法人ユーザーのWindows Vistaへのアップグレードは進んでいない。

日本の企業はなぜOSをアップグレードしないのか

 Windows Vistaのセキュリティ強化ポイントは、かなり広範囲に及ぶ。マルウェア対策の「Windows Defender」の標準搭載や、Internet Explorer 7のフィッシング詐欺の警告機能のように分かりやすいものだけでなく、ファイアウォールに新たにアウトバウンドのブロックが追加されたことやバッファオーバーラン対策として「ASLR」(Address space layout randomization:システム関連ファイルの読み込み順をランダムにし、絶対アドレス指定による不正なシステムコールを不能にする)に対応したことなど、地味ではあるが、企業内システムのセキュリティ強化に有効な機能追加は多い。情報漏えいや情報保護という観点でも、「Windows Rights Management Services」のクライアント機能搭載や、フォルダやディスクボリュームの暗号化と、暗号キーのハードウェアとの連携など強化点は多い。

 では、なぜOSのアップグレードがあまり進んでいないのか。

 セキュリティの強化はOSに頼らなくても、サードパーティ製のソリューションでも可能だ。そもそもVistaへのアップグレードとなるとハードウェアのリプレースまで視野に入れることになり、なかなか踏み切れない企業も多いだろう。そうしたコストバランス的な要因とは別に、特に日本の企業内でのアップグレードが米国に比べて遅れている背景には、日米の文化差があるのではないかと高橋氏は見る。「本社に行くと、どうして日本の企業は古いOSを使っているんだと訝しげに聞かれます。そう言われていろいろ考えたのですが、日米では責任の取らされ方が違うのではないか。米国であれば、古いOSを使っていてトラブルが発生した場合、もし新しいOSでそのトラブルを回避できたということであれば、OSをアップデートしなかったマネージャは責任を取らされます。予算がないかもしれませんが、リスクを説明して予算を取れないマネージャはクビです。一方、日本では使えるものは使おうという文化があります」。

 IPAが指摘するように(参考記事)、現在のセキュリティリスクは目に見えづらいものに変化してきている。このため、実際に問題が起こるまで、なかなかリスクを現実のものとして感じづらい。高橋氏は、セキュリティのリスクは、その兆候を捉えることが肝要だという。「例えばアクセスログを蓄積して、不正な攻撃を見える化」したり、社内ユーザーの利用状況をモニターして、どういったサイトにアクセスしており、そこにどういうリスクがあるかといったことを見極めるのが第一歩という。

関連リンク

(@IT 西村賢)

情報をお寄せください:



@ITメールマガジン 新着情報やスタッフのコラムがメールで届きます(無料)