サポート終了まで1年を切ったWindows 10。しかし、StatCounterのデータによると、2025年3月時点で、約半数のデスクトップパソコンにおいてWindows 10が国内で利用されている。この記事では、サポート終了期限内にWindows 11へバージョンアップしないことで生じ得るセキュリティリスクと、バージョンアップに併せて実施したいセキュリティ対策について解説する。
Windowsのバージョンアップの歴史
2025年10月14日をもって、Windows 10のサポートを終了することがマイクロソフト社から発表されている。サポートが終了すると、マイクロソフト社によるセキュリティ更新プログラムが原則として提供されなくなり、セキュリティリスクが高まることになる。
Windowsの歴史を紐解くと、今回のWindows 10のサポート終了と同様に、バージョンアップのたびにその対応をめぐって苦慮した企業・組織も多かったことだろう。Windows OSはパソコンにおける圧倒的なシェアを占め続けており、Webトラフィック解析を行うWebサービスであるStatCounterによると、2025年3月時点での日本国内でのWindows OSのシェアは約7割となっている。そのため、影響する範囲もほかのOSと比較しても極めて大きくなってしまうのだ。
Windows OSの誕生当時、パーソナルコンピューター用としては画期的だったグラフィカルユーザーインターフェース(GUI)やインターネットエクスプローラーといった機能の優位性が支持されたWindows 95を転機に、一般家庭や企業・組織での利用が広まった。Windows 95以降における主なバージョンとリリース年は以下のとおりだ。
- Windows NT(1993年)
- Windows 95(1995年)
- Windows 98(1998年)
- Windows 2000(1999年)
- Windows Me(2000年)
- Windows XP(2001年)
- Windows Vista(2006年)
- Windows 7(2009年)
- Windows 8(2012年)
- Windows 10(2015年)
- Windows 11(2021年)
これらバージョンの中でも、長らく利用されていた代表格は、Windows XP、Windows 7、そしてWindows 10だろう。先述のとおり、過去に、XPと7のサポート終了前後のバージョンアップは企業・組織において、その負担や既存システムとの互換性などをめぐり、少なからず問題が生じた。
こうした過去の経緯もあり、今回のWindows 10のサポート終了を前に、Windows OSの開発元であるマイクロソフト社では早めのバージョンアップを要請しており、IPAなどの行政機関においても注意喚起を発している。
Windowsのバージョンアップはなぜ必要か
広く知られるムーアの法則を挙げるまでもなく、デジタル技術の進展はめざましい。そうした技術に基づくハードウェアの進化に伴い、パソコンができ得ることを増やしていくためにも、基盤ソフトであるOSのバージョンアップが欠かせないのだ。同様に、バージョンアップが必要な理由は以下のとおりだ。
セキュリティの強化
Windows 11のバージョンアップの目玉が、ハードウェアベースのセキュリティ機能として「コア分離」、「セキュリティプロセッサ」、「セキュアブート」といった機能が提供されることだ。そのため、ハードウェア要件としてTPM2.0の搭載がマストとなっている。これらのセキュリティ機能により、ファームウェアを狙うような高度なマルウェアからの攻撃を防ぐことが可能となる。
システムパフォーマンスの向上
最近のアプリケーションにはバックグラウンドで常駐するものも多く、OS側でそれらのリソース管理を最適化することが必要となっている。Windows 11では、そのための機能が提供されており、必要なリソースが適切に割り当てられるようになっている。
ユーザー体験(UX)の改善(新機能の追加、GUIの改善)
Windows 11の発表当初、新機能として話題となっていたのは、ウィジェット機能やウィンドウの配置が自由に行えるSnap Layoutなどだ。しかし、その後2023年9月に、AIアシスタント機能であるMicrosoft Copilotが発表され、1カ月後の10月から利用できるようになっている。タスク管理や文書作成補助などの機能を備えているものの、ハードウェアの性能が十分ではない場合、機能に制限がかかることもあるため注意が必要だ。
ソフトウェア互換性の確保
一般的に、アプリケーションは最新のOSに最適化される場合が多い。そのため、古いOSを利用している場合、そのアプリケーションの一部の機能を利用できないといった状況も発生し得る。Windows 11へバージョンアップを行うことで、アプリケーションを最新の状態で利用することが可能となる。
サポートの継続
先述のとおり、Windows 10のサポートは2025年10月14日に終了する。バージョンアップすることで引き続き、セキュリティパッチや今後予定される新機能なども利用することができる。
Windows 10サポート終了前後で生じ得るセキュリティリスク
まもなくサポート終了が予定されているWindows 10だが、今なお日本国内において利用されているデスクトップパソコンの約半数に及んでいることが、2025年3月時点のStatCounter(図1)においてもわかる。
図1:Windows のバージョンごとの利用率(StatCounter)
このような状況を踏まえると、2025年10月のサポート終了を前後して、駆け込みでバージョンアップが行われることも予想される。慌ただしい状況を見越して、サイバー攻撃が横行する可能性も考慮する必要があるだろう。例えば、以下のようなセキュリティリスクが考えられる。
脆弱性/ゼロデイ攻撃
サポート終了とともにWindows OSのアップデートが行われなくなるため、新たな脆弱性が発見されても修正されず、脆弱性を突いた攻撃が頻発する可能性がある。
また、バージョンアップ前後では、企業・組織内での対応の隙を狙い、ゼロデイ攻撃が行われる可能性も想定される。ゼロデイ攻撃とは、ソフトウェアやシステムの未公開の脆弱性を悪用して行われるサイバー攻撃であり、サポート終了後ではOSがアップデートされない可能性がある。高い検知率を誇るセキュリティソフトであっても検知できない場合があるため、注意が必要だ。
サードパーティ製ソフトウェアの互換性
OSのサポート終了に伴い、サードパーティ製のソフトウェア、アプリケーションやWebサービスのサポートも行われなくなるのが一般的だ。そのため、動作保証外となり利用ができなくなることや、ソフトウェアについては脆弱性が生じた場合、修正されない可能性を想定しておく必要がある。
マルウェア感染/不正アクセス
バージョンアップの混乱に乗じるかのように、取引先や顧客、社内の関係者を装った標的型攻撃で、マルウェアなどが仕込まれた不正なファイルを実行させる、あるいはパソコン自体の権限を奪取するような攻撃手法も考えられる。バージョンアップ前後のタイミングで社内のシステム管理者になりすまされ、不正アクセスが行われるようなケースも想定しておくべきだろう。
サポート詐欺
一時期話題となったWindowsのセキュリティサポートになりすますような手口だ。今回のバージョンアップの必要性を口実に、サポート詐欺を仕掛けてくる可能性もあり得る。サポート終了後はトラッキング情報を濫用して、Windows 10のままのユーザーに対して悪質なメッセージを表示させるWebサイトなどが出てくることも想像に容易い。
また、重ね重ねとなるが、サポート終了により、それ以降の脆弱性は放置されてしまうことになる。そのため、サポート終了以降はそうした脆弱性を狙う攻撃の増加も見込まれる。そして、こうした注意喚起がサポート詐欺の文言として利用される可能性も否定できない。このように、さまざまなセキュリティリスクが生じる可能性を踏まえても、早めにバージョンアップしておくことは大きなメリットとなるのだ。
Windowsバージョンアップに併せて実施したいセキュリティ対策
ここまでバージョンアップを行わないことによるセキュリティリスクを挙げてきたが、バージョンアップすればすべてのセキュリティリスクが解消するわけではない。マイクロソフト社では近年、セキュリティを重視しており、標準搭載されているWindows Defenderは高いセキュリティ性能を誇る。実際、マルウェアの検出率が高いことは広く知られるようになっている。
しかし、企業・組織の場合、マルウェアの検出率が高いだけでは充分ではない。昨今、社内外のネットワークの境界が曖昧となり、加えてクラウド活用も進んでいる。そして、デジタル全盛の時代を迎え、企業・組織で保有するデバイスの数も増加の一途を辿っている。
このような業務環境の変化に応じて、適切にデバイスやネットワークを保護することが求められているのだ。具体的には、以下のような対策を講じることが望ましい。
マルウェア対策
ランサムウェアをはじめ、今なおマルウェアはサイバー攻撃の主要な手段であることに変わりはない。AIなどテクノロジーの進展により、マルウェアの開発サイクルも高速化しており、日々多数の亜種が生み出されている。その対策として、未知の脅威やゼロデイ攻撃に対応する機能を有する「ESET PROTECT Complete」のようなエンドポイントセキュリティ製品を利用するようにしたい。
図2:未知の高度なマルウェアの検出・防御
ネットワーク、サーバーの監視
ゼロトラストと呼ばれるセキュリティ概念が示すように、近年、企業・組織では社内外を問わず、すべての通信を監視し、不正な挙動を検知することが求められている。サイバー攻撃はいつ何時に起こるか決まっているわけではないため、常時監視の体制を整備することが重要だ。
各種ログの取得、保管
何かしらのインシデントが発生した場合、原因究明の手がかりとなるのがイベントや通信のログだ。そのためにも適切なログの取得、保管が求められる。また、ログの収集・分析ツールを利用すれば、インシデントが生じた場合、アラートを発出してくれ、インシデントへの対応にも役立つ。
アクセス制御、権限管理
近年、クラウドのサービスを業務利用するケースも増えており、管理・制御すべきアプリケーション・サービスは多岐に及ぶ。その数は従業員数に応じて増えていくものだが、適切に管理しておかなければ、内部不正の温床になりかねない。また、内部犯行だけでなく、攻撃者が従業員のアカウントを乗っ取って悪用することも想定に入れておかねばならない。こうした対策として、利用者のアクセスや権限の適切な管理が求められる。
脆弱性、パッチ管理
アプリケーションごとにパッチの提供頻度やタイミングは異なる。ソフトウェアである以上、脆弱性が生じてしまうのはやむを得ないものとみなし、システム管理者は適切にパッチが適用されているかを管理する必要がある。しかし、従業員数が増えるほど、個別に対応するのは難しくなるのが現実だ。ESET PROTECT Completeに搭載されている脆弱性・パッチ管理機能のVAPM(Vulnerability Assessment and Patch Management)などを用いることで、パッチや脆弱性への対応状況が可視化され、統合管理が可能となる。
図3:ESET PROTECT Completeに搭載されているVAPM
これらの対策を個別に行う場合、その運用・管理だけでも大きな手間を要することになる。そのため、例えばESET PROTECT Completeのようなセキュリティソリューションを導入し、複数の機能が統合されたダッシュボード上に表示される優先順位を踏まえながら、デバイスやネットワーク保護を講じるのが現実的な対策となる。
セキュリティ対策は変化が早い領域であることもあり、既存のセキュリティ対策も常に見直しが求められる。Windowsのバージョンアップという大きなイベントを契機に、自社の状況に即したソリューションの活用を検討するといいだろう。
