Windows10アップグレードをきっかけに、セキュリティー運用を見直す

Windows7の無償サポート期限が迫り、Windows10へのアップグレードが待ったなしの企業も多い。Windows10ではアップデートの仕組みが大きく変わり、情報システム部門の運用負荷が増している。OSの切り替えによる運用業務を見直すとともに、企業として最も重要なセキュリティー対策を再検討するチャンスでもある。ここでは、情報システム部門が取るべき対策のひとつを示したい。

2020年1月に無償サポート期限を迎えるWindows7。サポート切れOSを使用するのはセキュリティーリスクが高い。そのため、Windows10へのアップグレードを急いでいる情報システム部門が多いだろう。実際、PCの出荷が増えていて、入手できないという声も聞かれる。

そもそも、情報システム部門にとって、更新プログラムの適用やOSアップデートの運用は負担が大きい。運用に伴って、既存アプリへの動作検証、端末への適用状況の管理などの業務が発生するからだ。

Windows10では、Windows7と比べて更新プログラムやOSアップデート運用の手間がさらに増えることになる。まず、配布されるのはすべてが累積パッチ。つまり、最初のパッチが「A」であれば、次に配布されるのは「A+B」、その次は「A+B+C」と累積的に増えていく。大容量化するわけだ。

これは、配布に時間がかかるだけでなく、ネットワーク負荷が増加することを意味する。そのため、拠点ごとの管理サーバーなどに配布して、拠点内で各端末に再配布するなどの工夫が必要になるだろう。

さらに大きな負担となるのが、OSアップデートの頻度が増すこと。これまでのように年単位でのメジャーバージョンアップではなく、半年に一度、フィーチャーアップデート、つまりOSの機能強化を目的とするアップデートプログラムが提供されるようになる。しかも、フィーチャーアップデートのサポート期限が18ヶ月以内と限られているのだ。

サポート期限内にアップデートしないと、更新プログラムが配布されなくなる。そのため、検証の結果、バージョンアップしたOS上で業務アプリケーションが動かなければ、期限内にアプリケーションを改修して動くようにしなくてはならない。

このように、Windows10では、更新プログラムの適用やOSアップデートの運用スタイルが大きく様変わりする。それに伴って、セキュリティー対策も手間が増えることになるのだ。

Windows10へのアップグレードは、
セキュリティー対策を見直すチャンス
多くの企業では一般的に、PCやタブレットといった端末を暗号化する運用管理が行われている。情報システム部門は、暗号化ソフトを活用して、端末の紛失・盗難時にはハードディスクがきちんと暗号化されているかを確認したり、端末トラブル時には復元パスワードを発行したりしている。

「特に最近は、働き方が変わってきています。オフィスのフリーアドレス化やテレワークなど、自席を前提としない働き方が一般的になるのに伴って、PCは設備ではなく、個人に貸与された端末の意味合いが強くなっています。そのため、様々なロケーションでの利用を想定し、盗難や紛失に対する対策が求められるのです。遠隔でのデータ消去が難しいPCについては、暗号化した状態での運用が基本となります」（Winテクノロジ 営業本部 製品サービス事業部 事業部長補佐 大惠 傑）

一般的な暗号化ソフトでは、端末の暗号化だけでなく、トラブル発生時に必要な復元パスワードの管理や暗号化状態の管理など、集中管理機能が提供される。こうした機能により、情報システム部門が暗号化された各端末を一元管理できるのだ。

Windows10へのアップグレードに伴って、暗号化ソフトの運用作業も手間がかかるようになるだろう。半年に1回のフィーチャーアップデートのたびに暗号化ソフトの検証が必要になるからだ。対応していなければ、対応するまでアップデートできない。

実際、「アップデートしたらソフトが動かなくなった」「暗号化ソフト自体のアップデートが必要になる」という声も聞かれる。暗号化ソフト自体のアップデートが必要になれば、大手企業では、数千台レベルの作業が必要となるだろう。検証やアップデートの工数も考慮すると運用コストは莫大だ。

こうした運用業務の手間は、Windows10にドライブの暗号化機能として標準搭載されているBitLockerを活用できれば、劇的に軽減される。BitLockerはOSの機能なので、「アップデートに伴って動作しなくなる」「他のソフトと競合する」といった問題が起こりにくいからだ。

検証作業の負荷が低いだけでない。OSと一体化されているため、アプリケーションの使い勝手も良い。しかも、暗号化機能のコストは、OSに組み込まれているため無料だ。

このように良いことばかりのように見えるBitLockerだが、企業への導入にあたっては、ひとつ問題がある。クライアントOSの機能であるため、端末単位での管理が基本で、回復パスワード管理・再発行といった運用支援機能がほとんど組み込まれていないことだ。

「BitLockerで暗号化された端末にトラブルが発生したとき、たとえばプリブート認証用のPinコードを忘れてしまったときやハードウェアが壊れてしまったときには、回復パスワードを入力しないとデータを復元できません。ただ、こうしたパスワードを個人が管理する運用では、組織レベルでセキュリティー対策を講じているとは言えない。情報システム部門は、回復パスワードの一元管理機能や端末のモニタリング機能を求めていたのです」（Winテクノロジ 営業本部 製品サービス事業部 PerfectWatch課 主任 常田 丈勝）

BitLocker の弱点をカバーするには何が必要か
Windows Vistaの時代から、「BitLockerで暗号化された端末を、企業として一元管理したい」という相談がWinテクノロジには数多く寄せられていたという。こうしたニーズに応える形で開発されたのが、「PerfectWatch for BitLocker」だ。

BitLockerの管理ツールとして開発されたPerfectWatch for BitLockerを使えば、BitLockerによる暗号化のステータスを定期的にモニタリングし、回復パスワードを一括管理できる。回復パスワードは、基本的にクラウド上の管理サーバーで管理する。