「Windows XPからの完全脱却は無理」と悟った企業の末路 という記事を見つけました
セキュリティサポートが終了した「Windows XP」だが、Windows XPからの移行プロセスに着手できていない企業や、新しいプラットフォームへの移行が完了していない企業がまだかなりあるようだ。大規模なXP移行をやり遂げた企業のセキュリティ担当者たちは、アプリケーションの互換性に重点を置くこと、そしてIT計画の全体像を見失わないようにすることを勧める。
米Microsoftは、発売開始から12年たったWindows XPのサポートを2014年4月8日(日本では4月9日)に終了した。同社がXPサポートの終了を企業やユーザーに最初に発表してから何年もたっていた。最近はセキュリティ上の問題も多く、Microsoftからセキュリティ修正プログラムが提供されなくなれば攻撃を受ける危険も高まる。にもかかわらず、XPはいまだに広く使われている。
米調査会社Net Applicationsの調査によると、2014年3月の時点で、世界のPCの4分の1以上でXPが使われていた。脆弱性管理が専門の米Qualysは、同社のスキャンサービス「BrowserCheck」で収集したデータから、一般ユーザーのXP利用率は約25%と分析。また、同社のセキュリティ管理製品「QualysGuard」のスキャン結果によると、企業のXP利用は2014年3月の時点で20%未満だが、サポート終了後は10%程度まで下がると同社は予測している。
Qualysの最高技術責任者ウルフガング・カンデック氏はこうした数値を不安視している。Microsoftが月一度の火曜日「パッチチューズデイ」(日本時間では水曜)に公開する「Windows 7」や「Windows 8」の修正プログラムは、今後、XPに潜む欠陥を見つける手掛かりにもなるため、攻撃に悪用される可能性があるという。
カンデック氏はブログにこう書いている。「Windows製品で見つかる脆弱性の多くはこれからもWindows XPに影響し続けるが、もう対策を講じることはできなくなる。従って、社内にまだ残っているXPマシンをどうするか、戦略が必要だ」
XPのサポート終了に無頓着な企業もある。英国のエネルギーサービス会社Wood GroupのグループCIO、デリク・ウッド氏は、同社の納入業者が2014年2月まで約9000台のPCをXPのままにしていたことが判明したと語った。この業者は、サポート終了後にXPを使い続けることには重大なリスクがあるとWood Groupの監査委員会から指摘を受け、つい最近ようやく移行を決めたという。
「この業者はWindows XPからWindows 7または8へ移行する必要性をようやく認識したとはいえ、今まで何の準備もしていなかった。そのため、サードパーティーに依頼するしか方法はなく、莫大なコストが掛かることになった」
Microsoft製品を中心としたITコンサルタント会社、米En Pointe Technologiesのデータセンター・クラウド管理担当リードアーキテクト、アンドリュー・ハーテンスタイン氏によれば、XPからの移行が難しくない部分を4月8日までにできるだけたくさん済ませて、「簡単な作業」を社内で片付けておこうとする企業が見られたという。例えば、コールセンター環境のマシンはプラットフォームの変更が比較的容易なため、社内であまり苦労せずに移行を進められる。
Windows XP移行の鍵となるアプリケーションの互換性
だが、日を追うにつれてそのような簡単な移行も減ってきた。多くの企業がまだXPを使い続けている理由には、XPでしか動作しない基幹アプリケーションがある、とハーテンスタイン氏はいう。例えば、Windows XP用アプリケーションで機密性の高い処理や取引を扱っている金融機関では、XPからWindows 7への移行を週末の間だけで簡単に済ますことはできない。
実際、ハーテンスタイン氏によると、En Pointeの顧客企業の間でも、XP移行を妨げている一番の問題は、アプリケーションの互換性だという。円滑な移行には事前の入念な準備が必要であり、4月8日の目前になってXPからの移行に着手したばかりの企業にとっては、ますます頭の痛い問題になった。
ハーテンスタイン氏は、大規模企業には、XP用アプリケーションが新しいWindows OSでも適切に動作するかどうかを確認する「Microsoft Application Compatibility Toolkit」などのツールを活用することを勧める。こうしたツールで検査すれば、移行しても問題のないアプリケーション、移行前に修正が必要なアプリケーション、互換性の全くないアプリケーションに分類できる。この結果に基づいて、アプリケーションを使用停止にするか、作り直すか、仮想化などの代替策を採用して使い続けるか、判断できる。
「何よりも計画が大切だ。この種の移行を行うには、極めて戦略的でなければならない」(ハーテンスタイン氏)
同氏によれば、大規模企業は、移行プロセスを始める前に、半年から1年半先のIT計画をどうするか考えておかなければならないという。例えば、XPからの移行先としてWindows 7を選ぶ企業は多いが、大量の固定デスクトップ環境を使わない病院などの組織では、Windows 8のようなモバイル性の高いOSをタブレット端末と組み合わせて導入する方がよい場合もある。また、この機会に、一部のユーザーを仮想デスクトップへ移すことを検討するのも一案だという。
アプリケーションをWindows 7または8へ移行する基本手順だけでも一定以上の時間が必要なのだから、企業の大規模なWindows XP移行を成功させたければ、性急には進められない、とハーテンスタイン氏は強調する。
Wood Groupのデリク・ウッドCIOによれば、同社が2011年半ばから開始したWindows XPと「Windows Vista」からの移行プロセスはそろそろ完了するという。3月中旬の時点では、同社のネットワーク上で稼働中の2万台のマシンのうち、まだXPを実行しているのはわずか200台のPCだけとなり、それらもこれから移行するか、社内ネットワークから分離するなどの事前対策を講じる予定だという。
Wood Groupが複数年計画で移行プロセスに着手したとき、社内では約2300本のアプリケーションが使われていた(同一アプリケーションの別バージョンも含む)。それらのアプリケーションを1つ1つ調べて、修正が必要か、それとも使用をやめるべきか、判断しなければならなかった。移行に着手するまでは「当社のアプリケーション資産をきちんと把握していなかった」(ウッド氏)
Wood Groupでは現在、使用するアプリケーションの数を700~900本程度まで減らしたという。
「最も苦労するのが“アプリケーション資産”の把握であり、重要なアプリケーションの互換性を確認すること、それらのアプリケーションを新しいプラットフォームでテストして移行可能であると確認することだ。かつては重要だったアプリケーションや、1人か2人はユーザーのいるアプリケーションも、移行の必要性によって決断を迫られれば、大抵は使用を諦めることができた」(ウッド氏)
オーストラリアの石油ガス探査会社Santosも、Windows XPからの移行に2年以上を費やし、2013年末に完了した。約8200台のマシンをXPからWindows 7へ移行したという。
全てを完全に移行できたわけではなく、約40台はサポート終了後もXPを使い続けることになる、と同社のITセキュリティ担当者、アンドリュー・スピア氏は話す。それらのXP機については、セキュリティ確保のためにインターネット接続を制限する他、「Microsoft Outlook」などのプログラムを削除して感染源となり得る要因を排除する対策を講じるという。Santosは、引き続きXPをサポートするというマルウェア対策サードパーティーベンダーを利用しつつ、これらのレガシーマシンを廃止する道を探っている。
スピア氏によると、Santosが移行を済ませたXPの方でも、アプリケーションの互換性の問題は多かったという。例えば、同社ではWindows 7で導入されたセキュリティ機能「AppLocker」を使ってアプリケーションのホワイトリストを作成することにしたが、標準以外の場所にインストールされている特殊なユーティリティプログラムやマイナーな生産性ツールで予想外の障害が発生した。「それでもどうにか全てのWindows 7マシンをAppLockerで検査した」(スピア氏)
Santosにとってそれ以上に厄介だったのは、定着しているセキュリティ慣行に反して、マシンの管理者権限がないと実行できないような出来の悪いアプリケーションが多数あったことだ。スピア氏によれば、同社は全社的な協力の下、管理者権限を持つユーザーを減らす方針を決めており、そのために米AppSenseなどのサードパーティー製ソフトウェアを利用して、レガシーアプリケーションを安全に実行できるXPの仮想インスタンスを作成することにしたという。
「これまでのようにマシンの管理者権限を持っていなくても仕事はできるということを、従業員に納得してもらうのが一苦労だった。私と同じ立場の人には、全面展開してから強化セキュリティ機能を適用したり有効にしたりするよりも、最初はセキュリティを最大限に厳しくしておいて必要があれば例外を認めることを勧める」(スピア氏)
サポート延長という選択肢はあるか
Microsoftは4月8日までにWindows XPから新しいOSへ移行することを企業に強く促していたが、移行できなかった企業には高額の延長サポートというオプションも用意している。
Windows XPを継続使用する企業を対象とするカスタムサポートプランは、マシン台数に応じて価格が交渉される傾向にある。米IT調査会社Gartnerが発表した2013年1月の報告書によれば、Microsoftはこうしたプランの料金をかなり高額に設定しており、顧客に提示される額は、サポートするマシンの台数や必要な修正プログラムの数に応じて、初年度だけでも60万~500万ドルだという。
Wood Groupのデリク・ウッドCIOによれば、同社はまだXPを使っている200台のマシンについて、Microsoftの延長サポートを利用することも検討したが、目玉が飛び出るような金額だったため、上層部は早々にその案を却下したという。Microsoftから提示されたサポートモデルは2種類あり、1つは、最小限700台のマシンを1年間サポートするモデル、もう1つは1台ごとに課金するモデルだ。サポート初年度の料金は最低でも15万ドルで、必要な修正プログラムの数によっては年間200万ドルを超える計算だった。
ただ、Wood GroupがXPの延長サポートを利用しないと決めた理由はコストだけではない。ウッド氏によれば、2020年までは、全てのITプロジェクトをWindows 7の堅固なプラットフォームで進められるようになったからだという。
「延長サポートの利用をためらった理由の1つには、まるで(モノポリーの)“刑務所釈放カード”のようだったということもある。それに、XPから完全に脱却しようという勢いもなくなってきた」(ウッド氏)
多くの企業が高額のXP延長サポートを利用する以外にほとんど選択肢のない状態へ追い込まれており、それが1年以上ともなればかなりの負担になるということは、En Pointeのハーテンスタイン氏も認めている。だが、ぎりぎりになっても移行せずにいた企業にとっては、移行計画を立てる時間が与えられるこの選択肢こそ、一番いい方法かもしれない、と同氏は話す。
「単に『サポートが終了するからXPをやめてWindows 7へ乗り換えなければいけない』という会社には賛同できない。それではWindows 7から乗り換えるときにまた、自ら問題を作ることになる。今こそ、可能な限り戦略的になる好機だ」(ハーテンスタイン氏)
やはり根本的な対策は無いようだ
セキュリティ強化(メーカーがやってくれれば)とインターネットの接続制限
セキュリティサポートが終了した「Windows XP」だが、Windows XPからの移行プロセスに着手できていない企業や、新しいプラットフォームへの移行が完了していない企業がまだかなりあるようだ。大規模なXP移行をやり遂げた企業のセキュリティ担当者たちは、アプリケーションの互換性に重点を置くこと、そしてIT計画の全体像を見失わないようにすることを勧める。
米Microsoftは、発売開始から12年たったWindows XPのサポートを2014年4月8日(日本では4月9日)に終了した。同社がXPサポートの終了を企業やユーザーに最初に発表してから何年もたっていた。最近はセキュリティ上の問題も多く、Microsoftからセキュリティ修正プログラムが提供されなくなれば攻撃を受ける危険も高まる。にもかかわらず、XPはいまだに広く使われている。
米調査会社Net Applicationsの調査によると、2014年3月の時点で、世界のPCの4分の1以上でXPが使われていた。脆弱性管理が専門の米Qualysは、同社のスキャンサービス「BrowserCheck」で収集したデータから、一般ユーザーのXP利用率は約25%と分析。また、同社のセキュリティ管理製品「QualysGuard」のスキャン結果によると、企業のXP利用は2014年3月の時点で20%未満だが、サポート終了後は10%程度まで下がると同社は予測している。
Qualysの最高技術責任者ウルフガング・カンデック氏はこうした数値を不安視している。Microsoftが月一度の火曜日「パッチチューズデイ」(日本時間では水曜)に公開する「Windows 7」や「Windows 8」の修正プログラムは、今後、XPに潜む欠陥を見つける手掛かりにもなるため、攻撃に悪用される可能性があるという。
カンデック氏はブログにこう書いている。「Windows製品で見つかる脆弱性の多くはこれからもWindows XPに影響し続けるが、もう対策を講じることはできなくなる。従って、社内にまだ残っているXPマシンをどうするか、戦略が必要だ」
XPのサポート終了に無頓着な企業もある。英国のエネルギーサービス会社Wood GroupのグループCIO、デリク・ウッド氏は、同社の納入業者が2014年2月まで約9000台のPCをXPのままにしていたことが判明したと語った。この業者は、サポート終了後にXPを使い続けることには重大なリスクがあるとWood Groupの監査委員会から指摘を受け、つい最近ようやく移行を決めたという。
「この業者はWindows XPからWindows 7または8へ移行する必要性をようやく認識したとはいえ、今まで何の準備もしていなかった。そのため、サードパーティーに依頼するしか方法はなく、莫大なコストが掛かることになった」
Microsoft製品を中心としたITコンサルタント会社、米En Pointe Technologiesのデータセンター・クラウド管理担当リードアーキテクト、アンドリュー・ハーテンスタイン氏によれば、XPからの移行が難しくない部分を4月8日までにできるだけたくさん済ませて、「簡単な作業」を社内で片付けておこうとする企業が見られたという。例えば、コールセンター環境のマシンはプラットフォームの変更が比較的容易なため、社内であまり苦労せずに移行を進められる。
Windows XP移行の鍵となるアプリケーションの互換性
だが、日を追うにつれてそのような簡単な移行も減ってきた。多くの企業がまだXPを使い続けている理由には、XPでしか動作しない基幹アプリケーションがある、とハーテンスタイン氏はいう。例えば、Windows XP用アプリケーションで機密性の高い処理や取引を扱っている金融機関では、XPからWindows 7への移行を週末の間だけで簡単に済ますことはできない。
実際、ハーテンスタイン氏によると、En Pointeの顧客企業の間でも、XP移行を妨げている一番の問題は、アプリケーションの互換性だという。円滑な移行には事前の入念な準備が必要であり、4月8日の目前になってXPからの移行に着手したばかりの企業にとっては、ますます頭の痛い問題になった。
ハーテンスタイン氏は、大規模企業には、XP用アプリケーションが新しいWindows OSでも適切に動作するかどうかを確認する「Microsoft Application Compatibility Toolkit」などのツールを活用することを勧める。こうしたツールで検査すれば、移行しても問題のないアプリケーション、移行前に修正が必要なアプリケーション、互換性の全くないアプリケーションに分類できる。この結果に基づいて、アプリケーションを使用停止にするか、作り直すか、仮想化などの代替策を採用して使い続けるか、判断できる。
「何よりも計画が大切だ。この種の移行を行うには、極めて戦略的でなければならない」(ハーテンスタイン氏)
同氏によれば、大規模企業は、移行プロセスを始める前に、半年から1年半先のIT計画をどうするか考えておかなければならないという。例えば、XPからの移行先としてWindows 7を選ぶ企業は多いが、大量の固定デスクトップ環境を使わない病院などの組織では、Windows 8のようなモバイル性の高いOSをタブレット端末と組み合わせて導入する方がよい場合もある。また、この機会に、一部のユーザーを仮想デスクトップへ移すことを検討するのも一案だという。
アプリケーションをWindows 7または8へ移行する基本手順だけでも一定以上の時間が必要なのだから、企業の大規模なWindows XP移行を成功させたければ、性急には進められない、とハーテンスタイン氏は強調する。
Wood Groupのデリク・ウッドCIOによれば、同社が2011年半ばから開始したWindows XPと「Windows Vista」からの移行プロセスはそろそろ完了するという。3月中旬の時点では、同社のネットワーク上で稼働中の2万台のマシンのうち、まだXPを実行しているのはわずか200台のPCだけとなり、それらもこれから移行するか、社内ネットワークから分離するなどの事前対策を講じる予定だという。
Wood Groupが複数年計画で移行プロセスに着手したとき、社内では約2300本のアプリケーションが使われていた(同一アプリケーションの別バージョンも含む)。それらのアプリケーションを1つ1つ調べて、修正が必要か、それとも使用をやめるべきか、判断しなければならなかった。移行に着手するまでは「当社のアプリケーション資産をきちんと把握していなかった」(ウッド氏)
Wood Groupでは現在、使用するアプリケーションの数を700~900本程度まで減らしたという。
「最も苦労するのが“アプリケーション資産”の把握であり、重要なアプリケーションの互換性を確認すること、それらのアプリケーションを新しいプラットフォームでテストして移行可能であると確認することだ。かつては重要だったアプリケーションや、1人か2人はユーザーのいるアプリケーションも、移行の必要性によって決断を迫られれば、大抵は使用を諦めることができた」(ウッド氏)
オーストラリアの石油ガス探査会社Santosも、Windows XPからの移行に2年以上を費やし、2013年末に完了した。約8200台のマシンをXPからWindows 7へ移行したという。
全てを完全に移行できたわけではなく、約40台はサポート終了後もXPを使い続けることになる、と同社のITセキュリティ担当者、アンドリュー・スピア氏は話す。それらのXP機については、セキュリティ確保のためにインターネット接続を制限する他、「Microsoft Outlook」などのプログラムを削除して感染源となり得る要因を排除する対策を講じるという。Santosは、引き続きXPをサポートするというマルウェア対策サードパーティーベンダーを利用しつつ、これらのレガシーマシンを廃止する道を探っている。
スピア氏によると、Santosが移行を済ませたXPの方でも、アプリケーションの互換性の問題は多かったという。例えば、同社ではWindows 7で導入されたセキュリティ機能「AppLocker」を使ってアプリケーションのホワイトリストを作成することにしたが、標準以外の場所にインストールされている特殊なユーティリティプログラムやマイナーな生産性ツールで予想外の障害が発生した。「それでもどうにか全てのWindows 7マシンをAppLockerで検査した」(スピア氏)
Santosにとってそれ以上に厄介だったのは、定着しているセキュリティ慣行に反して、マシンの管理者権限がないと実行できないような出来の悪いアプリケーションが多数あったことだ。スピア氏によれば、同社は全社的な協力の下、管理者権限を持つユーザーを減らす方針を決めており、そのために米AppSenseなどのサードパーティー製ソフトウェアを利用して、レガシーアプリケーションを安全に実行できるXPの仮想インスタンスを作成することにしたという。
「これまでのようにマシンの管理者権限を持っていなくても仕事はできるということを、従業員に納得してもらうのが一苦労だった。私と同じ立場の人には、全面展開してから強化セキュリティ機能を適用したり有効にしたりするよりも、最初はセキュリティを最大限に厳しくしておいて必要があれば例外を認めることを勧める」(スピア氏)
サポート延長という選択肢はあるか
Microsoftは4月8日までにWindows XPから新しいOSへ移行することを企業に強く促していたが、移行できなかった企業には高額の延長サポートというオプションも用意している。
Windows XPを継続使用する企業を対象とするカスタムサポートプランは、マシン台数に応じて価格が交渉される傾向にある。米IT調査会社Gartnerが発表した2013年1月の報告書によれば、Microsoftはこうしたプランの料金をかなり高額に設定しており、顧客に提示される額は、サポートするマシンの台数や必要な修正プログラムの数に応じて、初年度だけでも60万~500万ドルだという。
Wood Groupのデリク・ウッドCIOによれば、同社はまだXPを使っている200台のマシンについて、Microsoftの延長サポートを利用することも検討したが、目玉が飛び出るような金額だったため、上層部は早々にその案を却下したという。Microsoftから提示されたサポートモデルは2種類あり、1つは、最小限700台のマシンを1年間サポートするモデル、もう1つは1台ごとに課金するモデルだ。サポート初年度の料金は最低でも15万ドルで、必要な修正プログラムの数によっては年間200万ドルを超える計算だった。
ただ、Wood GroupがXPの延長サポートを利用しないと決めた理由はコストだけではない。ウッド氏によれば、2020年までは、全てのITプロジェクトをWindows 7の堅固なプラットフォームで進められるようになったからだという。
「延長サポートの利用をためらった理由の1つには、まるで(モノポリーの)“刑務所釈放カード”のようだったということもある。それに、XPから完全に脱却しようという勢いもなくなってきた」(ウッド氏)
多くの企業が高額のXP延長サポートを利用する以外にほとんど選択肢のない状態へ追い込まれており、それが1年以上ともなればかなりの負担になるということは、En Pointeのハーテンスタイン氏も認めている。だが、ぎりぎりになっても移行せずにいた企業にとっては、移行計画を立てる時間が与えられるこの選択肢こそ、一番いい方法かもしれない、と同氏は話す。
「単に『サポートが終了するからXPをやめてWindows 7へ乗り換えなければいけない』という会社には賛同できない。それではWindows 7から乗り換えるときにまた、自ら問題を作ることになる。今こそ、可能な限り戦略的になる好機だ」(ハーテンスタイン氏)
やはり根本的な対策は無いようだ
セキュリティ強化(メーカーがやってくれれば)とインターネットの接続制限