「PCの脆弱性って何?」を解決 ~OSセキュリティ更新編~
「脆弱性」を辞書やネットで調べると情報セキュリティ分野用語として「コンピュータネットワークにおけるの安全上の欠陥」と出てきます。
OSやソフトウェア、アプリケーションといったプログラムは、残念ながら100%完全な状態ではありません。プログラムの不具合や設計上のミスなどによる弱点が後から見つかる事があり、その弱点が「脆弱性」ということです。
この「脆弱性」はセキュリティホールとも呼ばれコンピュータウイルスの侵入や不正アクセスによる情報漏えいといったサイバー攻撃に使われる事が多いのです。
今回は、あまたある脆弱性のうち「OS」の脆弱性とそれに対処する方法を書きたいと思います。
みなさんは定期的にくるOSのアップデートにはどのような対処をしていますか?
・よく分からないから放置
・業務中に再起動になったら困るので、後でやろうと思って忘れてしまう
この様な話は「あるある」です。
でもこれは【大変危険な行為】なのです。
ご存じの方は、読み飛ばしていただければと思いますが「よく分からない」と思っている方にOSのアップデートについて簡単にご説明したいと思います。
マイクロソフトが最後のOSといって販売を開始した「Windows 10」には、大きく分けると2種類のアップデートがあります。
■Windows Feature Update
日本語に訳すと「機能アップデート」です。
過去にこんなアップデートがありました(覚えていますか?筆者は全く覚えてなかったです)
・Ver.1803 April 2018 Update 「タイムライン」機能追加
・Ver.1809 October 2018 Update トラブル多発
・Ver.1903 May 2019 Update Windowsサンドボックス」の追加、ファイル検索機能の強化
・Ver.2004 May 2020 Update トラブル続出し、一時配信停止に
・Ver.20H2 October 2020 Update Chromium版の「Microsoft Edge」が標準搭載
アップデートする範囲も大きいため「なかなか終わらない」事もしばしば。またOctober 2018 UpdateやMay 2020 Updateで印象的なのはFeature Updateはトラブルが発生するので注意が必要という認識が多くのユーザーに広まったことではないでしょうか。
大型アップデートとも呼ばれユーザーインターフェースが大きく変更になるのもこのFeature Updateです。
いままで使っていたシステムとの連携ができなくなる、使い勝手が変わりサポート量が増えるなど様々な理由から従業員各個人に任せるのは適切ではないと思います。
■Windows Quality Update
こちらも日本語に訳すと「品質更新」です。
品質更新プログラムでWindowsの品質を最新にしセキュリティも含めた最高の状態にするためのアップデートです。
セキュリティパッチ(セキュリティリスクを防ぐための絆創膏)も含まれるため会社としては必ず適応して欲しいアップデートプログラムとなります。
マイクロソフトがサポートを終了したOSに対してセキュリティパッチを公開したことがあります。
それがランサムウェアWannaCryへの対策の時です。
WannaCryはOSの脆弱性を突いて、PCを暗号化し「複合化したければBitcoinを送金してこい」というあたかも身代金(ransom=ランサム)を要求するような手法をとるためランサムウェアと呼ばれるコンピューターウイルスの一種です。
病院や鉄道、大手の製造系企業など世界中で大規模な被害が起こり一般ニュースにもなったので覚えていらっしゃる方もいるかもしれません。
このときに狙われたのが当時はサポート終了していたWindows7でした。
サポートが終了したOSは、新たにセキュリティリスクが見つかっても対応しない方針をマイクロソフトは変更し、異例の対応をした事でもその当時の脅威が想像できるのではないでしょうか。
WannaCryの様に発見されていない脆弱性をついた攻撃をゼロデイ攻撃と呼びます。
ゼロデイ(0 day)攻撃の恐いところは、攻撃されるまで脆弱性=セキュリティホールに気づけないという点です。
弱点があるのに弱点に気づくことができなければ対処のしようがありません。
WannaCryの様なコンピュータウイルスだけでなく、Webサイトを見るだけでウイルスに感染してしまうような不正サイトもあります。これら不正サイトではOSの脆弱性をついてウイルスに感染させて情報を奪取するという手口も数多く報告されています。
では「脆弱性」と呼ばれる弱点はどのように対策すれば良いのでしょうか。
まずは、常に情報を集め対策をするということがとても重要です。
マイクロソフトは脆弱性が見つかればセキュリティパッチを作成・公開します。
では、セキュリティパッチが含まれているからWindows Quality Updateだけしっかり適応しておけば心配ない?のでしょうか。
実は、そんなこともありません。
パッチ(絆創膏)は、緊急対策も含まれているため根本的な解決をFeature Updateで行う事もあります。
ですので、できるだけ早くFeature Updateを適応し、Quality Updateは可及的に速やかに行う事で一定のセキュリティリスクを取り除くことが可能です。
クオリティソフトではPCのOSのセキュリティ状態を無料で診断できる「PCドック」を提供しております。
OSに最新のセキュリティ更新プログラムが適用されているか診断するだけでなく、PCにインストールされているソフトウェアも最新のバージョンが適用されているか診断可能なためPCをセキュアな環境に保つ対策を取ることが可能です。
この機会にぜひ「PCドック」をお試しください。
