「その7」最低限の脆弱性対策1

特に経営層に理解してほしいこと、それは、華美な脆弱性対策ではなく、最低限の脆弱性対策。最低限といっても、大企業ならともかく、中小企業の多くはその最低限の脆弱性対策ができてない。

最低限の脆弱性対策

しごく当たり前の対策を列挙しておく。まずは、この対策を完璧にするところからはじめてほしい。

サポート切れになったソフトウェアは利用厳禁

ITの世界、古いモノを大事に使うのはリスクでしかない。WindowsなどのOSはもちろん、Micosoft Officeの様なソフトウェアも同様。商用ソフトウェアなら、ベンダーが、サポート終了日を公開している。

例えば、マイクロソフトなら、Microsoft ライフサイクル ポリシー | Microsoft Learn で規定している。
現在(2024/01/03)なら、Windows 10やWindows 11を使っているケースが多いだろうが、Windows 10は、2025/10/14にサポート終了となり、サポート終了まで2年を切っている。社員全員のPCをWindows 11等にアップデートしたりする準備を開始しているべき時期。
Officeでは、現在サポートされているのは2016以上。2013以前のOfficeはサポート切れなので注意。永続化ライセンス(=買い切り)のOfficeを使っている場合、バージョンアップに相当な費用がかかるので注意。

オープソースソフトウェア(OSS)も同様。メジャーなOSSはEnd of Life (EoLと呼ばれる)をサポート期間を設定している。

更新プログラムの適用

Windows Updateを利用してのWindows/Officeの更新はもとより、利用しているすべてのソフトウェアを常に最新に保つ。ソフトウェアの自動更新を妨げないこと。社員に徹底させる方法として、管理ツールを使う方法もある(別途解説予定)が、まずは、各社員が能動的に意識できるようにする。