特に経営層に理解してほしいこと、それは、華美な脆弱性対策ではなく、最低限の脆弱性対策。最低限といっても、大企業ならともかく、中小企業の多くはその最低限の脆弱性対策ができてない。
最低限の脆弱性対策
しごく当たり前の対策を列挙しておく。まずは、この対策を完璧にするところからはじめてほしい。
サポート切れになったソフトウェアは利用厳禁
ITの世界、古いモノを大事に使うのはリスクでしかない。WindowsなどのOSはもちろん、Micosoft Officeの様なソフトウェアも同様。商用ソフトウェアなら、ベンダーが、サポート終了日を公開している。
例えば、マイクロソフトなら、Microsoft ライフサイクル ポリシー | Microsoft Learn で規定している。
現在(2024/01/03)なら、Windows 10やWindows 11を使っているケースが多いだろうが、Windows 10は、2025/10/14にサポート終了となり、サポート終了まで2年を切っている。社員全員のPCをWindows 11等にアップデートしたりする準備を開始しているべき時期。
Officeでは、現在サポートされているのは2016以上。2013以前のOfficeはサポート切れなので注意。永続化ライセンス(=買い切り)のOfficeを使っている場合、バージョンアップに相当な費用がかかるので注意。
オープソースソフトウェア(OSS)も同様。メジャーなOSSはEnd of Life (EoLと呼ばれる)をサポート期間を設定している。
更新プログラムの適用
Windows Updateを利用してのWindows/Officeの更新はもとより、利用しているすべてのソフトウェアを常に最新に保つ。ソフトウェアの自動更新を妨げないこと。社員に徹底させる方法として、管理ツールを使う方法もある(別途解説予定)が、まずは、各社員が能動的に意識できるようにする。