PR

高倉 弘喜 名古屋大学 教授

 「セキュリティ対策の基本は?」と聞かれたら、「常に最新パッチを適用する(OSやアプリケーションを最新状態にたもつ)」と答える人が多いと思います。私もそうです。未知の脆弱性を狙ったゼロデイ攻撃、あるいは未知の脆弱性を突く標的型攻撃の増加を考えると、万能ではないのも確かですが、効果的なのは間違いありません。一方で、最新パッチを適用すると使えなくなるアプリケーションや周辺機器が出てくるので、これらが最新OSに対応するまで様子を見るユーザーもいるでしょう。しかし、最も悩まなければならないのは、最新状態をたもつために費用がかかる場合です。

 例えば、現在も多く利用されているWindows XP Professionalのうち、Service Pack 2は2010年7月13日に延長サポートが終了します(関連情報)。「じゃあ、SP3に上げるなり、Vistaにバージョンアップすればいいでしょ」と思われるかもしれません。

 ところが、ビジネス用途を考えると、そう簡単ではないのです。使用しているアプリケーション(ドライバー)によっては、OSのバージョン依存が強く、指定バージョン以外のOSでの動作を保証していない製品が結構あります。実際には、指定以外のOSでも問題なく動作することが多いのですが、製造元が補償しないOS環境に移行したために、アプリケーションが動かなくなるかもしれない、またはプリントアウトができなくなるかもしれない製品を、ビジネスの現場ではどう評価するでしょうか。さらに言えば、見かけ上は問題なく動いていても、本当は正しく計算できていない(かもしれない)モノに更新するとの決断はしにくいのです。

 最新OSに対応した更新プログラムを無償で提供しているアプリケーションが比較的少ないのも、OS更新を進めにくくする要因です。特に、ユーザーが数社しかないようなカスタムアプリケーションでは、無償提供は難しくなります。ユーザーとしては、アプリケーションの製造元に、数年先に登場するOSへの無償対応も考えてもらいたいのですが、その分のコストを販売価格に上乗せしてほしくもないので、あまり無理は言えません。我々ユーザーはそのコスト上昇分を商品購入時に前払いするわけですが、コスト的に見合う出荷本数がいくらなのか、アカデミアの人間には想像しにくいです。