「Windows 11」移行前に確認すべきセキュリティリスクと事前対策

Windows 10のサポートまで約1年半。対象PCの洗い出しやパッチの適用状況、事前検証、エンドポイントセキュリティ、アップデートファイルの適用方法などやるべきことや考えるべきことは多い。セキュリティリスクについては特に慎重に考えたい。

[土肥正弘，ドキュメント工房]

　「Windows 10」のサポート終了期日（2025年10月14日）が迫っている。OSのバージョンアップにはさまざまなトラブルが付きものだが、業務への影響を考えると可能な限り回避したいところだ。「Windows 11」への移行に当たって、移行前と移行後で考慮すべきポイントをまとめた。

Win 11への移行に際して確認したい7つのセキュリティポイント

　Windows 11がリリースされて2年8カ月が過ぎた現在もWindows 10からの移行が遅々としている。現在のところ、Windows 10のシェアは60.93％（注）とまだ高い占有率だ。Windows 11の有償化がほのめかされていたものの、大きな追い風にはならずWindows 11は35.46％のシェアにとどまっているようだ（注）。

図1　いまだに高いWindows 10の占有率（出典：イベント投影資料）

　OSの移行時に懸念されるポイントは、セキュリティリスクだ。大量のPCを運用していても対応人員が限られ十分なリソースを確保できない企業もあるだろう。事前に確認しておきたいチェックすべき項目について、7つのポイントに整理した。

Windows 11移行に際してチェックすべきセキュリティポイント

1．最新のパッチとアップデート

最新のパッチが適用されていなければ、迅速に最新のパッチを適用する必要がある。

2．セキュリティポリシーの設定

パスワードポリシーや、データやシステムへのアクセス制限などのセキュリティポリシーの設定。

3．デバイスとネットワーク・セキュリティの見直し

ファイアウォールやインターネットセキュリティ設定、ポート制御などの見直し

4．エンドポイント保護

脅威の検出やマルウェア対策、侵入検知、ファイアウォール、デバイス制御、アプリケーション制御など、端末側保護の仕組みを用意できているかどうか。

5．ユーザートレーニング

セキュリティ意識の向上や、脅威への対処方法に関する従業員教育。

6．データバックアップと復旧戦略

万が一、OS移行時にデータを損失した場合に備えて、迅速に復旧できるよう復旧戦略を策定する。

7．セキュリティ評価とテスト

移行前にセキュリティ評価やペネトレーションテスト（不正侵入を模倣した侵入テスト）を実施する。

　問題はエンドポイントを保護する仕組みがなければ新規ソリューションの導入を検討する必要があり、運用管理においても専門のノウハウが求められることだ。特に中堅・中小企業では予算も対応人員が限られがちで、移行前準備から移行作業、移行後の運用にかかる負担や工数が懸念されるところだ。

移行後のセキュリティ対応を省力化するには

　この問題に対して、比較的少ない工数で対応するできる方法として、次の2つがある。

ActiveDirectoryのグループポリシー設定によるセキュリティポリシー一括適用

　「Microsoft ActiveDirectory」（AD）のグループポリシーによって、ADの管理下にあるWindows PCにセキュリティポリシーを一括して適用できる。ドメイン全体や組織単位で統一されたポリシーを一括して適用することも可能だ。

WSUSでのパッチ一括適用

　「Windows Server Update Services」（WSUS）によるパッチの適用はPCの台数が多いとその分工数や負担も膨らみやすい。またネットワークの帯域幅によっては適用に時間がかかることもある。パッチリリースの頻度が高く、通常はパッチの適用に数日から数週間を要することが多いため多くの企業がパッチの適用にWSUSを利用している。

　ただし、WSUSでパッチが適用できるのはWindows PCに限られる。またOS以外の多くのアプリケーションやドライバーなどのパッチ適用やアップデートも対象外だ。また、Windows 11への移行で既存のソフトウェアの動作に影響が生じないかどうかは事前に検証する必要があり、移行後のパッチ適用やアップデートの都度、事前検証が必要になる。

　これに加えて、次の2点も課題となりやすい。

パッチテスト

　ユーザー部門のPCにパッチを適用する前に、検証用PCで事前に動作を確認しておきたい。WSUSにはパッチテストオプションがなく、このフローが自動化できない。またWindows以外のソフトウェアのパッチテストオプションもないため注意が必要だ。

パッチ管理の一連作業

　パッチを適用済みのPCと未適用のPCを確認し、欠落しているパッチをJVN（Japan Vulnerability Notes）などで情報収集し、欠けているパッチがあればベンダーのWebサイトなどからダウンロードし、動作検証した上で対象のPCに配布していく。この一連の作業を管理する必要がある。

図2　多くの工数がかかるパッチ管理（出典：イベント投影資料）

　また、全てのPCにおいてPCの保護が適切か、また保護対策がアップデートされているかどうかを確認し、状況を管理する必要がある。これも人手の作業では多くの工数がかかり、ヒューマンエラーが発生する恐れもある。ユーザー部門の従業員が設定を変更することもあり得るため、その点も事前に考慮した管理体制を考えたい。

自動化ツールなども利用しながら管理負荷の軽減を

　このように、Windows 11への移行に際しては多くの確認事項があり、移行後もADやWSUSを利用しても相応の運用負荷がかかる可能性がある。こうした作業の一部を自動化するツールもあるが、「Windowsのパッチ管理だけで十分か」「パッチテストに対応する機能が必要かどうか」「Windows以外のOSやその他ソフトウェアのパッチも管理すべきか」などの点も考慮した上で、導入を検討したいところだ。

　冒頭でも述べたが、Windows 10のサポート終了まで残すところ1年余りだ。移行前の準備とともに移行後の運用体制も整備しておきたい。

注：ゾーホージャパンによるウェビナーで投影された資料から（2024年5月時点）。

本稿は「ManageEngineウェビナー：早めに対策を！Windows10サポート終了の懸念点とは」（主催：ゾーホージャパン）の講演内容をもとに編集部が再構成した。