「Windows XPをまだ使う」 金融機関にみる残念な言い訳：萩原栄幸の情報セキュリティ相談室（1/2 ページ）

2014年4月でサポートが終了したWindows XPを使い続けることは、重大なセキュリティリスクを伴う。特にセキュリティ意識が高い（と思われがちな）金融機関では移行対応が進んでいるようにみられるが、その内情は恐るべき実態がある。

[萩原栄幸，ITmedia]

　読者もご存じの通り、今年4月をもってMicrosoftによるWindows XPのサポートが終了した。筆者は金融機関向けのコンサルタントを主業務としているので、様々な金融機関からWindows XP対応の報告が届いている。その結果をみると、金融機関の現状は、筆者の予想とはずいぶん違うものだ。その警告の意味も含めて実際のところを紹介したい。

　Windows XPがこの世に出た2001年、正確にいえばMicrosoftはその前からWindows XPのライフサイクルを提示していた。つまり、企業はWindows XPの移行対応作業をかなり前から計画・実施できるはずだった。

　ところが、少なくとも筆者が主に接している金融機関の大半と、動向をウォッチしている業種・業態では一般に伝えられているような移行対応が、実はあまり行われていない。現在でもまだ一部で利用され、当面は移行対応をしないところが多いという驚愕な事実がある。個別具体的に名前を挙げることはできないが、7月末時点でも恐らく半数近い金融機関が一部とはいえ、Windows XPを利用していると思われる。

　このことは、筆者の感覚としては「あり得ない」のだ。コンサルタントをしている金融機関には、もれなく「Windows XPを絶対に使わないこと！　どうしても利用すべき事情があるなら、最優先で移行作業を行うべき」と強くお勧めしている。「サポートが必要ならいくらでも協力する」とも申し上げており、その結果、コンサルティング先の金融機関のほとんどがスケジュールを前倒して作業に着手してくれた。

　一部とはいえ、それでも金融機関がWindows XPをどういう言い訳をして平然と使っているのかについて実例を紹介する。

言い訳・その1

　「スケジュールを策定して、きちんと対応している。ただ、その計画完了まであと5年ほどかかるだけだ」

　この手の言い訳をするシステム技術者に多い。仮にスケジュールが急に発表されたなら仕方がないものの、実際はWindows XPがこの世に出現したときから、その寿命がMicrosoftから提示されている。こう言い訳をする人の移行完了スケジュールが、なぜサポート切れから5年後なのか意味不明だ。その間に事件や事故が発生したら誰が責任をとるのだろうか。

　以前に東北地方の某金融機関が、ベンダーから入手したと思われる資料を筆者に見せながらこう話した。「ほら！　ここでもあそこでもWindows XPを使っている。当行より資金量の多い銀行ですらこういう状況だから、安心です」

　筆者は思わず「『赤信号、皆で渡れば怖くない』ですか？　すばらしい発想です。もし事件や事故、特にお客様が迷惑を被る事案が起きた時、あなた方は金融庁に正々堂々と『ほら！　ここでもあそこでもWindows XPを使っている。うちだけじゃありませんよ。許してください』と言えるのですね。そんなことができる社長や頭取をぜひご紹介してほしい」とお伝えした。

そもそも、こういう姑息な資料を作成するベンダーの感覚が理解できないが、筆者は他社でも同じ様な資料を見ている。そこに示されている金融機関は気の毒だが、資料作成にあたっては合意を得ているのだろうか。それはあり得ないと思われる。どうやら技術者同士で軽く賛同したのかもしれない。筆者ならコンサルティング先の弱点を他の金融機関に知らせるようなことはしない。

　論理があまりに幼稚である。まるでスピード違反で捕まった一部の運転手が、「ほら、あの車もこの車も私よりスピードを出している。なぜ私だけ捕まえるのか！」と警察に怒鳴っているようなものだ。万一事件や事故が発生すればどうなるのか想像できないし、自分の首すら危うくなることが理解できない。まさに創造力欠如の管理者である。

　先日も読売新聞の報道で東京電力がWindows XPを2018年〜19年まで使い続けると明らかにした。その直後に世界中から驚愕の目で見られ、同社はスケジュールの前倒しを急遽策定し、2015年9月までに移行すると宣言した。本当にサイバー攻撃の「怖さ」や「インフラ・テロ」の状況をご存じないのだろう。いまからでも遅くはない。前倒しをして、少しでも早くWindows XPを停止すべきである。