「Windows XPをまだ使う」 金融機関にみる残念な言い訳：萩原栄幸の情報セキュリティ相談室（2/2 ページ）

[萩原栄幸，ITmedia]

言い訳・その2

　「移行すると業務アプリが動かない、もしくは、挙動が不安定で100％動作保証ができない」

　この言い訳も多用されている。しかし、10年以上も前にサポートが切れると分かっていたOS環境について、こう言い訳する技術者は「手抜き」としか思えない。

　もし経営側が理解していないなら、技術者が理解してもらう努力をすべきだ。その権限を持つ役職者はいるだろうし、外部の協力や社内の有識者を総動員しても、対応すべきではないか。「動かない」「挙動が……」と主張するなら、その修正負荷を見込めば済むだけだ。実際の注意点はほぼ公開されている通りであり、新規開発しなければならないほどの“重傷ケース”は、筆者の私の知る限りWindows XPから32ビット版のWindows 7に移行するとしても10％以下である。

言い訳・その3

　「Windows XPをインターネットに接続していないから、当面はそのまま使う」

　この言い訳をする人は現実を知らない。日本ネットワークセキュリティ協会（JNSA）から7月7日に発表された最新の情報漏えい調査報告書によれば、単年度分析の「漏洩媒体・経路（人数別）」で「USB等可搬記録媒体」が78.2％と、圧倒的多数を占める。「インターネット」は7.2％、「紙媒体」は3.6％であった。

　新型のマルウェアがUSBメモリに忍び込んでいたら、ひとたまりもない。「インターネットに接続しなければ安心」という行為は絶対に危険である。そう認識すべきだ。そもそも、USBメモリ経由で情報を漏えいされたら、管理者の立場が極めて悪くなるのは必至だ。筆者なら絶対に避けるだろう。

言い訳・その4

　「迷惑をかけないで利用しているから、部外者は黙っていろ」

　そうこうして追われるうちに、感情的になった一部のシステム技術者はこう言いだす。いやはや、何とも……ではある。

　「迷惑を掛けない」とは、すなわち「オウンリスク（自己責任）」とのことだが、それは大きな間違いだ。そもそも、Windows XPを使い続けている状況がオウンリスクとはいえない。現場担当者が「ささいな事」と思っている事象が、ささいな事で済むはずがない。ついには経営層を巻き込み、顧客を巻き込む。そんな状況でこう言い訳をする人間が責任を負えるはずがない。いい加減にしてほしい。

そもそも……

　Windows XPを使い続けるリスクが経営側に伝わっているのだろうか。筆者はセミナーなどの場で何年も前からは、「Windows XPの移行対応はシステム部マターではなく経営マターである」と伝えてきた。

　しかし、多くの企業でこの作業の重大さが認識されずに来た。大した議論もされず、システム部内などで対応方法やスケジュールが決められてしまっているケースが多い。自分たちの都合でリソース配分をした結果、東京電力のようにサポート終了から5年後に移行を終える計画が打ち出させる。システム側が重要な内容であると経営側に伝えられなかった結果だ。

　技術者はもっと創造力を持つべきだ。特に金融機関というインフラの一翼を担う立場の技術者なら、なおさらである。Windows XPによって万一にも顧客が損害を被ったなら、彼らは監督官庁である金融庁にどう言い訳をするのだろうか。管理者レベルでは済まないだろう。まずは、現在の移行スケジュールがどうなっているのかを確認してほしい。今からでも決して遅くはない。事件・事故になっていないのなら、速やかに前倒しをして完了してほしい。

萩原栄幸

日本セキュリティ・マネジメント学会常任理事、「先端技術・情報犯罪とセキュリティ研究会」主査。社団法人コンピュータソフトウェア著作権協会技術顧問、CFE 公認不正検査士。旧通産省の情報処理技術者試験の最難関である「特種」に最年少（当時）で合格。2008年6月まで三菱東京UFJ銀行に勤務、実験室「テクノ巣」の責任者を務める。

組織内部犯罪やネット犯罪、コンプライアンス、情報セキュリティ、クラウド、スマホ、BYODなどをテーマに講演、執筆、コンサルティングと幅広く活躍中。「個人情報はこうして盗まれる」（KK ベストセラーズ）や「デジタル・フォレンジック辞典」（日科技連出版）など著書多数。