セキュリティ対策

Windows10/11のアップデート機能で脆弱性を見つける方法と一元管理ができるおすすめツール

【後編】Windows10のセキュリティに重要なアップデートが漏れる理由と、現実的な一元管理方法とは?

※この記事は「Windows10/11の標準セキュリティ機能だけで、会社の安全を守り切れるのか」の後編です。

前編では、Windows10/11の標準セキュリティ機能「Microsoft Defender(旧Windows Defender)」だけではウイルス対策は難しく、ウイルス対策の強化が必要だというデータをご紹介しました。

もちろん、有料のセキュリティソフトを利用すれば、パソコンをより多くのウイルス(マルウェア)から保護できる可能性はあります。

しかし実は、セキュリティソフトでは防げない問題があります。それがOSやソフトウェアに潜む「脆弱性」。

脆弱性は、ウイルスなどが攻撃で悪用するOSやソフトウェアの弱点です。そのため、対策を怠ると、経営に重大な悪影響を与えるセキュリティ事故につながる可能性があります。

ここからは後編として、脆弱性対策を行い、全デバイスを安全性の高い状態に保つ方法についてご紹介します。

【1】ウイルス対策だけでは不十分。脆弱性の対策としてアップデートが重要

ここからは、以下の流れで解説します。

・脆弱性とは?
・脆弱性を悪用する攻撃は、過去から今まで変わらず多い
・「脆弱性」が見つかった時の対策は、OSやソフトウェアのアップデートが基本

脆弱性とは「セキュリティ上の弱点」

脆弱性について、総務省のページでは以下のように説明されています。

脆弱性(ぜいじゃくせい)とは、コンピュータのOSやソフトウェアにおいて、プログラムの不具合や設計上のミスが原因となって発生した情報セキュリティ上の欠陥のことを言います。

引用元:「総務省 安心してインターネットを使うために国民のための情報セキュリティサイト」

つまり脆弱性は、OSやソフトウェアに潜在的に存在している「セキュリティ上の弱点」です。

脆弱性は、開発時のミスなどで発生するものがほとんどです。(中には攻撃を目的として故意に仕込まれるケースもあります)

次に、脆弱性を悪用した攻撃について見ていきます。

脆弱性を悪用した攻撃は、被害が拡大している

まずは、脆弱性の報告件数を見ていきます。
2017年~2019年にIPA(情報処理推進機構)に報告された脆弱性の件数は、以下のようになっています。

脆弱性の届出件数

脆弱性の届出件数の四半期ごとの推移

出典:IPA「ソフトウェア等の脆弱性関連情報に関する届出状況[2019年第4四半期(10月~12月)]」

2019年は2Qと3Qのウェブサイトにおける脆弱性が、非常に多くなっています。

また、少なく目立たないものの、4Qのウェブサイトにおける脆弱性も100件を超えています。2018年の倍近くとなっており、脆弱性が減少している様子はありません。

次に脆弱性を悪用した攻撃の数を確認します。

以下は、IPAから発行されているレポートです。これをみるとわかることは、過去14年間を通じて、「脆弱性を悪用した攻撃が昔から現在に至るまで多数」ということ。

(下図の赤丸で囲まれた部分が「脆弱性を悪用した攻撃」を表しています)
IPA 振り返りから見える傾向と対策
出典:IPA「”情報セキュリティ10大脅威” 14年のランキングを分析~サイバーセキュリティ脅威の変遷~」PDF P.33

では、脆弱性を悪用した攻撃には、どのようなものがあるのでしょうか。具体例を、1つ見てみましょう。

脆弱性を悪用した攻撃で有名なのは、「WannaCry」です。2017年5月に世界規模で発生し、各所で被害を出したランサムウェアです。WannaCryは脆弱性を悪用することで、パソコン上で任意のコードを実行できました。そしてパソコン上のファイルを暗号化し、利用不可能にして身代金を要求したのです。

この攻撃は、Windowsの「EternalBlue」と呼ばれる脆弱性を悪用したものでした。

では、このような次に脆弱性を悪用した攻撃を防ぐにはどうしたらよいのでしょうか。その方法について、見ていきます。

「脆弱性」が見つかった時の対策は、OSやソフトウェアのアップデートが基本

「WannaCry」は、Windowsの脆弱性「EternalBlue」を悪用したものです。ただ、実は2017年3月の時点で、Microsoftは「EternalBlue」を修正する更新プログラムを提供していました。それにもかかわらず2ヶ月後の5月になって、多くの被害が出てしまったのです。その原因はアップデートが行われていなかったことでした。未更新のパソコンで脆弱性が残ったままとなり、被害につながってしまったというわけです。

このような事態にならないように、Windowsアップデートがとても重要と言えます。
しかし、いくら経営層や情報システム部が意識を強めていても、ユーザー個人の操作が原因で脆弱性を残してしまう場合があります。

【2】ユーザーの操作が「脆弱性」につながる可能性も

OSやソフトウェアの設計ミスで生まれる脆弱性とは別に、「ユーザーの操作が脆弱性につながる可能性」もあります。

脆弱性につながるユーザーの操作について、見ていきます。

1. OSやソフトウェアの自動アップデートを無効化してしまう

自動アップデートを設定していると、ユーザーが操作しなくてもWindowsの更新が完了します。
しかし
・更新プログラムをダウンロードされると、パソコンの動作が遅くなる
・更新プログラムの適用で、パソコンの起動に時間が掛かることがある

といったことから、ユーザーが自分で自動アップデートを無効化してしまう場合があります。これが意外と多く、本来修正されるはずの脆弱性を、自分の手で残してしまうのです。

2. ソフトを起動するためにMicrosoft Defender(旧Windows Defender)を止めてしまう

Microsoft Defender(※Windows10/11に標準搭載されているセキュリティ機能)や他のセキュリティソフトを使用していると、特定のソフトウェアの処理や通信がブロックされて、うまく動作しない場合があります。

特定のソフトのみブロックしない設定にもできますが、面倒さや手間からその設定する人は多くありません。結局Microsoft Defender自体を止めてしまい、自ら脆弱性を作ってしまうパターンが多いです。

【3】脆弱性をいち早く察知して対策するためには、各端末の一元管理が重要

脆弱性を修正するにはできるだけ早くアップデートを行い、OSやソフトウェアを常に最新の状態にすることが大切でした。
そのため「今の自分のデバイスが最新化されているか」の確認も重要です。

そこでここからは、Windowsの管理ツールを使った脆弱性の確認方法を解説します。

Windowsの管理ツールを使い、脆弱性を調べることは可能

Windowsの管理ツールで、脆弱性の有無を確認する方法を見ていきます。

(1)Windows UpdateでOSに最新の更新プログラムが適用済みか確認
「設定」-「更新とセキュリティ」-「Windows Update」を表示して、未適用の更新プログラムがないか確認します。

WindowsUpdateの画面

Windows Updateの画面

未適用の更新プログラムがある場合、脆弱性が残っている可能性が非常に高い状態です。速やかにアップデートを行いましょう。

(2)アプリと機能で、各ソフトウェアのバージョンと利用禁止ソフトウェアがインストールされていないかを確認

アプリと機能の画面

アプリと機能の画面

会社で利用禁止になっているソフトウェアがある場合は、アンインストールしましょう。

また各ソフトウェア名をクリックして表示されるバージョンは、現在インストールされているバージョンです。ソフトウェアの最新バージョンを確認し、古いバージョンを使用している場合はアップデートしましょう。

(3)Windowsセキュリティで、セキュリティソフトなどによる保護の状態を確認
「設定」-「更新とセキュリティ」-「Windowsセキュリティ」を表示して、黄色や赤のバッチがついたアイコンがないか確認します。

Windowsセキュリティの画面

Windowsセキュリティの画面

アイコンに黄色や赤のバッジがついている場合、セキュリティに何らかの問題があります。セキュリティソフトが停止されていないかなど、確認してみましょう。

パソコンの台数が増えるほど管理が困難になる

Windowsの管理ツールを使えば、手作業でも脆弱性を確認することが可能です。

しかし会社にあるパソコンを1台ずつ確認することは時間がかかりすぎます。また、オフィスが複数あり、セキュリティ担当者がいない地域でのパソコンの確認や、リモートワーク社員のパソコン、 BYODなどで社員が自分自身のパソコンを使っている場合など、全てを人力で管理するのは現実的とは言えません。

また、たとえ確認が終わったとしても、1度だけで済む問題ではありません。定期的に同じような確認が必要となってしまい、管理も煩雑となってしまいます。

そこで、必要になってくるのが「IT資産管理ソフト」です。

【4】人手による管理にお困りなら、IT資産管理ソフトの活用がおすすめ

「パソコンの台数が多く、人の手で全てのパソコンを管理するのが難しい…」という場合は、IT資産管理ソフトがおすすめです。

IT資産管理ソフトは、自動でパソコンの情報を収集。その情報をもとに、OSやソフトウェアのアップデート状況チェック、更新プログラムのインストールを行います。

またUSBメモリなどの外部メディア利用制限や、操作ログの取得なども可能です。ハードウェア・ソフトウェアの資産管理だけでなく、全ての社用パソコンのセキュリティを高められます。

そのIT資産管理ソフトの中でもおすすめなのが『ISM CloudOne』です。Windowsアップデートの管理や実行など、IT資産管理ソフトの一般的な機能に加え、自動脆弱性診断や強力なダッシュボード、禁止ソフトウェア起動制御といった機能で、さらにセキュリティを強化できます。

ここからは、以下2つに分けて『ISM CloudOne』についてもう少し解説します。

『ISM CloudOne』とは?

『ISM CloudOne』は、Windows10/11パソコンのセキュリティ対策やアップデート管理なども可能なIT資産管理ソフトです。

簡単な設定で社内のパソコンを一元管理できます。そして各PCの状態は毎日レポート化され、管理はダッシュボードを確認するだけ。もし問題が起きたら、その是正もダッシュボードから実施可能です。

クラウドでも利用できるため、テレワークなどのさまざまなワークスタイルに対応します。国内だけでなく世界55ヶ国以上で導入されています。

『ISM CloudOne』でできること

ISM CloudOneには、Windows10/11パソコンのセキュリティ対策・アップデート管理ができる、様々な機能があります。

まずはISM CloudOneならではの機能を2つご紹介します。

・自動脆弱性診断
全てのパソコンと、本来あるべき姿がまとまった「セキュリティ辞書」を比較して、「脆弱性」を自動で診断します。発見された更新プログラムの未適用などの問題を毎日レポート化。管理者は、ダッシュボードで問題点の確認から是正までできます。
自動脆弱性診断から是正までのステップ

自動脆弱性診断から是正までのステップ

ダッシュボードには、管理者が確認するべき情報が集められます。種類ごとにレポートをいくつも表示して、確認する必要はありません。1つの画面で対処が必要な問題を、確認・解決できます。
ダッシュボードの画面イメージ

ダッシュボードの画面イメージ

・禁止ソフトウェア起動制御
社内ルールで禁止されていても、なかには「便利だから…」と、つい使用してしまう人もいるもの。そんな「つい」を防ぐため、情報漏えいなどセキュリティ事故の危険性があるソフトウェアの利用を制限できます。禁止ソフトウェアのインストール状況の把握と、起動させようとした場合の制御が可能です。
禁止ソフトウェア起動制御

とはいえ、世の中に多数あるソフトウェアの危険性を、管理者が一つひとつ判断するのは簡単ではありません。そこでISM CloudOneは、情報漏えいに繋がる恐れのあるソフトウェアのリスト(6200種類以上。定期更新)を搭載しています。管理者はリストから禁止するソフトを選択するだけで制御可能です。

次にWindows10/11のアップデートに関連する機能をご紹介します。

・Windows Update強制化ポリシー機能
脆弱性の対策としては、OSやソフトウェアのアップデートが重要です。しかし、パソコンの利用者が自分の利便性を優先し、Windows Updateを無効化してしまうと、脆弱性が修正されずに残り続けてしまいます。

ISM CloudOneのWindows Update強制化ポリシー機能では、複数のパソコンを一元管理できます。管理画面からWindows Updateの有効化設定を一括変更できるため、管理に手間がかかりません。

また、ポリシーは「基本ポリシー」と「個別ポリシー」の2種類を設定できます。

2種類を使い分け、基本ポリシーで全てのパソコンに一括で設定することも、個別ポリシーで特定のパソコンにのみ設定することも可能です。
Windows Update強制化ポリシー機能

・Windows10/11アップデート支援機能
ISM CloudOneは、最新の更新プログラムをチェックします。そして自動で配布用パッケージを生成・更新して、パソコンをアップデートすることが可能です。

しかし、Windows10/11のアップデートの1つであり、年に2回の機能更新プログラムについては、

・サイズが大きく、全てのパソコンが一度にアップデートするとネットワーク負荷が大きい
・アップデートによって社内システムや業務ソフトが動かなくなる可能性がある

などの理由で、アップデートを遅らせたい場合もあります。

そこで、もしパソコンがすぐにアップデートされると困るときには、タイミングを遅らせられます。

さらにアップデートを行うパソコンを最大4グループに分けることも可能です。ネットワークの負荷分散や社内システムなどの動作確認をしながら、段階的にアップデートすることもできます。

※以下のように、パソコンを4つのグループに分け、それぞれに「展開ユニット(〇〇)」の名前を付け、管理できます。

Windows 10アップデート支援機能

パソコンを4つにグループ分けして管理

この他にもIT資産管理に役立つ機能が多くあり、ダッシュボードからシンプルに確認・操作ができます。(他の機能の詳細については、「機能一覧」をご参照ください)

こちらの「疑似体験サイトのお申込みフォーム」より簡単な情報入力をしていただけば、実際のダッシュボードに表示される内容の確認や操作感を無料でお試しいただけます。

また、通常版を30日間の無料トライアルすることも可能です。

【5】Windows10/11の脆弱性をいち早く検知し、対策できる環境が重要

この記事では、以下の内容をお伝えしてきました。

・Windows10/11にはセキュリティ機能の「Microsoft Defender(旧Windows Defender)」が標準搭載されている
・セキュリティソフトでは防げないのが「脆弱性」
・脆弱性の対策は、OSやソフトウェアのアップデートが重要
・多くのパソコンを手作業で管理するのは難しい
・Windows10/11を一元管理するなら『ISM CloudOne』がおすすめ

企業のセキュリティを守るには、セキュリティソフトを導入するだけでは足りません。OSやソフトウェアのアップデートを、できるだけ早く行う必要があります。

それを実現できるのが、『ISM CloudOne』です。

30日間の無料トライアルを使えば、自動脆弱性診断などもできるので、ぜひ試してみてください。

\ 実際の環境で30日間の無料お試し! /
ISM CloudOne トライアル申込みページへ

RECOMMENDこちらの記事も人気です。