WindowsやMac、iOS、Androidなど、さまざまなデバイスでOSやソフトウェアがインストールされています。
これらのOSやソフトウェアは定期的に新しいバージョンが公開されてアップデートされます。
この記事では、OSやソフトウェアのアップデートとセキュリティ対策の関係、そしておすすめのアップデートの実行方法について詳しく解説します。
また、そうしたセキュリティ上必要な対応を従業員に伝えるセキュリティ教育の手順をまとめた資料を無料で配布しています。その名も「セキュリティ教育の方法」。ダウンロードしてご活用ください。
そもそもアップデートでは何が行われる?
そもそもOSを含めたソフトウェアのアップデートでは、何が行われるのでしょうか。
基本的にソフトウェアのアップデートで行われることは、以下の2点です。
- 機能の追加や強化など
- セキュリティ上の問題点や不具合の修正
アップデートの規模により必要な時間や内容は異なりますが、ソフトウェアのアップデートで行われることは、上記の2点に集約されます。
今回お話させていただくことは、ソフトウェアのアップデートには、セキュリティ上の問題点や不具合を修正するための要素が含まれているということです。
OSやソフトウェアのアップデートとセキュリティの関係性は?
パソコンやスマートフォンに搭載されているOSやアプリケーションなどは、開発段階からセキュリティに対して十分に配慮されて開発されています。しかし最初から完璧なソフトウェアを開発することは、非常に難しいものです。
たとえばソフトウェアの脆弱性を悪用するサイバー攻撃への対策は重要です。
サイバー攻撃と一口に言っても、その脅威は日々進化しています。ソフトウェアの開発時には対策できていた脅威でも、攻撃手法の変化や、未知の脆弱性の露呈などによって、対策が取れていないサイバー攻撃の被害にあってしまうリスクも無視できません。
そこで、OSやソフトウェアは、脅威やセキュリティ上の脆弱性が発見されたら随時修正を行って、利用者に対してその修正版にアップデートしてもらうことで、リスクの軽減に努めているのです。
つまり、アップデートを行わないということは、無意識にセキュリティ上の脆弱性を持ち続けることになります。そうならないためにも、原則としてソフトウェアのアップデートを行って、セキュリティリスクを軽減することが望ましいのです。
常にOSやソフトウェアのアップデートをすることが正解とは限らない理由
ここまでの説明を受けると「OSなどのソフトウェアは基本的にアップデートすればいいのか」と思われるかもしれません。
原則としてソフトウェアはアップデートすべきなので、この考え方はあながち間違いではありません。
間違いではないのですが、実はアップデートすることによるリスクというものも存在しています。そのリスクについて詳しく見ていきましょう。
PCやモバイル端末が対応していなく、動作しなくなる
パソコンの場合だと、WindowsやMac、スマートフォンの場合だとiOSやAndroidですが、使用しているハードウェアによっては、最新のOSやソフトウェアが対応していない場合があります。
例えば、数年前に買った古い機種にインストールされているソフトウェアをアップデートしたケースです。
あまりにも古い機種に対してソフトウェアのアップデートを試みると、正常にアップデートできないことや、アップデートによってデバイスの動作が不安定になることがあります。
OSやソフトウェアはどの機械でも動くわけではなく、あまりにも古い機種などの場合は「アップデートできない」ことや、場合によっては「アップデートしたことによって機械の動作がおかしくなった」ということが発生する可能性もあります。
アップデート後、動きが安定しなくなる
先ほどの理由と近いのですが、古い機種でなくてもアップデート後に動作性が悪くなることがあります。
その理由は、最初から完璧なソフトウェアを開発できないことが上げられます。
実際に最新版のOSやソフトウェアのアップデートをリリースした直後に、何らかの不具合が報告されて、すぐに修正版がリリースされるケースは非常に多いのです。
ソフトウェアがOSに対応しなくなる
大規模なOSのアップデートを行ったことで、デバイスにインストールされているアプリケーションや動作しなくなることがあります。これは、そのアプリケーションが最新のOSに対応していないことで発生する不具合です。
実際に皆さんも、普段利用しているPCやスマートフォンなどで、OSをアップデートしたら急にアプリが使えなくなったということを体験したことがあるのではないでしょうか。その場合、OSをアップデート前に復元するか、最新のOSに対応させたアプリのリリースを待つしかありません。
おすすめのOSやソフトウェアのアップデート対策方法
ここまでの話を整理すると、「じゃあ結局どうしたらいいの?」と混乱してしまうのではないかと思います。
そこで、この章では、皆さんがどのような対策を取ることができるのかについていくつかご紹介したいと思います。
アップデートを先行適用する検証用パソコンを用意する
実際に業務で使用しているパソコンに対して、いきなりアップデートを実行するのではなく、まずは検証用のパソコンに対してアップデートを実行して様子を探る方法があります。
会社で使われているパソコンでは、同じ設定で同じソフトウェアが導入されているパソコンが複数利用されていることが多いでしょう。このようなパソコンのうち一つを検証用パソコンとしてピックアップして、OSやソフトウェアのアップデートを先行適用させます。
その後、検証用のパソコンを1週間程度使い続けて、問題がなければ全パソコンに対してアップデートを適用させると、トラブルを回避できます。
ソフトウェアのアップデート対応状況を都度確認する
特に機能が大きく変わるメジャーアップデートの場合、既存のソフトウェアがうまく動作しなくなる可能性があります。
そのため、メジャーアップデートのリリース時とリリース後に、使用しているソフトウェアの対応状況を都度確認しておきましょう。使用しているソフトウェアが対応していない場合、OSのメジャーアップデートの適用を見送ることも検討すべきです。
セキュリティに関するアップデートは適用する
OSやソフトウェアのアップデートの中でも、セキュリティに関するアップデートは要注意です。
自社でOSやソフトウェアのアップデートの基準が厳しい場合でも、セキュリティや脆弱性の解消に関するアップデートについては、出来る限り適用させた方が望ましいでしょう。なぜならこのようなアップデートを適用させないと、何らかのサイバー攻撃の被害にあう可能性が高くなってしまうからです。
アップデートがセキュリティや不具合の修正のためのものである場合には適用する、といったルールにすると、判断基準が明確になるのではないでしょうか。
IPAなどの報告を確認する
IPAやJPCERT/CCといった機関が情報セキュリティに関する情報を発信しており、至急アップデートすべき内容なども報告しています。
そのため、上記のような機関の報告を基に、すぐに対応すべき点を確認することをおすすめします。
OSの大規模なアップデート(メジャーアップデート)は少し時間を置く
ソフトウェアのメジャーアップデートとは、iOSが13.××から14.××に変更するといったように、バージョン番号の左端の整数部が上がるアップデートを指します。
一般的にメジャーアップデートと呼ばれる大規模アップデートは、前章でも説明したように不具合が発生しやすかったり、ソフトウェアが対応しなかったりと、トラブルが発生しやすいです。
そこで、すぐにアップデートすることを必須とするのではなく、動作が安定していることを確認できるまで、あるいは修正版が配信されるまで、アップデートの猶予を取る、といったルール設定も、ひとつの手段として選ぶことができます。
先ほど紹介したように検証用のデバイスを用意して、そこで正常に動作するかどうかを確認してから、アップデートを実行すれば、安心できるでしょう。
補足
上記で3つほどアップデートの基準についておすすめを紹介しましたが、やはり基本的にはアップデートを行い常に最新版を利用できているような状況をおすすめします。
また、上記のような方法を取る場合でも、組織としては何らかのルールを定め、周知をしておくことで、セキュリティレベルを担保することが望ましいです。
もし、一定期間アップデートに猶予を与えるといった対応を認める場合には、セキュリティソフトを入れておくなど別途セキュリティ対策を取ることをおすすめします。
まとめ
OSやソフトウェアを安全につかうためには、定期的なアップデートを適用して最新のバージョンにするのが鉄則です。
しかし不用意なアップデートにより、使用しているアプリケーションが動作しなくなる可能性もありますし、リリース直後のアップデートに不具合が含まれているリスクがあることも事実です。
特に業務で使用しているパソコンに対するアップデートでは、記事で紹介したおすすめのアップデートの対策方法を取り入れて、慎重に行うことをおすすめします。
また、弊社ではISMS認証取得/運用支援サービスを行っております。会社のスタイルに合わせ、自社で「運用できる」認証をこれまでに2,300社以上ご支援してまいりました。ISMS認証取得にご興味のある方、運用でお困りごとのある方は、まずはお気軽に無料でご相談ください。
