経営陣は法的責任問われる可能性も…今も世界で10億台以上稼動､サポート終了した｢Windows 10｣使い続けるリスク

Windows10を使い続けることのリスクは、現場レベルの技術的問題にとどまらない。ランサムウェア攻撃の被害に遭えば、数カ月にわたる事業停止のリスクに加え、機密情報が流出することによる社会的信用の失墜や、損害賠償請求など、その被害は計り知れない。

広く認識されたリスクを放置した場合の法的責任

突発的に発生する自然災害のようなサイバー攻撃とは異なり、Windows10のEOSは予見できたことであり、あらかじめ移行計画を立てることは可能だ。そして、それを放置するリスク自体も大きく報道されている。

こうした条件下で、何の対策も行わずにWindows10を使い続けることは、経営陣が善管注意義務違反に問われるリスクを伴う。

サイバーセキュリティの文脈では、「通常想定されるリスクから会社の資産と信用を守るために、当時の技術水準や社会通念に照らして合理的かつ 適切な対策を講じる義務」と解釈される。

Windows10のEOSは、数年前から確定していた既知のリスクイベントである。前述した通り国内のOSシェアは、すでに6割がWindows11に移行していることを考えると、Windows11への移行は「当時の技術水準」から見ても達成可能な目標であると考えられる。

したがって、これに対する対応（OSの移行、ESUの契約、ネットワークセキュリティによる補完など）を行わずに放置し、その結果としてサイバー攻撃を受けて会社に損害が生じた場合、取締役、特にCISOは「すべきことをしなかった（不作為）」として責任を問われる可能性がある。

Windows10がEOSになってもESUを契約しているから大丈夫と考えるかもしれないが、ESUはあくまでも延命措置であり、現代のセキュリティ対策の観点からはESUがあるから問題ないとは言えない。多層防御に穴が開くリスクがあるからだ。

WindowsにはWindows Defenderという優れたセキュリティツールが備わっている。しかし、巧妙化するサイバー攻撃に対しては1つのセキュリティ対策だけで対処するのではなく、複数の防御壁で攻撃に備える「多層防御」が推奨されている。

OSがEOSになると、Windows上で動作していたマイクロソフト社以外が提供するサードパーティ製のセキュリティツールのサポートも終了することになる。この対応方針はメーカーによって異なり、EDR/EPP系はWindows10 EOS後もサポート継続を表明しているベンダーもあるが、SASEベンダー等はMicrosoftのEOSから1年後をサポート終了とする傾向がある。

セキュリティベンダーもサポートを継続するためにはコストが発生するため、EOS後のサポート方針は各社ごとに異なる。ESUはあくまでマイクロソフトとしての延命措置であり、サードパーティ製の製品サポート継続を保証するものではない。

Windows10上で動作しているその他サードパーティ製のEOS方針も確認する必要がある。この確認を怠ったまま利用を継続していると、多層防御を構成している製品の一部がサポート終了を迎え、多層防御に穴が開くリスクが発生する。