2015/04/22

4月21日付の新聞等で、東京電力が経費削減のため、昨年4月にサポート終了となったWindows XPを搭載したPCを継続使用していたことに対して、会計検査院が苦言を呈したことが報道されました。
この問題、もともとは2014年7月6日付の読売新聞朝刊に掲載された記事
・1面「東電「XP」5年間継続 48000台 国は3度更新要請」
・39面「東電、XPネット接続も 専門家不安視 サイバー攻撃の恐れ」
が発端となっています。東京電力はこの報道に対するプレスリリースで、「電力供給に関する制御システムは、外部のネットワークから切り離された独立したシステムのため、影響はありません」と述べるとともに、OS更新作業を前倒しすることを発表しました。その後冒頭の報道となったものです。

会計検査院の報告内容

会計検査院は2015年3月25日に「東京電力株式会社に係る原子力損害の賠償に関する国の支援等の実施状況について」という報告書を取り纏め、公開しました。これは参議院決算委員会において決定された、東京電力に係る原子力損害の賠償に関する国の支援等の実施状況に対する会計検査の要請に基づくものです。この報告書の中で、東京電力のコスト削減施策に関する部分で、Windows XP搭載PCに関して「今後留意する必要のある事態」として記載されています。以下に、報告書の内容を抜粋します。

(前略)
この中には、26年4月にサポートが終了したパソコンのオペレーティングシステム(以下「OS」という。)を搭載したパソコンについて、メーカーによるサポート終了後も使用することとして、サポート終了までに予定していたOSの更新時期を29年度まで繰り延べたことによる削減額36億円も含まれている(24年度は23億円)。東京電力は、OSによらないセキュリティー対策を実施することにより、更新時期をサポート終了後まで繰り延べることは可能と判断したとしている。
しかし、東京電力は、25年10月、同年12月及び26年4月の3回にわたり内閣官房情報セキュリティセンターが重要インフラ事業者向けに送付したOSのサポート終了に係る注意喚起の文書を受け取り、その後、サイバー攻撃の高度化や他社のOS使用継続に伴うセキュリティー事故事例等の状況を鑑み、OSの使用を続けることのリスク再評価を行い、同年5月に更新時期を27年上半期に前倒しすることを決定した。その後も更新に係る作業時間等を考慮した上で更なる前倒しに向けた調整を行い、26年8月に26年度内更新完了を決定している。
この計画変更により、当初は29年度に繰り延べられていたOSの更新費用が前倒しで発生することになるが、OSの更新は緊急に実施しなければならないものであり、セキュリティー上のリスクを考慮すれば更新時期を繰り延べるべきではない。
したがって、東京電力は、このような点にも留意して今後のコスト削減計画を策定する必要があると考えられる。

(出典:
会計検査院「東京電力株式会社に係る原子力損害の賠償に関する国の支援等の実施状況について」
本文 「第2 検査の結果」 3(2)ア 経営の合理化のための諸方策の実施状況)

つまり、東京電力はサポート終了までに予定していたWindows XP更新作業を平成29年度までに繰り延べしたことにより、平成25年度については36億円のコスト削減を実施しようとしていましたが、結局は平成26年度内にOS更新作業の実施を決定したということです。こうした動きに対して、会計監査院は
「セキュリティー上のリスクを考慮すれば更新時期を繰り延べるべきではない」
「このような点にも留意して今後のコスト削減計画を策定する必要がある」
と報告しています。

東京電力における問題点

東京電力での端末更改に関しては、以下の3点が問題点であると考えます。

1.当初の「OSによらないセキュリティー対策」でリスクヘッジできると考えたこと
2.情報セキュリティのリスクよりもコスト削減を優先させたこと
3.電力供給に関する制御システムは外部のネットワークから切り離された独立したシステムのため、影響はない、と判断したこと

1.当初の「OSによらないセキュリティー対策」でリスクヘッジできると考えたこと
「OSによらないセキュリティー対策」の内容については公開されていないのですが、少なくともセキュリティ製品ベンダーを始めとするITベンダーは、そのような保証をするとは考えにくいことです。実際、リスク再評価を行った結果、早期の端末OS更改を実施するよう方向転換されています。

2.情報セキュリティのリスクよりもコスト削減を優先させたこと
現在の東京電力が大変な状況であり、何とか資金を捻出したいということは理解できますが、情報セキュリティのリスクよりもコスト削減を優先させるという判断には疑問です。もちろん、情報セキュリティーを聖域化するわけではないですし、幾つかの代替案からコストの低い施策を選択することは間違いではないと考えておりますが、OSの脆弱性については、OS更改以外の策は存在しないものです。脆弱性のあるOSを使用し続けることでリスクが顕在化した場合、削減したコストも吹っ飛ぶくらいの復旧コストがかかる可能性についてどこまで考慮されていたのでしょうか。
また、東京電力は国が指定する重要インフラを担う会社の一つであるので、社会的責任という面でも問題があると考えます。

3.電力供給に関する制御システムは外部のネットワークから切り離された独立したシステムのため、影響はない、と判断したこと
こちらについても再三申し上げていることですが、ネットワークが遮断されているからと言って、安全であるという保証はありません。もちろん、インターネットを通じて外部から不正アクセスされることは無いですが、内部不正を企む従業員などからは無防備であり、逆に明らかな脆弱性があれば常に内部からの攻撃にさらされるというリスクがあります。もちろん従業員を疑うという考えには抵抗があるでしょうが、リスクとしては想定の範囲に入れなければならない内容です。

東京電力で起きたことは他人事か?

以上、東京電力のWindows XP更改に関する問題について見てきましたが、東京電力だけに関わる問題なのでしょうか。
NetMarketShare(https://www.netmarketshare.com/)でPCのOSシェアを確認すると、以下の様にWindows XPを搭載したPCが未だに全体の2割弱を占めています。
PCのOSシェア(2015/3)
この結果はグローバルレベルで、個人端末も含まれているのですが、昨年4月のサポート切れの状況を考えると、日本の法人全体がWindows XP端末を切り替えているかどうか、疑問に思います。また、サポート終了まで残り3か月を切ったWindows Server 2003にも同様の事象が起こる可能性が高いでしょう。OSの更改は、規模にもよりますが、金額的にも人的にも多大なコストを要します。情報セキュリティを甘く考えている企業ならば、コストセーブを優先する考えに傾く可能性もあります。
しかしながら、情報セキュリティに関するリスクは年々高まっています。また、営業秘密や個人情報の漏えい、あるいは今後施行されるマイナンバーの漏えい等が発生した場合、PCやサーバーにサポート切れのOSを継続して使用していたら、必要とされる安全管理措置を怠ったと見なされてしまい、訴訟等では不利な状況に陥る可能性があります。
コスト削減は企業経営における大きなテーマではありますが、すべてに優先されるものではありません。コスト削減対象については、削減によるリスクを客観的に評価した上で対応すべきだと考えます。

上記内容に関する相談や問い合わせについては、問合せフォームにてご連絡ください。
お問い合わせ