IT資産管理入門

ソフトウェアのアップデートの必要性
実施すべき理由と注意点

情報化社会が加速するなか、企業が保有するソフトウェアをアップデートすることの重要性も高まってきました。

悪意ある者は、「アップデートしなくても問題ないのでは」と構える中小企業のセキュリティの脆弱性(セキュリティホール)を狙っています。脆弱性を突かれてしまうと、情報漏洩やなりすまし被害が発生し、数千万円単位の損失や社会的信頼性の低下につながるかもしれません。

当記事ではソフトウェアのアップデートの必要性について、目的や理由、アップデートをしないリスク、アップデート実施時に注意すべき点について解説します。

目次

ソフトウェアをアップデートする目的とすべき理由とは

ソフトウェアのアップデートは、ソフトウェアの機能や見た目などを最新バージョンに更新する目的で実施されます。iPhoneのアップデートとほぼ同じイメージで問題ありません。

アップデート用のプログラムは、原則として無償で提供されます。大々的な仕様変更やユーザインターフェースの変更などが行われる場合は、「バージョンアップ」と呼ばれることがあります。

ソフトウェアをアップデートする主な目的は次の通りです。

・脆弱性をなくしセキュリティ性能を高めるため

・新機能の追加や既存機能の改善を行うため

・開発元のサポートを引き続き受けるため

以下では、ソフトウェアのアップデートの必要性を解説します。

脆弱性をなくしセキュリティ性能を高めるため

ソフトウェアがリリースされた直後は最新のセキュリティ性能を持っていたとしても、時間が経って古くなった結果、最新の脅威が防げなくなる可能性が高くなります。サイバー攻撃や内部不正の手口は、IT技術の進化に合わせて進化するためです。

また、リリース時には発見されなかった脆弱性が後から見つかるパターンもあります。

開発元メーカーは、上記のような時間経過による脆弱性の発見および最新の脅威への対応などを行う目的で、ソフトウェアのセキュリティアップデートを行います。

「独立行政法人 情報処理推進機構(IPA)」および「一般社団法人 JPCERT(JPCERT/CC)」の「ソフトウェア等の脆弱性関連情報に関する届出状況[2021年 第4四半期(10 月~12 月)]」によると、ソフトウェア製品の脆弱性の原因として「Webアプリケーションの脆弱性」が56%を占めていました。
ファイルのチェックミスやアクセス制御の不備、使用上の不備といった他の原因が軒並み1桁台であることを考えると、ソフトウェア製品自体に問題があるケースが目立っています。

ソフトウェア等の脆弱性関連情報に関する届出状況

(出典):独立行政法人 情報処理推進機構(IPA)、一般社団法人 JPCERT(JPCERT/CC)
「ソフトウェア等の脆弱性関連情報に関する届出状況 [2021年第4四半期(10月~12月)]」
https://www.jpcert.or.jp/pr/2022/vulnREPORT_2021q4.pdf

このように、ソフトウェアであるWebアプリケーションの脆弱性を狙ったサイバー攻撃は非常に多いです。「ゼロデイ攻撃」と呼ばれる、メーカーが脆弱性を公表してから修正するまでの期間を狙った攻撃も存在します。

セキュリティに関するソフトウェアのアップデートは、企業にとって必須といえるでしょう。

新機能の追加や既存機能の改善を行うため

ITの発達・普及によって、インターネットを通じたアップデートを利用し、既存のソフトウェアへの新機能の追加や不具合の修正が可能になりました。バージョンアップのような大きな変更がない限りは、新しく製品を買い替える必要がなくなっています。

ソフトウェアのアップデートを行わなかった場合、上記に挙げた機能の追加・修正が行われません。業務効率を向上させる新機能やユーザインターフェースの改善が発表されても、適用できないままで業務を進めることになります。

とくに不具合の修正に関するアップデートは重要です。リリース後にソフトウェアの動作そのものに重大な欠陥が見つかったまま放置すれば、業務そのものがいずれ停止につながる恐れもあります。

さらに、今後使用する他の新製品との兼ね合いにも注意が必要です。

新しいソフトウェアやハードウェアの開発が進むと、アップデート前の旧バージョンには対応しないタイプが増えてきます(Windows10より前のOSでは動作しないなど)。アップデートをしない選択は、当該ソフトウェア以外の導入に関しても支障を来すかもしれません。

メーカーのサポートを引き続き受けるため

ソフトウェアのアップデートが何度か実行されるにつれて、旧バージョンへのサポート対応を終了するメーカーが増えてきます。例えば旧バージョンのソフトウェアに不具合が生じても、メーカーによるサポートが受けられません。

わかりやすいのはWindowsです。旧バージョンとなったWindows 7はすでにサポート期間が終了しています。Windows 8.1も2023年1月10日に終了予定です。

Windows 10に関しても、2025年10月14日にサポートの終了が予定されています(延長される可能性あり)。

このように、旧バージョンのソフトウェアおよびその他の機器については、サポート期限が設けられるのは珍しくありません。メーカーによるサポートを受け続けたいときは、ソフトウェアのアップデートを行いましょう。

ページトップへ

ソフトウェアの脆弱性をついたサイバー攻撃のリスク

アップデートをせずにソフトウェアの脆弱性を放置したままだと、サイバー攻撃に関する以下のリスクに晒される可能性が高まります。

脆弱性をつく
サイバー攻撃
概要
不正アクセス 外部の人間に侵入され、個人情報・機密情報の窃取やデータ改ざんなどの被害が発生する
情報漏洩 脆弱性によっては、不正アクセスなしでも外からの盗聴や盗み見などが可能となり、企業の不利益につながる
マルウェアへの感染 ランサムウェアやトロイの木馬などの悪質なマルウェアに感染し、その後の不正アクセスや情報漏洩につながる
なりすまし 正規データを乗っ取られてなりすましが起き、金融機関や取引先などとのやり取りについて不正に誘導させられる

企業がサイバー攻撃によって被る被害は甚大です。社会的信用の低下や顧客離れ、取引先との取引停止、業務停止などによる利益減少が考えられます。過去には数千万~数億円の被害につながったり、顧客から損害賠償請求されたりした企業・自治体もありました。

「ウチは大丈夫だろう」という根拠のない自信はとくに危険です。情報化社会の加速で情報の価値が上がっているうえに、最近は大企業に侵入する前段階として、セキュリティの甘い中小企業をターゲットにしたサイバー攻撃およびその被害が増加しつつあります。

中小企業だからこそ、セキュリティに対するソフトウェアのアップデートを見直すべきでしょう。

(⇒ IT資産管理入門「マルウェア対策」

(⇒ IT資産管理入門「ランサムウェア対策」

ページトップへ

ソフトウェアのアップデートを行わない理由とは

ソフトウェアのアップデートに必要性を感じず、実行に消極的な経営陣や管理職、担当者がいる企業があるのも事実です。どのような理由があるのでしょうか。

例えば、サイバー攻撃の威力や情報漏洩の危険性などについての知識が乏しく、セキュリティの強化自体に重要性を感じていない企業は、ソフトウェアのアップデートを行わない可能性があります。

また、慣れ親しんだシステムを変えたくないという心理も理由の1つと考えられます。

アップデートによってソフトウェアと基幹システム・他アプリとの兼ね合いが悪くなると、業務を停止してでも対応が必要です。「動いているから問題ない」と、現状維持を求める企業も少なくありません。

説得して適用をお願いする際は、サイバー攻撃による具体的な被害内容やIT関係の進化スピードなどを伝え、企業にとって不利益になる点をアピールしましょう。次項で解説するような不具合への対処方法をまとめ、アップデートに関するリスク管理ができている点をアピールするのも効果的です。

ページトップへ

アップデート後に不具合? 実行前に注意しておくべき点

ソフトウェアのアップデートには、「しないことのリスク」と同じように「することによるリスク」が存在します。アップデートのデメリットは次の通りです。

・基幹システムやハードウェア、その他アプリとの相性が悪いと不具合が発生する

・容量の増加によってストレージを圧迫する

以下ではアップデートのデメリットを回避するための注意点を解説します。

バックアップデータを取っておくこと

アップデートによる不具合発生やアップデート時のエラー、その他アップデートの内容自体の不備などに備えて、作業を実行する前にバックアップデータを取っておきましょう。

企業の中核となるソフトウェアのアップデートや、アップデートの規模が大きくなる場合などは、データ消失のリスクを考えても必要な作業になります。

テスト用環境でテストを実施すること

本番前には、あらかじめ社内環境を再現したパソコンなどをテスト用に複数用意しておき、テスト環境でアップデートを適用することをおすすめします。テスト時に動作や表示の確認をしてください。

始めから業務用ソフトウェアをアップデートした結果、不具合が生じたときに取り返しがつかなくなる可能性があります。

またテスト時には、当該ソフトウェアを入れるハードウェアや、連携する基幹システム・アプリの動作や表示のチェックも必要です。

テスト後は数日~数週間ほど様子を見つつ、問題なさそうであれば業務用ソフトウェアにもアップデートします。テストの際には、どれくらいの労力や時間がかかるかも検証しておき、本番のスケジュールを見積もるのもよいでしょう。

ストレージ容量を確認しておくこと

アップデートによる容量増加に備えて、あらかじめストレージ容量を確認し、余裕を持たせておきましょう。他ハードウェアへの移行や、クラウド系のストレージの利用などがおすすめです。

ストレージ容量が足りない状態でアップデートすると、作業終了後に動作が重たくなったり、他アプリの動作に不具合が生じたりなどのトラブルが考えられます。

原則として、アップデートは既存のものに新しいものを追加する作業です。ソフトウェアの容量は増えるものとして備えるのが基本になります。

すぐにアップデートを適用すべきかチェックすること

アップデート自体にもリスクは存在しているため、アップデートの内容によっては一旦時間を置いてから実行するのも1つの手です。例えば、以下の状況の場合は遅らせることを検討するのもよいでしょう。

・セキュリティアップデート以外の緊急性を要しないもの

・修正プログラム自体に不具合があり、アップデートをした他企業にトラブルが発生している場合

企業がソフトウェアのアップデート時期をコントロールするには、アップデート関係を一元管理できる仕組みの導入がおすすめです。

ページトップへ

ソフトウェアアップデートをすべての管理端末に適用するには

ソフトウェアアップデートをすべての管理端末に適用するには、IT資産管理ツールの導入がおすすめです。IT資産管理ツールとは、企業が保有するハードウェア・ソフトウェアなどのIT資産に関する管理を効率化するものです。

IT資産管理ツールであれば、アップデートに関する以下の管理ができます。

・端末ごとのソフトウェアのアップデート状況が一元管理できる

・Excelなどを用いた手動での作業をなくせる

・ライセンスやアップデートの更新期限の登録や通知が設定できる など

例えば弊社のIT資産管理ツール「MCore」であれば、上記の機能に加えて「アップデートの負荷の減少」や「分散アップデート」、「アップデートの適用可否の自動判定」などが実装されています。ソフトウェアのスムーズなアップデートに寄与が可能です。

詳細については、資料請求やウェビナー、体験セミナーといったコンテンツをご用意しています。ぜひ一度お問い合わせください。

【関連記事】

・機能アップデートや大容量セキュリティパッチを効率よく配信したい「ソフトウェア配布」
https://www.sei-info.co.jp/mcore/function/software-distribution/software-distribution/

・パッチ適用の運用コストを低減する「セキュリティパッチ・マネージメントサービス(SPMS)」
https://www.sei-info.co.jp/mcore/function/patch-management/spms/

・大容量のセキュリティパッチや機能アップデートをネットワーク負荷を抑えて効率良く配信「ソフトウェア分散配信」
https://www.sei-info.co.jp/mcore/function/patch-management/load-distribution/

IT資産管理入門

ページトップへ