米MicrosoftがWindows 10から、継続的なOSの無料アップデートを開始すると発表し「Windows as a Service(WaaS)」、サービスとしてのWindowsに移行することを表明した。これはセキュリティという側面で見ると、どのようなインパクトがあるのだろうか。トレンドマイクロがブログで分析を行っている。

短期的には危険性も残す

トレンドマイクロは、「セキュリティで言えば、"間違いなく有利"」だと指摘する。更新プログラムのダウンロードやインストールが基本的に自動更新になるため、脆弱性対策の時間差が縮まる。ブラウザの例でいえば、Google Chromeはユーザーが気付かない間に更新版をダウンロードしてインストールする。この考え方をWindowsでも同じように反映するのが"WaaS"の考え方だ。これは、セキュリティ脆弱性がある場合に、事態が深刻な状態になる前に修正されたバージョンを使用できるため、穴が開いている期間が短くなるメリットがある。

その一方で、トレンドマイクロは「短期的に見た場合、いくつか危険性がある」と指摘。企業は自社で使用するソフトウェアが動作しなくなる恐れがあるため、更新しないケースがあるため、直近では更新についていけない可能性があるという。ただし、OS更新などで一旦WaaSの枠組みに入ってしまえば「最終的にセキュリティ状況は改善される」という。

企業の対応力が求められる

では、万事が万事、こうしたアップデートについて行けるのかというと、難しい側面もある。"慎重なペースを好む"企業とWaaSでは摩擦が起こるというものだ。多くの企業は「壊れていないものは直すな」という"格言"に従い、古いソフトウェア、廃止予定のソフトウェア、マニュアルに載っていないコードで書かれているような不安定な基盤の上で作られているソフトウェアを使い続けているとトレンドマイクロは指摘する。

しかし、ビジネス環境が大きく変わりつつある昨今、こうした状況のままでソフトウェアを利用することはメリットが少ない。WaaSへと移行しつつあるプラットフォームによって、企業も迅速な対応を求められる環境になることから、「苦痛を伴うこともある」(トレンドマイクロ)としつつも、変化に適応すべきとしている。

WaaSは、一般ユーザーにとっては、これまで同様に自動更新が行われるだけであるため、あまり対策を行う必要はない。一方で、企業はこれまで更新管理を行ってきた立場から「変化と管理の調度よいバランスを見つけることが課題」になるという。ただし、セキュリティ面で言えば、自動更新によって、大きな改善が図られることから、より安全な未来がもたらされるとして、企業に対応を求めている。