それでも企業がWindows 11に上げなければならない理由
2021年10月に正式リリースされたWindows 11ですが調査によってばらつきはあるものの、2022年3月時点での普及率は1~2割といったところのようで、Microsoftの期待通りには普及は進んでいないようです。その大きな理由は、Windows 10からのメジャーバージョンアップであるにも関わらず機能面で大きな変化が無い事、その一方でハードウェア要件が引き上げられ、旧型のPCが対応できないことなどが指摘されています。ただでさえ、OSのバージョンアップには互換性チェックなどの事前準備やアップグレード作業などの負荷がかかりますから、企業としてはなるべく手をつけたくないというのが人情というものでしょう。しかし、やはり最新のOSにはそれなりのメリットがありますし、厳しさを増す脅威環境の中でセキュリティを維持するためにも、Windows 11への移行は急ぐ必要があるのです。
そして、発表と同時にWindows 11のハードウェア要件が引き上げられたことも、企業が採用を躊躇う要因になっていると考えられます。最新のCPUやTPM 2.0というハードウェアモジュールが必須要件となったことで、企業で現在稼働中のPCの多くが要件を満たすことができず、買い換えを余儀なくされることになったのです。企業にとっては「余計なことをしてくれた」というところかも知れません。
しかし、このハードウェア要件の引き上げこそが、Microsoftが突如メジャーバージョンアップまでしてWindows 11をリリースした大きな理由ということも忘れてはいけません。Windows 10以降、Microsoftはさまざまなセキュリティ強化を行ってきましたが、その中のいくつかの機能については、特定のハードウェアが必要でした。これまではそれらは標準では有効化されておらず、「推奨」に留まっていましたが、Windowsを取り巻く脅威環境はますます厳しくなっており、Microsoftはついにこれらの機能を「推奨」ではなく「必須」にする必要があると判断したのです。そこで、Windows 11というメジャーバージョンアップとすることでOSの要件を引き上げ、多少強引にでも安全なコンピューティング環境を整備して行こうとしているというわけです。逆に言えば、そうしなければならないほどにセキュリティ環境が厳しさを増しているということもできます。
そしてもうひとつのハードルは、TPM 2.0が必須となったことです。TPM(Trusted Platform Module)は、エンドポイントデバイス上で様々なセキュリティ機能を提供するためのハードウェアモジュールです。これまで基本的なセキュリティ機能はOS内に実装されていましたが、これではブート(OSが読み込まれる)前に攻撃が行われたり、OSそのものが改ざんされて暗号鍵などが流出したりする可能性があります。そこで、暗号鍵の生成や保持をハードウェアで行うことでセキュリティを強化するためにTPMが考え出されました。TPM 2.0はTPMの最新バージョンです。TPM 2.0も、Windows 10では「推奨」事項でした。最近の企業向けのPC、ビジネスモデルなどでは搭載されているものが多いのですが、家庭用PCや安価なPCなどでは搭載していないものも多いため、これが必須要件になることで、多くの家庭用PCなどがWindows 11の対象から外れてしまいます。
また、TPM 2.0が必須となったのは、クラウドを中心としたセキュリティパラダイムがゼロトラストへ向かっているからです。デバイス(エンドユーザー)を確実に特定し、必要に応じてアクセス制御を適用するのがゼロトラストの基本です。TPM 2.0は、暗号鍵を外部に晒さずにデバイスの認証を確実に行うことができるため、ゼロトラストの実現には必須の機能と考えられるのです。
OSのバージョンアップは今後も続きます。これ以上、同じサイクルを続けなくても良いよう、考え方を変えなければなりません。具体的には、OSに依存しない業務環境を構築する必要があります。SaaSを使える部分はSaaSを使い、そうでなくてもなるべくPaaSなどのクラウドサービスを使ってHTML5ベースのWebサービス化を進め、特定のOSやアプリケーションへの依存を無くし、特定のハードウェアへの依存も無くすことで、環境の変化に強い情報システムを構築することができます。そのようにレガシーなアプリケーション環境から徐々に脱していくことも、DXにおける大事なプロセスと言うことができます。
マイナーバージョンアップが突如メジャーバージョンアップになったWindows 11
そもそもWindows 11はWindows 10のマイナーバージョンアップとして計画されていたバージョン(開発コード名はSun Valley)が、突如「Windows 11」としてリリースされたものです。そのため、UIを始めさまざまな機能が強化されているものの、メジャーバージョンアップと言うほどの違いはありません。そういった事情を見透かしてか、多くの企業では「急いでアップグレードする必要は無い」「しばらく様子を見る」といった考えが広がってしまったのでしょう。そして、発表と同時にWindows 11のハードウェア要件が引き上げられたことも、企業が採用を躊躇う要因になっていると考えられます。最新のCPUやTPM 2.0というハードウェアモジュールが必須要件となったことで、企業で現在稼働中のPCの多くが要件を満たすことができず、買い換えを余儀なくされることになったのです。企業にとっては「余計なことをしてくれた」というところかも知れません。
しかし、このハードウェア要件の引き上げこそが、Microsoftが突如メジャーバージョンアップまでしてWindows 11をリリースした大きな理由ということも忘れてはいけません。Windows 10以降、Microsoftはさまざまなセキュリティ強化を行ってきましたが、その中のいくつかの機能については、特定のハードウェアが必要でした。これまではそれらは標準では有効化されておらず、「推奨」に留まっていましたが、Windowsを取り巻く脅威環境はますます厳しくなっており、Microsoftはついにこれらの機能を「推奨」ではなく「必須」にする必要があると判断したのです。そこで、Windows 11というメジャーバージョンアップとすることでOSの要件を引き上げ、多少強引にでも安全なコンピューティング環境を整備して行こうとしているというわけです。逆に言えば、そうしなければならないほどにセキュリティ環境が厳しさを増しているということもできます。
Windows 11のハードウェア要件とその背景
Windows 11において、標準で有効にされる機能の中で重要なのは、VBS(Virtualization-Based Security)とHVCI(Hypervisor-Enforced Code Integrity)という機能で、これらはCPUの仮想化技術を使ってセキュリティを強化する仕組みです。VBSはOSの特に重要な部分をVSM(Virtual Secure Module)としてOS本体から切り離して動作させることで安全性を高める機能で、VSMが起動する際にドライバやOSが改ざんされていないかどうかをチェックするのがHVCIです。そして、これらの機能を利用するためには、CPUが特別な仮想化機能をサポートしている必要があるのですが、それは最近のCPU(概ね2017年以降に製造されたCPU)でなければなりません。その結果、5年以上前のPCではWindows 11を動作させることができなくなったということです。そしてもうひとつのハードルは、TPM 2.0が必須となったことです。TPM(Trusted Platform Module)は、エンドポイントデバイス上で様々なセキュリティ機能を提供するためのハードウェアモジュールです。これまで基本的なセキュリティ機能はOS内に実装されていましたが、これではブート(OSが読み込まれる)前に攻撃が行われたり、OSそのものが改ざんされて暗号鍵などが流出したりする可能性があります。そこで、暗号鍵の生成や保持をハードウェアで行うことでセキュリティを強化するためにTPMが考え出されました。TPM 2.0はTPMの最新バージョンです。TPM 2.0も、Windows 10では「推奨」事項でした。最近の企業向けのPC、ビジネスモデルなどでは搭載されているものが多いのですが、家庭用PCや安価なPCなどでは搭載していないものも多いため、これが必須要件になることで、多くの家庭用PCなどがWindows 11の対象から外れてしまいます。
また、TPM 2.0が必須となったのは、クラウドを中心としたセキュリティパラダイムがゼロトラストへ向かっているからです。デバイス(エンドユーザー)を確実に特定し、必要に応じてアクセス制御を適用するのがゼロトラストの基本です。TPM 2.0は、暗号鍵を外部に晒さずにデバイスの認証を確実に行うことができるため、ゼロトラストの実現には必須の機能と考えられるのです。
インフラへのアプローチを変えるべき時
今回も、そしてこれまでも、OSのバージョンアップは企業にとって頭の痛い問題です。バージョンアップには多大な労力がかかりますが、放っておけばサポートが切れてしまいます。そして上に書いたように、新しいバージョンには必ずメリットがありますから、迅速にバージョンアップする方が良いに決まっています。OSのバージョンアップは今後も続きます。これ以上、同じサイクルを続けなくても良いよう、考え方を変えなければなりません。具体的には、OSに依存しない業務環境を構築する必要があります。SaaSを使える部分はSaaSを使い、そうでなくてもなるべくPaaSなどのクラウドサービスを使ってHTML5ベースのWebサービス化を進め、特定のOSやアプリケーションへの依存を無くし、特定のハードウェアへの依存も無くすことで、環境の変化に強い情報システムを構築することができます。そのようにレガシーなアプリケーション環境から徐々に脱していくことも、DXにおける大事なプロセスと言うことができます。