Windows 10は定例のセキュリティ更新を終え、今後は拡張セキュリティ更新(ESU)契約がない限り、脆弱性修正を受けられません。ESUは「延命策」ではありますが、費用・適用対象の選別・運用負荷を伴い、恒久対応にはなりません。
情報システム部門としては、Windows 11への計画的な移行を前提に、残す端末は最小限に絞り込むのが現実的です。
Windows 10に留まる最大のリスクは、WannaCry級が来たときに横展開の起点になることです。過去のEoL/旧OS関連インシデントは、未サポートや未更新の端末が被害の増幅器になることを繰り返し示してきました。ESUと厳格な分離・統制で「最小限の延命」は可能ですが、移行計画を前倒ししてリスクの土台そのものを減らすことが、最もコスト効率のよい防御になります。
目次
Windows 10に留まるリスク
Windows 10は定例の無償セキュリティ更新が終了し、ESU(拡張セキュリティ更新)未加入の端末は新たな脆弱性に対して無防備になります。脅威動向と運用面の現実を踏まえると、以下のリスクが具体的に立ち上がります。
-
ゼロデイ露出と横展開の加速:月例パッチの適用対象外になることで、リモート実行(RCE)や権限昇格(EoP)に対し「恒常的に未修正」の期間が生じます。EDRやゲートウェイ防御で完全に代替するのは難しく、ワーム性のある脆弱性が顕在化した場合は短時間で同一ネットワーク内へ拡散し得ます。
-
規制・取引要件への抵触:業界基準(例:最新パッチの維持)やベンダーサポート条件と相反し、監査指摘や取引制限に直結します。Windows 7のEoS時も、未サポートOSの継続利用は規格(例:PCI DSSのパッチ要件)違反になり得ると整理されています。
-
周辺エコシステムの縮退:ドライバー、業務アプリ、セキュリティ製品の対応が段階的に打ち切られ、脆弱性の「未修正+未対応」二重苦に陥ります。
-
コストの先送り化:ESUは延命のための有償措置で、対象選別・検証・配布・証跡化の運用負荷が増加します。併せてネットワーク分離や例外ルール維持の隠れコストが積み上がります。
過去のサポート終了・旧OS系で実際に起きた拡散事例
過去からMicrosoftのWindowsはサポート終了バージョンを狙うマルウェアの標的にされてきました。
WannaCry(2017)
SMBv1の欠陥(MS17-010/EternalBlue)を突いたランサムウェアが、世界規模で短時間に自己増殖しました。Microsoftはサポート外のWindows XP/Server 2003等に対しても異例の臨時パッチを公開する事態となり、未更新の旧環境が被害拡大の一因であったことが浮き彫りになりました。
NotPetya(2017)
初動はウクライナのソフトウェア供給網でしたが、やはりEternalBlueなどの欠陥悪用でWindows 7等の旧環境を中心に急速拡散し、複数の国際企業で業務停止・巨額損失を招きました。パッチ未適用や旧環境の残存が被害増幅の誘因として指摘されています。
BlueKeep(CVE-2019-0708, RDP)
認証前・ユーザー操作不要のワーム化可能脆弱性として警鐘が鳴らされ、MicrosoftはEoLのXP/Server 2003向けにも例外的に更新を提供しました。実害は限定的でしたが、旧OS・未更新端末がネットワーク上に滞留すると、単一点の穴が全体の侵入口になることを示した代表例です。
情シスがWindows 10を残さざるを得ない場合の実施すべき対策
-
ESU+分離:ESUを適用しつつ、インターネット分離/SMBv1無効化/RDP閉塞(必要時はNLA+VPN限定)を徹底。BlueKeep・EternalBlueの教訓を踏まえ、RDPとSMBの露出点検を定期化します。
-
最小権限とアプリ制御:ローカル管理者排除、LAPSでの資格情報管理、WDAC/Smart App Control等で実行許可リスト運用へ。
-
監視の強化:1台の異常(大量SMBアクセス、RDP失敗多発、暗号化挙動)を即時検知→隔離できるよう、EDRの隔離ポリシーとネットワークのセグメント遮断手順を実運用レベルで整備。
-
期限付き運用:例外台帳を作成し、用途・設置・責任者・廃止期限を明記。四半期ごとに縮減レビューを行います。








