【特集】どうする「寿命切れ迫るWindows XP」（第3回）

メーカーで異なるセキュリティ・パッチの適用状況

IT Pro

2006.02.09

　第1回，第2回で見てきたように，Windows XP Home Editionのサポート期間は，Windows Vistaの発売後の2年間だけに限定されることになった。この事実はユーザーのパソコン選択を難しくしている。それだけではない。米Microsoftは2006年1月，Windows XPの次期サービス・パック「Windows XP Service Pack 3」の提供を2007年下期に延期することを明らかにした。このWindows XP SP3のリリース延期も，ユーザーにとって悩みの種になる可能性があるのだ。

「Blaster」が変えたサービス・パックへの認識

　サービス・パックのリリース・スケジュールがなぜユーザーにとって重要なのか。詳しく説明しよう。

　MicrosoftがWindows XP SP3のリリースを遅らせた表向きの理由は「Windows Vistaの開発に注力するため」だ。しかしこれは額面通りには受け取れない。なぜならMicrosoftは，Windows XPとコード・ベースが同じWindows Server 2003では，次期サービス・パック「Windows Server 2003 Service Pack 2」を2006年下期にリリースする予定だからだ。

　Windows XPのサービス・パックだけが延期されたのは，Microsoftがクライアント用サービス・パックのリリースに慎重になったからだと考えられる。契機となったのは，Windows XP Service Pack 2（SP2）である。

　Windows XP Service Pack 1（SP1）までは，ユーザーにとってサービス・パックとは「適用した方が良い」程度の存在であり，サービス・パックを適用せずにWindowsを使い続けるユーザーは少なくなかった。しかし2003年の夏に「Blasterワーム」が登場して，サービス・パックに対する認識は大きく変化した。実はBlasterワームが狙ったセキュリティ・ホールを修正するパッチは，当初Windows 2000 SP2以降とWindows XPにしか適用できなかった。そのため，Windows 2000にサービス・パックを適用していなかったユーザーは，迅速にパッチを適用できずBlasterで大きな被害を被った。Blasterワームをきっかけに「サービス・パックはセキュリティ上是非とも適用すべきもの」という認識が広まったといえる。

　しかし，ほとんどのユーザーがサービス・パックを適用するようになると，今度は「サービス・パック適用のための運用負荷」や「サービス・パック適用による互換性」が大きな問題になった。特にWindows XP SP2は，セキュリティ強化を中心に仕様が大きく変更されたので，OSをアップグレードするのに匹敵する手間がかかった。

　サービス・パックは，適用するユーザーにとっても，適用を呼びかけるMicrosoftにとっても，新しいサービス・パック上でソフトやハードの動作検証をする必要があるサード・パーティにとっても，今まで以上に面倒な存在になったのだ。そのためMicrosoftは，Windows 2000に提供するとしていた「Service Pack 5」を「ユーザーやパートナに負荷がかかり過ぎる」ことを理由にキャンセルした。

セキュリティを保つのにサービス・パックは不可欠

　サービス・パックを考える上でセキュリティと運用負荷はトレード・オフ（二律背反）の関係にある。Microsoftは運用負荷を重視して，Windows XP SP3を延期した。Windows XPのメインストリーム・サポートは2008年末で終了する予定なので，SP3が最後のサービス・パックになる可能性もある。しかしそうなると，今度はセキュリティが懸念材料になる。

　サービス・パックのリリース延期によって，2つのセキュリティ上の問題が発生する。1つは，一般ユーザーがCD-ROMの形で最新のセキュリティ・パッチを入手できる機会が減るという問題である。もう1つは，販売されるWindows XPのパッケージやWindows XP搭載パソコンが，いつまでたっても最新のセキュリティ状態に更新されないという問題である。

　Microsoftは，ほぼ毎月セキュリティ・パッチを配信している。パッチのサイズは決して小さくないので，ブロードバンド回線のユーザーでなければ，Windows XPのセキュリティ状態を最新に保つのが難しくなっている。サービス・パックが頻繁に更新され，しかもそれがCD-ROMで容易に入手できれば，ブロードバンド回線のないユーザーでもセキュリティ状態を最新にしやすくなる。しかしサービス・パックが遅れると，こういった機会が減ってしまう。

　現在Microsoftが販売しているWindows XPのパッケージには，SP2だけが適用されている。その後リリースされたセキュリティ・パッチは適用されていない。Microsoftの資料によれば，SP2以降にリリースされたセキュリティ・パッチの数は34個にもなる。店頭で購入したWindows XPをインストールしたユーザーは，まず34個ものパッチをインストールする必要があるのだ。

　OSのパッケージにセキュリティ・パッチが適用されるタイミングは，基本的にサービス・パックが公開された時だけである。Windows XP SP3がリリースされるまで，「30個以上パッチを当てなければ安全に使えないOS」が販売され続けることになるのだ。