残されたWindows 10端末、ESUによる保護という選択肢も

2015年7月にサービス提供が開始されたWindows 10のサポートが、2025年10月14日に終了する。Windows as a Service（WaaS：サービスとしてのWindows）という新たなコンセプトに基づき、年1、2回のアップデートが繰り返されてきたWindows 10の最終バージョンは、2022年秋にリリースされたWindows 10 22H2になる。リリース当初、最後のメジャーアップデートになるともいわれたWindows 10だったが、原則としてメインストリームサポート5年＋延長サポート5年のサポート期間が提供されてきた従来のWindows OS同様、10年でサポートが終了することになった。

サポート終了後もWindows 10デバイスを使い続けることのデメリットとしてまず挙げられるのが、セキュリティリスクの問題である。Windows 8から搭載されたウイルス対策ソフトMicrosoft Defender（旧名称Windows Defender）の信頼性は今日極めて高くなっており、サードパーティ製アンチウイルス（AV）製品との干渉もあり、特にWindows 10以降、AV機能をMicrosoft Defenderに一本化する動きも目立った。サポート終了後は当然Microsoft Defenderの更新も停止するため、これまでウイルス対策をMicrosoft Defenderに頼ってきた場合、新たに発見された脆弱性パッチが提供されないことに加え、AVソフトの機能更新プログラムも提供されないという二重のリスクを負うことになる。

情報セキュリティの重要性はすでに広く知られるとおりだ。だが、キッティング・デバイス配付に必要な人的リソース不足、業務システムとの親和性、移行に伴う教育コストなどの問題から、サポート終了後もWindows 10デバイスを使い続けざるをえない企業も少なくないとみられる。零細企業を中心に、社内システムが管理する個人情報・機密情報が限定的であるという理由からWindows 11移行を見送る動きも少なくないようだ。

だが、正規のビジネスメールを装い、添付ファイルや貼付リンクによって攻撃を仕掛ける踏み台攻撃が猛威を振るう中、Windows 10デバイスの継続利用は社会インフラや大企業のシステム運用にとって少なからぬリスクになることは否めない。

Windows 11移行に十分な時間を確保することが難しくなった今、対症療法的な対応策として注目したいのが、Windows 10最終バージョンである22H2に対し、3年間のセキュリティ更新プログラムを継続して提供する拡張セキュリティ更新（ESU）プログラムである。Windows 10の機能更新プログラムは終了するが、脆弱性に対応したセキュリティパッチ配付やウイルス対策ソフト更新は継続して行われるため、一定のセキュリティ維持が可能だ。

Windows 10 ESUは、22H2バージョンのWindows 10デバイスのみ対応し、原則として1年ごとのサブスクリプション契約で提供される。注意したいのは、ESUがOSサポート終了によるセキュリティリスクからの緊急退避的なサービスとして位置付けられている点だ。1台あたりのコストも1年目は61米ドルだが、2年目122米ドル、3年目244米ドルと1年ごとに倍増する。なおMicrosoft IntuneやWindows Autopatchなど、マイクロソフト社が提供するクラウドベースの更新管理ソリューションを利用する企業の場合、約25％の割引が提供され、1年目45米ドルで提供される。

また、問題が業務システムとの親和性にあり、Windows 11移行にはシステム改修が必要になるような場合、ESUが無償提供されるWindows 365のWindows 10クラウドPCへの移行や、Azure Virtual Desktop上のWindows 10環境の仮想化も有効な選択肢になるだろう。

セキュリティだけでなWindows 10継続利用リスク

セキュリティリスクは、ESUプログラムにより回避することも可能だ。しかし、企業がWindows 10デバイスを継続利用することのリスクはそれだけではない。その一つが、生産性向上に伴うリスクである。

リモートワークと情報セキュリティの両立の困難さが、その分かりやすい例だ。情報セキュリティリスクは、マルウェア攻撃だけではない。デバイス窃盗などの物理的攻撃も含まれる。コロナ禍をきっかけに急速に進んだテレワーク・リモートワークの普及・定着化は、日本企業の生産性向上に寄与する一方、社外持ち出しデバイスのデータ保護という新たな課題にもつながっている。TPM2.0をハードウェア要件にすることでより強固なデバイス暗号化を実現したWindows 11はこの課題解決に大きな一歩を踏み出している。

ストレージによる暗号・復号キー管理は、不正な方法でデバイスがブートされた場合、暗号化されたデータの復号も簡単に行われてしまう。この問題を解決するのが、ハードウェア層で暗号・復号キーの生成や管理を行うTPMと呼ばれるハードウェア製品である。従来のTPM1.2から大幅に機能強化されたTPM2.0は、Windows OSに標準搭載された暗号化機能であるBitLockerとの連携により、デバイスを紛失したり、盗難にあった場合も、確実な暗号化データ保護を可能にする。

持ち出しデバイスや保存データの保護の観点では、TPMやCPUなどのハードウェア層のさらに下層にセキュリティ保護を担う新たな階層を加えたSecured-Core PCにも注目したい。近年の情報セキュリティにおいては、2010年代後半に登場したファームウェアやBIOSへのサイバー攻撃に対する対応が課題の一つに浮上している。OS起動前の対応が求められる攻撃に、従来のアンチウイルスソフトは対応しきれないのが実情だ。Secured-Core PCは、アンチウイルスソフトによる対応が困難な攻撃からの防御を目的としてWindows 11で初登場したデバイスで、既に主要PCベンダーが製品を発表している。

マイクロソフト社は、Windows史上最も高度なセキュリティ提供をうたうSecured-Core PCを、企業内で最も機密性が高い情報を扱う担当者向けデバイスと位置付けている。中でも、経営に関する機密情報が集中する中小零細企業の経営層の持ち出しデバイスとして大きな意味を持つことは間違いない。

生産性という観点では、Windows 11で採用されたモダン管理によるデプロイメントの容易さにも注目したい。リモートワークの一般化は、オフィス用・持ち出し用といったデバイス使い分けにもつながったが、それに伴い、キッティングをはじめとするIT管理部門の負荷も増大している。その解決策として注目されるのが、担当者が物理的に端末に触れることなく、デバイスを受け取ったユーザーがネットワークへの接続などの最小限の作業を行うことで、クラウド経由でWindowsデバイスのセットアップが自動的に行われるモダン管理である。モダン管理は人的リソース不足が指摘されるIT管理部門の生産性向上に加え、パートナー様のデバイス展開サポートの省力化にも大きな役割を果たすことは間違いない。

Window 10デバイスを継続使用するもう一つのリスクが、イノベーションの停滞だ。最も分かりやすいのが、近年急速に進む生成AI活用の出遅れである。現時点での生成AI活用は、英語資料の下訳やプレゼン資料の作成支援などに限られるが、企業が保有するデータによるRAG（検索拡張生成）活用などにより、今後より幅広い分野での活用が期待されている。

Windows 11は2023年10月31日に提供されたメジャーアップデートである23H2以降、AIチャットアシスタントサービスCopilot in Windowsが標準搭載され、チャット形式による情報収集やひな形に基づくメール作成、Webコンテンツや資料の要約・翻訳、画像の分析・生成、音声入力などの機能をアプリインストールや課金なしに利用できるようになった。その先にあるのが、デバイス上でユーザーに最適化された生成AIモデルを運用することを可能にするAI PCである。

現時点ではAI PCにできることには限りがあるのが実情だが、アプリ開発をとおし、多様なニーズへの対応が期待されている。その一歩としてマイクロソフト社は、自社が提供する多様なAIモデルの選択や最適化から微調整、クライアントへの展開まで、AIアプリ開発者のライフサイクル支援を目的としたWindows AI Foundryと名付けたプラットフォームの提供を既に開始している。Windows 11を基盤に進む生成AIエコシステムの利用に出遅れないためには、一刻も早いWindows 11への移行が求められることは間違いない。

EOSに伴う需要先食いのカバーが期待されるAI PC

Windows 10 EOSに伴うPC入れ替え特需を追い風に、業績を伸長したパートナー様も多いはずだ。だがEOS特需は需要の先食いにすぎない。これまでの歴史を振り返っても、Windows OS EOSを起点とした、PC入れ替え特需とその後の需要落ち込みという一連のサイクルが繰り返されてきた。

企業のPCライフサイクルは3～5年であることが一般的だ。入れ替えのピークがOS EOSに重なることを考えると、Windows 10 EOSでも同様の状況が繰り返されることは避けられない。次年度以降の売上の維持・向上を図るうえでは、新商材の開拓をはじめとする新たな取り組みが求められることは間違いない。だがPC販売の観点では、これまでのアフターEOSと大きく異なる点が一つある。それは、AI PCという、大きな需要拡大が期待できる新商材の存在である。

生成AIによる業務の自動化や働き手の支援は、多くの企業にとり避けて通ることができない課題だ。ただしその活用には、いくつかの問題があることは否めない。一つは、プロンプトと呼ばれる入力情報が学習情報として利用されることに伴う機密情報や個人情報の漏えいリスクである。この問題は、法人向けのプロンプトを学習情報として利用しないサービスを使うことで解決可能だが、アクセス集中による遅延などを理由として、従業員が社外の生成AIサービスにプロンプトを入力することでこの前提は簡単に崩れてしまう。またハルシネーション（幻覚）と呼ばれる、生成AIが事実と異なる情報を生成してしまうことも課題の一つだ。さらにはプロンプトを学習に利用する生成AIの仕組みを逆手に取り、機密情報を抽出したり、意図的にハルシネーションを生成するプロンプトインジェクションと呼ばれる生成AIの脆弱性を突いた攻撃への対策も求められる。

その解決策の一つとしても注目されるのが、デバイス側がAI処理を行うAI PCである。AI PCは、ディープラーニングや機械学習などのAI処理に特化したプロセッサーであるNPUを搭載したPCの総称で、一連のプロセスを高速かつ低消費電力で行えることがその特長である。

AI処理自体はこれまでのPCでも可能だが、実用性の観点ではNPUが不可欠といわれる。Windows 11 PCには新たにCopilotキーが搭載されたことから誤解も少なくないようだが、AI PCの中でマイクロソフト社が求める一定水準以上のスペックを満たしたPCがCopilot+ PCという位置付けになる。

2024年5月の発表当時、Copilot+ PCの要件である40TOPS（毎秒40兆回の演算処理）以上の実行性能を持つNPUはSnapdragon Xシリーズ以外に存在しなかった。しかし昨年末にはintel、AMD両社のプロセッサー供給もはじまり、Copilot+ PCのビジネスの現場への普及はまさにスタンバイ状態にあるが、Windows 10 EOSに伴うデバイス入れ替えにおいてCopilot+ PCを採用した企業は一部に限られた。

その理由として挙げられるのは、まずアプリケーションの不足である。マイクロソフト社はCopilot+ PCデバイスに過去の動作が検索できる「リコール」などの新機能の提供を開始しているが、それだけでは全社的な導入の理由にはなりにくいのが正直なところだ。しかしマイクロソフト社がAI PCのエコシステム構築に向けた取り組みを開始したことからもうかがえるとおり、こうした状況は今後数年で劇的に変わる可能性がある。ある調査機関は、PC出荷台数に占めるAI PCの比率が2025年の18％から2028年には65％まで伸長すると予測している。今後のアプリ開発次第では、AI PCは従来のOS EOS後のPC需要の落ち込みを補って余りある商材になることが期待できるだろう。