ソフトウェアの開発作業は、プログラムを記述してゆく工程よりも、そのプログラムがミスなく記述されているか、また、目的通りにきちんと作動するのか、ある部分や機能が他の部分や機能と設計通りに連動するのか、妨害しあったりしないのか、など、チェック作業に大半以上の時間が割かれる。もちろん、そのチェック工程で膨大な量のミスや欠陥が発見されて修整を繰り返してゆくが、チェックの網を逃れて隠れているミスや欠陥も多数、残っている。

さらに、ウイルスやサイバー攻撃を受ける可能性のあるセキュリティホール、脆弱性は、攻撃者側の視点からでないと分かりにくい。攻撃を受けて脆弱性が発覚するのがほとんどである。そうした視点からのチェックも行われるが、攻撃側のアイデアは次々と生まれてくるので、防御機能の付与は後手後手に回る。従って、ソフト提供会社は、製品をリリースした後、ミスや欠陥の補修に加え、次々と明らかになるセキュリティの脆弱性を補強する作業を続けなければならない。大量の資金と経費が必要になる。

マイクロソフトのように多数の製品系列を抱えているソフト会社は、すべてのソフトを永遠にサポートし続けることは不可能である。マイクロソフトでは同社独自に「製品サポートライフサイクルポリシー」を決めて運用している。そのポリシーでは「メインストリームサポート」として発売後5年のサポートを約束し、さらに「延長サポート」として最低5年のサポートを実施している。

このポリシーによると、発売後10年以上を経過したソフトウェアはサポート中止の対象になる。
最近では、2014年4月にサポートを中止したウインドウズＸＰ、オフィス2003、インターネットエクスプローラー６が大きな話題になった。次の期限切れが、来年7月にサポート中止となる「ウインドウズサーバー2003」というわけである。

マイクロソフトでは、期限切れになるソフトについては、最新のソフトへの移行を進めるが、それでも移行しない場合には、危険を避けるために、市販のセキュリティソフトを購入してインストールすることやインターネットに接続することを止める、ＵＳＢなどの外部メモリーの利用を禁止するなどの措置を講ずるように忠告している。


【筆者＝JAPiCO理事長　中島洋】
＊本コラムは、個人情報管理士、認証企業・団体サポートの一環として配信されている「JAPiCO」メールマガジンからの抜粋です。
＊Japan Foundation for Private Information Conservation Organization