カナダのセキュリティ企業Absolute Softwareが発表したエンドポイントセキュリティに関する最新レポート「Absolute Security Resilience Risk Index 2025」によると、企業や組織のPCの平均22%でセキュリティ機能を適切に実行できない状況にあることが分かった。エンドポイントセキュリティの実態と対策について同社 最高技術責任者(CTO)のNicko van Someren氏が解説してくれた。
Absolute Software 最高技術責任者のNicko van Someren氏
同社は、エンドポイントなどのセキュリティ運用管理ソフトウェアを手掛ける。28社以上のデバイスメーカーとの協業で約6億台のエンドポイントデバイスのファームウェアに同社のソフトウェアが組み込まれているとのこと。今回のレポートでは、2025年1~3月に同社のソフトウェアを利用している約1600万台のPCを対象としてセキュリティ状況などを分析している。
まず対象エンドポイントのセキュリティ実態では、導入済み保護プラットフォームの障害発生率が23%、脆弱(ぜいじゃく)性やパッチ管理プラットフォームでの違反発生率が26%、セキュリティサービスエッジ(SSE)での違反発生率が19%に上った。これらの平均が22%になる。
Someren氏は、「現在のエンドポイントには、マルウェア対策や脅威検知・対応(EDR)、VPN、暗号化など多くのセキュリティツールが導入されているが、少なくともレポートの調査期間において、4分の1近いデバイスではこれらが機能していない恐れがある」と指摘する。
この割合はツールのベンダーによっても差異があり、エンドポイント保護(EPP/XDR/EDR)では8~42%、SSEでは6~28%、脆弱性やパッチ管理プラットフォームでは2~68%もの差が認められた。Someren氏によれば、PCに数多くのセキュリティツールを導入する傾向にある大規模組織ほど割合が高まり、セキュリティのリスクも高まる恐れがある。こうした実態を検出して可視化し、自動的に是正するソリューションの活用が助けになるという。
次に「Window」端末の脆弱性管理の状況は、パッチ適用までの平均的な期間が「Windows 10」では2024年の71日から2025年は70日に、「Windows 11」では45日から41日といずれも改善が見られた。しかし、平均では56日となり、米サイバーセキュリティインフラセキュリティ庁(CISA)が推奨する30日以内には、まだ遠い実態にあった。
2025年の状況を業種別に見ると、Windows 10で期間が短いのは専門サービスの40日やエネルギー/公共の42日など、期間が長いのは教育の107日、メディア/通信の105日、Windows 11で期間が短いのは専門サービスの18日やエネルギー/公共の26日など、期間が長いのは小売の58日や教育の57日と、業種間で大きな開きが見られた。
Someren氏によると、Windows 11ではMicrosoftがセキュリティアップデートを標準で自動更新とするポリシーにしたことで、Windows 10よりも適用までの期間が短い。業種による違いは、主に業界におけるセキュリティ関連規制やPCで扱うデータの機密性などの違いに起因している。ただ、いずれにしてもCISAの推奨期間に近づけることが望ましいという。
また、10月14日にはWindows 10のサポートが終了(EOS)する。同社の調査でもいまだ半数近いWindows 10端末が運用されており、Windows 11への移行が喫緊の課題になる。
「われわれの顧客からは、Windows 10でしか実行できない資産があり、Windows 11では実行できないものがあるという声を聞いている。まだ『Windows 7』を使用しているところも存在している状況だ。MicrosoftはWindows 11への移行を推奨しているが、ユーザー側はなかなか難しい。IT部門には、『動いているなら(問題がなければ)、触るべからず』という“格言”もある」(Someren氏)
PCを最新のOS環境へ移行することは、セキュリティ対策の観点では強く推奨されるが、実情としてはPCで利用する業務アプリケーションやシステムの制約から、慎重に検討しなければならなくなる。Someren氏は、ハードウェアやソフトウェア、周辺機器・ツールなどの互換性を地道に検証しながら対応していくべきだろうと述べる。
同レポートでは、AIに関する実態にも触れている。PCでスムーズにAIの機能やサービスを利用するには、一般的に大きなRAM容量が推奨されている。レポートによると、必要最低限とされる16GB以上のRAMを搭載するPCは57%、推奨される32GB以上のPCは11%で、IT業界でのAIの盛り上がりに比べて、PC側の対応はあまり進んでいない状況がうかがえた。
さらに、レポートの調査対象期間に1300万台のPCから利用された生成AIサービスを集計した結果、トップは「ChatGPT」で約300万回と突出して多く、以下は「DeepSeek」の3万6000回、「Claude」の2万8000回、「beautiful.ai」の2000回、「Jasper」の1827回などだった。
Someren氏は、中国発でありデータの取り扱いに懸念が生じているDeepSeekが2番目に多いという結果に「意外だった」と述べる。さらに、「無料の生成AIサービスを会社ではなく個人のアカウントで利用しているユーザーがとても多い実態が分かり、これは情報漏えいのリスクになる。レポートのデータはあくまで特定期間のもので、状況は常に変化しているだろうが、いずれにしても、生成AIサービスへの適切なアクセスコントロールの実施が求められる」とアドバイスする。
ここ数年でPCメーカー各社が端末上でAIを実行可能(以下AI PC)な製品をラインアップするようになり、Windows 10のEOS対応でリプレースする端末の選択肢は今後、AI PCが主流となることも予想される。
Someren氏は、「AI PCは、ユーザーのセキュリティを確保して容易にAIを使いたいというシーンで使われ、詳しい調べ事のような大規模言語モデル(LLM)を必要とするシーンは引き続きクラウド型のAIサービスが使われるというようにすみ分けされるだろう。AI PCだからといってもPCの本質が変わるわけではないが、これまでのソフトウェアに加えて、AIモデルのパッチ管理やアップデートという新たな項目が加わることになる」と指摘する。同氏によれば、現在AIモデルの更新やパッチ摘要などの運用管理機能を開発中だという。
これからのエンドポイントの運用管理では、AIへの対応も考慮していく必要性が考えられるものの、Someren氏は「平時からセキュリティなどの状況を可視化し、問題や障害といったリスクが顕在化する前に、何かあれば自動的に修復や復旧、更新などができるソリューションを活用することが望ましい。顕在化してしまうと対応に多くの負担がかかり、ブルースクリーンに陥れば手遅れになってしまう」とアドバイスしている。
