Windows 10 のサポートは2025年10月14日(米国時間)に終了し、約8ヶ月が経過しました。そして2026年6月25日、マイクロソフトは個人向け拡張セキュリティ更新プログラム(ESU)の提供を2027年10月12日まで1年延長すると発表しました。「もう少し使える」という声が出るかもしれませんが、企業の情報システム部門(情シス)にとっては安心材料になりません。この記事では、EOS後に積み上がったリスクの実態と、情シスが今すべき判断を整理します。
- Windows 10 EOS後に確認済みの悪用脆弱性の件数と意味
- 個人向けESU延長の概要と企業での適用可否
- 情シスが今優先すべき確認項目
Windows 10 EOS後8ヶ月:積み上がる脆弱性
IPA(情報処理推進機構)が2025年9月末時点で報告したところによると、Windows 10のサポート終了前後から積み上がっていた「悪用が確認されている脆弱性」は41件に達しています(2024年1月〜2025年9月)。これらはCISA(米国サイバーセキュリティ・インフラストラクチャセキュリティ庁)の「Known Exploited Vulnerabilities(KEV)」カタログにも登録された、実際に攻撃に使われたものです。
サポートが続いていれば月例更新(Patch Tuesday)でパッチが当たりますが、EOS後の新規脆弱性はESUに加入していない限り修正プログラムが提供されません。ランサムウェアや標的型攻撃は既知の未修正脆弱性を好んで利用します。「動いているから使い続ける」という選択は、組織のリスクを毎月確実に積み増す判断と同じです。
2026年6月25日の発表:個人向けESUを2027年まで延長
マイクロソフトは2026年6月25日、個人(コンシューマー)向け拡張セキュリティ更新プログラム(ESU)の提供を2027年10月12日まで1年間延長すると発表しました。
| 項目 | 内容 |
|---|---|
| 対象OS | Windows 10 Home / Pro / Pro Education / Workstations(バージョン 22H2) |
| 提供内容 | 「緊急」「重要」のセキュリティ更新プログラムのみ(機能追加・技術サポートは対象外) |
| 費用 | $30 USD相当 または 1,000 Microsoft Rewardsポイントと交換 |
| 申し込み | 設定 → 更新とセキュリティ → Windows Update から登録 |
| 期間 | 2027年10月12日まで |
「個人向け」という重要な注意点
今回の発表は個人(コンシューマー)向けのESUです。自宅PCや家族の端末には選択肢になりますが、企業が組織として適用するものではありません。企業・法人向けのESUはVolume Licensing契約や、Azure/Windows 365経由のクラウド接続デバイスに対する別プログラムとして提供されており、費用・申し込み方法が大きく異なります。個人向けESUの$30という数字だけが一人歩きしないよう注意が必要です。
企業向けESUの現実:コストと限界
法人向けESUはエンタープライズライセンス契約やクラウド接続要件を満たすデバイスで利用できますが、以下の点を理解しておく必要があります。
- 費用は段階的に増加する:Windows 7やWindows Server 2008のESUと同様に、年を追うごとに費用が上昇する設計が予想されます。移行を先送りにするほどESU費用の総額は膨らみます。
- ESUはあくまで延命措置:セキュリティパッチのみで、機能改善・技術サポートは対象外です。OS起因のパフォーマンス低下や互換性問題は解消されません。
- 周辺ソフトウェアのサポート切れも進む:OSがEOSになれば、その上で動くセキュリティソフト・業務アプリのサポートも順次終了します。ESUはOS本体の延命であり、アプリ側の問題は別途対処が必要です。
現場目線:情シスが直面するリアル
「Windows 11に移行すればいい」は正論です。しかし現場では、そう単純にいかない事情があります。
社内に散在するWindows 10端末の棚卸しをしようとすると、管理台帳が現実と合っていないことに気づくケースは少なくありません。部署が独自に購入した端末、テレワーク用に配布したまま回収できていないPC、倉庫に眠る予備機──これらを正確に把握し、Windows 11の対応ハードウェア要件(TPM 2.0、第8世代以降のCPU等)を満たすか確認するだけでも相当な工数がかかります。
さらに製造・医療・金融など特定の業界では、Windows 10上でしか動かない業務システムを抱えているケースがあります。OSを移行したくてもベンダー対応待ちで身動きが取れない──このもどかしさは多くの情シス担当者が共感するはずです。だからこそ、移行できる端末から順次進める「優先順位付き計画」が重要であり、ESUはあくまでその準備期間を買う手段に過ぎません。
情シスが今すぐ確認すべきこと
IPAはサポートが終了したOSを使い続けることの危険性を明確に警告しています。以下を優先的に確認・実施してください。
- Windows 10端末の棚卸し:MDM(Microsoft Intune等)のレポートや
winverコマンドで全社のOS状況を把握する。 - Windows 11対応確認:「PC正常性チェック」ツールでアップグレード可否を端末ごとに確認する。
- 移行計画の策定・加速:ベンダー依存の端末は個別に相談ルートを確保し、移行スケジュールを明文化する。
- ESU加入可否の確認(法人向け):移行に時間がかかる端末について、法人ESUを利用できるライセンス契約かをマイクロソフトのパートナーまたはボリュームライセンスの担当者に確認する。
対策の詳細はIPAの公式情報を参照してください。
まとめ:3つのポイント
- EOS後8ヶ月で悪用済み脆弱性は41件。ESUなしでのWindows 10継続運用は、修正のない既知の穴を毎月放置するリスクを積み増している。
- 今回の個人向けESU延長(2027年まで)は企業に直接適用されない。法人向けESUは費用・手続きが異なり、延長はあくまで延命措置。移行が本道。
- 移行できない端末を把握し、優先順位を付けて動く。ベンダー待ちの業務システムは個別交渉、非対応ハードウェアは計画的な入れ替えを。「全部終わってから」では永遠に動かない。
出典
- IPA「Windows 10のサポート終了に伴う注意喚起」https://www.ipa.go.jp/security/security-alert/2024/win10_eos.html
- Microsoft「Windows 10 拡張セキュリティ更新プログラム」https://www.microsoft.com/ja-jp/windows/extended-security-updates
- CISA「Known Exploited Vulnerabilities Catalog」https://www.cisa.gov/known-exploited-vulnerabilities-catalog
