Windows、Office、Adobe Acrobat Readerなどの更新について、社員に「各自でアップデートしてください」と伝えるだけで終わっていないでしょうか。
この方法は、台数が少ないうちは簡単に見えます。
しかし実際には、次のような状態が起きがちです。
- 更新は始まったが、再起動していない
- ノートPCを使っていない期間があり、更新が止まっている
- 在宅勤務用PCだけ確認から漏れている
- 共有PC、受付PC、経理PCだけ古いままになっている
- OfficeやAdobe Readerの更新状況を誰も確認していない
- 「たぶん自動更新されているはず」で済ませている
セキュリティ更新は、単に「配信された」だけでは不十分です。
対象端末に適用され、必要な再起動が終わり、業務に支障がないことを確認して初めて、対応済みと言えます。
今回は、2026年6月に公表されたMicrosoft製品およびAdobe Acrobat/Readerのセキュリティ更新を例に、中小企業が月1回行いたい更新確認の進め方と、すぐに使える確認票の項目を整理します。
2026年6月にも月例の重要な更新が公表されている
2026年6月10日、日本時間でMicrosoft製品に関するセキュリティ更新プログラムが公表されました。IPAは、これらの脆弱性が悪用された場合、アプリケーションの異常終了や、攻撃者によるパソコンの制御などの被害が発生するおそれがあるとして、早急なセキュリティ更新プログラムの適用を案内しています。
JPCERT/CCも、2026年6月のMicrosoftセキュリティ更新プログラムについて注意喚起を出しており、悪用された場合にリモートから任意のコードを実行されるなどの可能性があると説明しています。また、Microsoft UpdateまたはWindows Updateなどを用いてセキュリティ更新プログラムを適用するよう案内しています。
Microsoftの2026年6月の月例更新では、CVSS基本値が9.8と高く、認証やユーザー操作なしで悪用可能と説明された脆弱性も含まれていました。Microsoftは、企業組織に対して早急なリスク評価とセキュリティ更新プログラムの適用を推奨しています。
Adobe AcrobatおよびAcrobat Readerについても、2026年6月10日にセキュリティ更新プログラムが公表されています。IPAは、これらの脆弱性が悪用された場合、アプリケーションの異常終了や、攻撃者によってパソコンを制御されるといった被害が発生するおそれがあるとして、早急な更新を案内しています。
つまり、月例更新は「後で時間がある時にやるもの」ではありません。
業務で使う端末を安全に保つための、毎月の基本作業です。
「自動更新だから大丈夫」とは限らない
Windows Updateは通常、自動でセキュリティ更新プログラムや重要な更新をダウンロードし、インストールします。IPAも、Windows Updateを通じてセキュリティ更新プログラムや重要な更新が自動的にダウンロード・インストールされると説明しています。
しかし、自動更新が有効だからといって、全端末が確実に更新済みとは限りません。
たとえば、次のような端末は確認漏れが起きやすくなります。
- 普段あまり使わない予備PC
- 出張用・在宅勤務用のノートPC
- 経理や給与計算にだけ使うPC
- 受付、倉庫、工場、店舗に置いてある共有PC
- 社長や役員が持ち歩いているPC
- 古い会計ソフトや周辺機器のために残しているPC
- リース切替前の古いPC
- 外部委託先や保守業者が使う接続用PC
また、IPAは、セキュリティ更新プログラムの適用には再起動が必要になることがあると説明しています。
このため、更新プログラムがダウンロードされていても、再起動待ちのままでは対応が完了していない場合があります。
中小企業では、「社員が自分のPCを管理する」運用になっていることがあります。
ただし、セキュリティの観点では、会社が使わせている業務端末については、会社として更新状況を確認する必要があります。
OfficeとAdobe Readerも忘れやすい
Windows Updateだけ確認している会社でも、OfficeやAdobe Acrobat Readerの更新確認が抜けることがあります。
MicrosoftのOfficeセキュリティ更新のリリースノートでは、2026年6月9日の更新として、Word、Excel、Office suiteに関する複数のCVEが掲載されています。また、この情報はMicrosoft 365 Apps for enterprise、Microsoft 365 Apps for business、Office 2021、Office LTSC 2024、Office 2024などに適用されると説明されています。
Adobe Acrobat/Readerについても、IPAは、Adobe社から提供されている最新版に更新すること、組織やIT管理者が更新を制御している場合は、Adobeのセキュリティ更新プログラム情報を参照して早期に対応することを案内しています。
PDFファイルは、請求書、契約書、見積書、申込書、履歴書、図面など、日常業務で頻繁に使われます。
そのため、PDFを開くソフトが古いままになっていると、取引先から届いたファイルを開く日常動作がリスクになります。
「Windowsは更新したが、OfficeやAdobe Readerは古いまま」という状態を避けるため、月例確認では、OSだけでなく主要アプリケーションも確認対象に入れるべきです。
確認すべき対象を決める
月例パッチ確認で最初に行うことは、対象を決めることです。
すべてを一度に完璧に管理しようとすると続きません。
まずは、業務で使う端末と、攻撃に悪用されやすい主要ソフトから始めます。
最低限、次のものを確認対象にしてください。
- Windows PC
- Microsoft Office、Microsoft 365 Apps
- Adobe Acrobat、Adobe Acrobat Reader
- ブラウザ
- メールソフト
- 会計、給与、販売管理などの業務ソフト
- ウイルス対策ソフト
- サーバー、NAS、VPN、UTMなどの管理対象機器
- 在宅勤務用PC、持ち出しPC、共有PC
この記事では特に、Windows、Office、Adobe Acrobat/Readerを中心に扱います。
この3つは多くの中小企業で利用されており、日常業務に直結しているためです。
社員任せにしないための確認票
月例更新を確実に行うには、難しい管理システムを最初から導入するよりも、まずは確認票を作ることが有効です。
PC台数が少ない会社であれば、Excelやスプレッドシートで十分です。
以下のような項目を用意します。
| 確認項目 | 記入例 |
|---|---|
| 確認月 | 2026年7月 |
| 端末番号 | PC-001 |
| 利用者 | 山田 |
| 設置場所 | 本社、在宅、店舗、工場 |
| 端末種別 | ノートPC、デスクトップ、共有PC |
| OS | Windows 11 Pro |
| Windows更新状況 | 更新済み、再起動待ち、未確認、失敗 |
| 最終更新確認日 | 2026年7月10日 |
| 再起動 | 済み、未実施、業務都合で延期 |
| Office更新状況 | 更新済み、未更新、確認不可 |
| Officeバージョン | Microsoft 365 Apps、Office 2021など |
| Adobe Reader更新状況 | 更新済み、未更新、未インストール |
| 業務ソフト影響 | 問題なし、確認中、障害あり |
| 未適用理由 | 外出中、故障中、電源未投入、互換性確認中 |
| 対応期限 | 2026年7月12日 |
| 確認者 | 管理担当者名 |
| 備考 | エラー番号、保守会社へ確認中など |
この確認票で重要なのは、単に「更新済み」と書かせることではありません。
再起動が終わったか、未適用端末が残っていないか、例外を誰が承認したかを残すことです。
確認の流れ
月例パッチの確認は、次の流れにすると実務で回しやすくなります。
1. 公式情報を確認する
まず、Microsoft、Adobe、IPA、JPCERT/CCなどの公式情報を確認します。
JPCERT/CCやIPAは、Microsoft製品やAdobe製品の重要な脆弱性情報について、日本語で注意喚起を出しています。2026年6月も、Microsoft製品とAdobe Acrobat/Readerについて注意喚起が公表されています。
中小企業では、担当者がすべてのCVEを読む必要はありません。
まずは、次の点を確認してください。
- 対象製品は何か
- 自社で使っている製品が含まれるか
- 悪用が確認されている脆弱性があるか
- リモートコード実行など影響の大きい脆弱性があるか
- 更新プログラムの適用が推奨されているか
- 再起動や業務影響がありそうか
2. 代表端末で先に確認する
全端末へ一斉に適用する前に、代表端末で確認します。
特に、会計ソフト、給与ソフト、販売管理システム、CAD、古い周辺機器、専用プリンタ、スキャナ、電子証明書を使う端末では、更新後に業務ソフトが正常に動くかを確認します。
ただし、確認に時間をかけすぎて、全端末の更新が長期間止まるのは避けるべきです。
重大な脆弱性が公表されている場合は、業務影響とセキュリティリスクを比較して、早めに判断します。
3. 社員へ作業期限を伝える
社員に更新作業を依頼する場合は、単に「更新してください」ではなく、期限と確認方法を伝えます。
たとえば、次のようにします。
本日から〇日までに、Windows Update、Office更新、Adobe Acrobat Reader更新を確認してください。
更新後に再起動が求められた場合は、業務終了後に再起動してください。
作業が終わったら、確認票に記入してください。
エラーが出る場合、更新が終わらない場合、PCを持ち出し中の場合は、管理担当者へ連絡してください。
このように、更新、再起動、記録、例外連絡をセットにすることが大切です。
4. 管理担当者が未対応端末を確認する
社員から「やりました」と報告を受けるだけでは不十分です。
確認票を見て、未対応端末を追跡します。
特に確認すべきなのは、次の端末です。
- 再起動待ちの端末
- 確認票が未記入の端末
- 電源が入っていなかった端末
- 在宅勤務者の端末
- 共有PC
- 役員PC
- 更新エラーが出ている端末
- 古いOfficeや古いAdobe Readerが残っている端末
未対応端末が残っている場合は、期限を決めて再確認します。
「1台だけだから後でよい」と放置すると、その1台が侵入口になる可能性があります。
5. 対応完了を記録する
最後に、対応完了日、未適用端末、例外、次回対応予定を記録します。
記録があると、次回の月例更新で比較できます。
また、取引先からセキュリティ対策状況を聞かれた時や、事故発生後に「いつ更新したか」を確認する時にも役立ちます。
Windows更新で確認すること
Windows Updateでは、次の点を確認します。
- 更新プログラムの確認を実行したか
- 重要な更新が残っていないか
- 更新のインストールが失敗していないか
- 再起動待ちになっていないか
- 再起動後に再度更新確認をしたか
- 最終更新日を記録したか
- 業務ソフトやプリンタ利用に問題がないか
IPAは、更新管理を行っている組織に対し、Microsoftの月例情報を参照したうえで早期に更新を展開するよう案内しています。
会社として端末を管理している場合、社員個人の判断に任せず、管理側で進捗を確認することが望ましいです。
Office更新で確認すること
Officeでは、次の点を確認します。
- Word、Excel、Outlook、PowerPointなどが更新対象か
- Microsoft 365 Appsの更新チャネルとバージョンを確認したか
- Officeのアカウント画面で更新状態を確認したか
- 更新後にOfficeアプリが正常に起動するか
- Excelマクロ、帳票、差し込み印刷、PDF出力など業務機能に問題がないか
- 古いOffice製品が残っていないか
MicrosoftのOfficeセキュリティ更新リリースノートでは、2026年6月9日の更新として、Word、Excel、Office suiteに関する複数の脆弱性情報が掲載されています。
また、MicrosoftはOffice 2019のサポートが2025年10月14日に終了したと説明しており、まだ新しいバージョンへの移行を始めていない場合は開始を推奨しています。
古いOfficeが残っている会社では、更新確認だけでなく、移行計画も必要です。
Adobe Acrobat Reader更新で確認すること
Adobe Acrobat Readerでは、次の点を確認します。
- Adobe AcrobatまたはAcrobat Readerを使っているか
- バージョンが最新か
- 自動更新が有効か
- 手動更新が必要な端末がないか
- PDFを開く既定アプリが古いソフトになっていないか
- 更新後に請求書、申込書、電子署名付きPDFなどを開けるか
- 古いReaderや不要なPDF閲覧ソフトが残っていないか
IPAは、Adobe Acrobat/Readerについて、Adobe社から提供されている最新版に更新すること、IT管理者が更新を制御している場合はAdobeのセキュリティ更新情報を参照して早期に対応することを案内しています。
PDFは、取引先から届くファイルとして非常に一般的です。
「PDFを開くだけだから安全」と考えず、PDF閲覧ソフトも更新確認の対象に含める必要があります。
すぐに更新できない時の扱い
業務上の理由で、すぐに更新できない端末が出ることがあります。
たとえば、次のような場合です。
- 業務ソフトの動作確認が終わっていない
- 工場や店舗で常時稼働している
- 月次処理、給与計算、決算処理の途中で止められない
- 出張中で端末を確認できない
- 更新エラーが出ている
- 古い機器や周辺機器との互換性に不安がある
この場合に避けたいのは、「更新できないから放置する」ことです。
すぐに更新できない端末は、確認票に未適用理由、暫定対応、対応予定日、承認者を記録します。
必要に応じて、インターネット接続を制限する、重要ファイルサーバーへのアクセスを制限する、利用時間を限定する、代替端末を使うなどの暫定策を検討します。
特に、悪用が確認されている脆弱性や、リモートから任意のコード実行が可能な脆弱性が含まれる場合は、業務都合だけで延期するのではなく、経営者や責任者がリスクを理解したうえで判断する必要があります。
中小企業向けの月例更新確認票
以下は、そのまま社内用に使える簡易版の確認票です。
月例更新確認票
確認月:2026年7月
確認対象:Windows、Microsoft Office、Adobe Acrobat/Reader
確認期限:〇月〇日
確認担当者:〇〇
| No. | 端末名 | 利用者 | Windows更新 | 再起動 | Office更新 | Adobe更新 | エラー有無 | 未対応理由 | 対応期限 | 確認者 |
|---|---|---|---|---|---|---|---|---|---|---|
| 1 | PC-001 | 山田 | 済 | 済 | 済 | 済 | 無 | なし | – | 佐藤 |
| 2 | PC-002 | 田中 | 済 | 未 | 済 | 済 | 無 | 業務中 | 7/12 | 佐藤 |
| 3 | PC-003 | 共有PC | 未 | 未 | 未確認 | 済 | 有 | 更新失敗 | 7/11 | 佐藤 |
| 4 | PC-004 | 在宅用 | 未確認 | 未確認 | 未確認 | 未確認 | 不明 | 持ち出し中 | 7/12 | 佐藤 |
確認結果
- 更新済み端末:〇台
- 再起動待ち端末:〇台
- 未確認端末:〇台
- 更新失敗端末:〇台
- 例外承認端末:〇台
未対応端末への対応
- PC-002:業務終了後に再起動予定
- PC-003:更新エラーのため保守会社へ確認
- PC-004:在宅勤務者へ確認依頼済み
この確認票は、最初から細かく作りすぎる必要はありません。
大切なのは、毎月続けることです。
月例更新を社内ルールにする
月例更新を安定して続けるためには、社内ルールとして明文化しておくことが有効です。
たとえば、次のように決めます。
- 毎月1回、Windows、Office、Adobe Readerの更新状況を確認する
- 更新確認日は、月例更新の公表後、社内で定めた日に実施する
- 再起動が必要な場合は、原則として業務終了後に実施する
- 在宅勤務用PC、共有PC、予備PCも確認対象に含める
- 未確認端末は管理担当者が追跡する
- 更新できない端末は、理由と対応予定日を記録する
- 更新エラーは放置せず、保守会社または専門家へ相談する
- サポート終了製品は、更新確認票とは別に移行計画を作る
この程度のルールであれば、情報システム部門がない会社でも運用しやすいはずです。
まとめ
月例パッチは、社員に「更新してください」と伝えるだけでは管理できません。
自動更新が有効でも、再起動待ち、更新失敗、在宅勤務端末、共有PC、古いOffice、古いAdobe Readerなどが残ることがあります。
中小企業がまず行うべきことは、次の5つです。
- Windows、Office、Adobe Acrobat/Readerを月例確認の対象にする
- 端末ごとの更新状況、再起動、エラー、未対応理由を記録する
- 在宅勤務用PC、共有PC、予備PC、経理PCを確認漏れにしない
- 更新できない端末は、理由、期限、承認者を記録する
- 毎月の確認結果を残し、未対応端末を追跡する
2026年6月にも、Microsoft製品やAdobe Acrobat/Readerについて重要なセキュリティ更新が公表されています。IPAやJPCERT/CCは、これらの更新プログラムの早期適用を案内しています。
「自動更新だから大丈夫」ではなく、更新されたことを確認する仕組みを作ることが重要です。
ライトハウスコンサルタントでは、中小企業向けに、端末台帳、月例パッチ確認票、更新ルール、サポート終了製品の洗い出し、保守会社との役割分担整理を支援しています。まずは、自社のPC一覧と、Windows・Office・Adobe Readerの更新確認欄を作るところから始めてください。