マカフィー株式会社 マーケティング本部 ソリューション・マーケティング部 スペシャリストの松久育紀です。
前回はは7月15日(日本時間)に迫ったWindows Server 2003のサポート終了を取り上げ、サポートが切れた後も使い続けることがどれほど危険なのかを、主に脆弱性対応の観点から解説しました。
今回はそれを踏まえて具体的な対策をご紹介しましょう。
インテル セキュリティでは「Windows Server 2008/2012といった後継環境に移行する場合」「やむを得ず当面の間Windows Server 2003を継続利用する場合」、そしてそれら「新旧の環境が混在する場合」という3パターンそれぞれに対し、安全に運用するためのソリューションを提供しています。
新OSに移行する場合
大前提ですが、サポート終了後もそのままWindows Server 2003を使い続けることは推奨できません。パッチが提供されないため脆弱性が放置され、容易に攻撃にさらされる恐れがあるからです。ですからまずは、サポート期間内である、より新しいプラットフォーム、具体的にはWindows Server 2012 R2への移行を検討していただきたいと思います。
おそらく多くの企業では、OSの移行と同時に、仮想化やクラウドといった新しい環境への移行も検討なさるのではないでしょうか。そのとき、ぜひ合わせて見直していただきたいのが、サーバーのセキュリティ対策です。多くの場合、既にサーバーをアンチウイルスやアクセス制御といった手段で保護されているかと思いますが、標的型攻撃に備えた多層防御を実現するという意味からも、もう一段階上の対策を講じてみてはいかがでしょうか。
インテル セキュリティではサーバー向けのセキュリティ製品として「McAfee Server Security Suite」を提供しています。文字通り、サーバーを包括的に保護するさまざまなセキュリティ機能を提供するもので、物理環境、仮想環境、そしてクラウド環境のすべてをカバーすることが特長です。
具体的には、伝統的なウイルス対策機能に加え、脆弱性対策や不正侵入防止、ホワイトリスト機能によるゼロデイマルウェアなどの不正なアプリケーションのブロック機能、システムの不正変更監視・改ざん防止などを提供します。さらに、仮想マシン間のネットワーク通信を可視化し、制御する機能など、仮想環境特有の課題にも対応し、新しい環境のメリットを享受しつつリスクを抑えることができます。
旧OSを継続利用する場合
とはいえ、新OSへの移行に当たっては、アプリケーションの検証などに多くの時間がかかるのも事実です。特に業務に直接関わるアプリの場合は慎重に慎重を期さなくてはならないため、やむを得ず、サポート終了後もしばらくWindows Server 2003を使い続ける場合もあるでしょう。
そのようなケースでは、承認されたアプリケーション以外は実行をブロックするホワイトリスト型のマルウェア対策をベースに、サーバーを堅牢化することをお勧めしています。これを実現するのが「McAfee Application Control」です。
ホワイトリスト型のマルウェア対策というと、ホワイトリストの更新などの運用の煩雑さを気にする方がいるかもしれません。ですが既に、Windows XPのサポート終了時に、日本精工株式会社様での採用事例 (アクセス先事例掲載サイトから閲覧可能) など同様のケースでの導入実績も多数ありますので、安心してお使いいただけるかと思います。そもそもサーバーは、クライアントとは異なり、使う機能やアプリケーションは比較的定型化されています。その意味からも、最初に稼働させるべきアプリケーションさえ決めておけば、あとは定義ファイルのアップデートが不要なホワイトリスト型の対策は適していると言えるでしょう。
しかもMcAfee Application Controlでは、許可するアプリケーションのリストを動的にアップデートする機能も備えているため、運用はさらに容易になります。消費するリソースが少ないため、スペックがやや低い古いサーバーでも動作することもメリットです。
加えて、ネットワーク経由の攻撃を検出し、仮想パッチによって保護する「Network Security Platform」を併用することで、効果をいっそう高めることができるでしょう。
新旧が混在する場合
以上、二つのパターンそれぞれに対策をご紹介しましたが、現実には、予算やリソースの関係から少しずつ移行を進めていくケースが最も多いかもしれません。例えば、現状の物理環境で動かしている古いサーバーを仮想環境やクラウドに移行するという場合、物理、仮想、クラウド、異なる環境のサーバーを管理する必要があります。そのような環境では運用が煩雑になりがちです。そこでお勧めしたいのが、マカフィー製品の管理ツールである「McAfee ePolicy Orchestrator(ePO)」です。ePOはここまでご紹介してきた全てのセキュリティ対策製品を一元管理するためのツールで、OSや、物理、仮想クラウドといったプラットフォームや使用しているセキュリティ対策機能の区別なく、同一のコンソールから管理することが可能です。なお、ePOは前述の「McAfee Server Security Suite」や「McAfee Application Control」などのライセンスに含まれています。
これまでのITシステムは、一度導入すると数年に渡って使い続けることが前提となっていましたが、脅威はその間に凄まじいスピードで高度化、巧妙化しています。単純なアンチウイルスだけでは、そのスピードに負けずにセキュリティを保つのは難しくなっているのが実情です。OS移行をきっかけに仮想化やクラウドといった新たな技術を活用し、システムそのものの拡張性を高めるのと同時に、中長期的な視点からセキュリティ対策も再検討していただければと思います。