マカフィー マーケティング本部 ソリューション・マーケティング部 スペシャリストの松久育紀です。
昨年、Windows XPの延長サポート終了を前に、PCの入れ替え作業や業務アプリケーションの検証作業に追われた方も多いのではないでしょうか。実はそれと同等、いやもしかするとそれ以上にやっかいな移行問題が目の前に迫っています。Windows Server 2003のサポートが7月15日(日本時間)で終了するのです。
今回は、Windows Server 2003のサポート切れに伴うリスクを説明し、新たなプラットフォームに移行する場合、あるいはやむを得ず当面運用を継続する際の注意点に触れたいと思います。
サポート切れOSがもたらすリスクはサーバーでも変わらない
Windows XPのサポート終了に伴って、PC移行をはじめとする対策に追われた記憶をお持ちの方も多いことでしょう。Windows XPというクライアントOSの移行においてすら、計画を立て、検証を行い、ユーザーの理解を得ながら新OSへ移行するのには大きな手間と時間がかかりました。
これに対しWindows Server 2003は文字通り「サーバー」です。クライアントと比較して台数こそ少ないものの、さまざまな業務アプリケーションの基盤としてお使いのところも多いと思います。
このシステムを入れ替えるとなると、それらアプリケーションをこれまで通りに動かすことができるかどうかの検証に、より多くの時間を費やす必要があることは、いまさら説明する必要もないでしょう。
でも、その手間が面倒だからといって、サポート切れのOSをそのまま使い続けることには大きなリスクが伴います。例えば情報処理推進機構(IPA)の情報によりますと、Windows Server 2003には、発売から10年以上たった今でもなお、新たな脆弱性が発見されています。2015年3月には17件もの脆弱性情報が登録されたということです(参照サイト:IPA Windows Server 2003のサポート終了に伴う注意喚起)。
ところがOSのサポート終了後は、たとえ脆弱性が発見されてもパッチは提供されません。つまり、穴のあいた状態のまま放置されることになってしまうのです。「社内にあり外部からの接続はできないようになっているから大丈夫」と思われる方がいるかもしれませんが、例えば内部にある社員のPCがマルウェアに感染し、そのマルウェアからの攻撃によって、権限昇格によるデータの窃取やデータ/システムの破壊といった被害に遭う可能性は否定できません。最近の標的型攻撃の傾向としても、内部のサーバーが狙われています。
もう一つ思い出していただきたいことがあります。Windows XPのサポート終了直後に、Internet Explorerのゼロデイ脆弱性が発覚し、マスメディアでも報じられて大騒ぎになりました。攻撃者は、事前に調査済みだったゼロデイ脆弱性を、サポート終了後のタイミングを狙って突いてきた可能性があります。Windows Server 2003でも同じことが起こる可能性は十分にあるのです。
「移行」も「継続利用」も「混在環境」もサポート
こうしたリスクを踏まえると、Windows Server 2003を利用している環境を、なるべく早く後継システムに移行させる必要があります。せっかく移行するならば、仮想化環境やクラウド環境といった新たなプラットフォームへの移行と、より包括的なセキュリティの実現も視野に入れて検討してみてはいかがでしょうか。
一方で現実問題として、「どうしても移行が間に合わない」というケースもあることかと思います。マカフィーでは、「後継環境に移行する場合」「やむを得ず当面Windows Server 2003を継続利用する場合」、そして、それら「新旧の環境が混在する場合」の3パターンそれぞれに対し、安全に運用するためのソリューションを提供しています。
次回はそれぞれの詳細についてお伝えしましょう。
