Windows Server 2003を取り巻くセキュリティリスク：セキュリティ強化塾（2/4 ページ）

[キーマンズネット]

物理サーバ「乱立」時代の旗手だった2003が残存する理由

　2003が登場した2003年から数年間は、リーマンショック前のIT投資が比較的盛んな時期に当たる。部門予算で必要に応じてサーバが導入され、サーバ乱立が運用管理の課題になった。仮想化技術は黎明（れいめい）期といってよく、物理サーバは1台1システムで運用するものというのが当時の常識だった。

　その後、2008が登場して一部の2003マシンはOSをリプレースしたものの、経済状況の悪化によりIT投資は削減され、多くの業務部門管理のサーバがリプレース時期を逸した企業も多いのではないだろうか。

　また、自社開発アプリケーションが簡単には新OS環境に移行できない事情もある。特に当時のVB環境で開発されたプログラムをうまく移行できる開発環境がなく、やむを得ず手を付けていない場合も多い。

　開発環境の違いだけなら、工数さえかければ改修の望みもあるが、アプリケーション作成者が退職するなどして開発の経緯が分からなくなり、ドキュメントも完全には残っていない場合には、新しい開発環境での再構築を考えざるを得ない。

　さらに、古くとも利用に不便を感じないサーバでは、無理にリプレースする理由がなかった。例えば、ディレクトリサーバ、DNSサーバ、DHCPサーバなどのインフラ系のサーバは、機能や性能上の問題が発生しない限りコストをかけてリプレースする必要が感じられない。

　また、ファイルサーバなども容量や性能に問題がなく、利用法も従来通りのままでよければ、あえて入れ替える必然性がない。部門サーバで1年に数度のデータ集計に使うだけといった、利用頻度の少ないサーバも同様だ。

老朽化して保守期限が切れたハードウェアは後がない

　ところが、そうしたサーバであっても老朽化は避けられない。1つの問題はハードウェアの保守期限切れだ。

　日本ではサーバハードウェアはOS同梱で導入するのが一般的で、OSのサポート切れがハードウェア保守期限と同じである場合が少なくない。保守期限を過ぎると故障対応ができず、部品の調達もできないことがあり、最悪の場合には業務復旧できなくなることまで考えなければならない。

　幸いなことに、この問題だけなら、コスト最適な解決手段がある。サーバ仮想化技術により、複数台の旧OSマシンを1台の新物理サーバに乗せてしまえばよいのだ。全てのサーバが仮想化できるとは限らないが、情報系あるいは運用管理系のサーバの多くは仮想化環境での運用に変えても支障がないケースが多い。

　また、年に数度の稼働でよいサーバなら、仮想化して普段は起動しないままにしておき、必要な時だけ起動すればリソースを効率的に使える。仮想化を前提にすれば、2003マシン台数分だけ新規サーバを購入する必要はなくなり、コストはグッと下げられる。

　仮想化でハードウェアの問題は解決しても、OSの脆弱性が解消できない問題は残る。物理サーバの仮想化ツールを載せるOSは最新のものを利用することになるが、個々の仮想サーバに脆弱性がある状態ではリスクは移行前と何ら変わらない。

　むしろ、物理サーバが1台故障すれば、それに載る複数台の仮想サーバが一度に止まることを考えれば、リスクは増す。また、仮想化ツールに対する攻撃や、仮想マシン間での不正アクセスという新たな脅威への対応も必要になる。

　一般的にいえば仮想サーバはサービスを止めずに他の物理サーバに移動できる「ライブマイグレーション」機能が利用できたり、冗長構成が比較的簡単にとれたりすることから、可用性の面では個々のシステムに物理サーバを割り当てるよりむしろ改善することが期待できるのだが、一面ではリスクを増やす選択でもある。