Windows Server 2003を取り巻くセキュリティリスク：セキュリティ強化塾（3/4 ページ）

[キーマンズネット]

2008、2012のセキュリティ機能

　ウイルス感染や不正コード実行に関するリスクについてはどうだろうか。絶えず更新されて新たな手口が利用される攻撃に対応するには幾重にも重ねたセキュリティ対策が必要だが、旧OSには根本的に欠けていた部分がある。

　Windows XPや2003のカーネルの問題点の幾つかを解消したのがWindows Vistaや2008に採用された「Longhorn」カーネルだった。2012は、それをさらに強化したバージョンだ。例えば、次のようなセキュリティが実装されている。

表1 Windows Server 2008以降に導入されたセキュリティ機能

　また、利用ケースが多いと思われるファイルサーバ用途に関しても2008、2012では幾つかの重要なセキュリティ強化が行われた（表2）。

表2 ファイルサーバとしてのセキュリティ改善ポイント

　以上のようなセキュリティ機能強化をもってしても、巧妙なウイルスに裏をかかれることがあるのはご存じの通り。だが、近年のウイルス感染数の減少傾向にこれら機能が貢献したことは確かだ。

　旧式のウイルスでも攻撃できる2003を利用し続けるリスクは明らかであり、どうせリプレースするなら2008よりも2012の方がセキュリティ面では安心できる。

OS移行の選択肢と移行法

　では、最新のOSへの移行はどのように行うべきか。時間があって、多少の手戻りも許容できるスケジュールなら自社内で移行作業を行ってもよいのだが、上述の通り、もはや状況は待ったなし。可能なだけ短期間で移行を果たし、できるだけ新たなOS機能を活用して業務効率向上はもとよりセキュリティ向上も実現したい。

　何はさておき、すぐに取り掛かるべきが2003サーバ資産の棚卸しだ。業務部門管理のサーバを含め、社内にどれだけの移行対象サーバがあり、どのように利用されているかを把握するのが肝心だ。簡単に移行できるものを見分け、早期に移行作業をスタートさせる一方で、改修が必要なものについて規模を予測し、予算と作業スタッフを割り振って移行計画を緻密に作成する。

　比較的簡単に移行可能なサーバは、例えば、DNSサーバ、DHCPサーバ、ディレクトリサーバ（Active Directory）などのネットワークインフラを担うサーバだ。一方、ExchangeサーバやSharepointサーバ、カスタム開発のサーバなどは、場合によっては簡単に移行できず、かなりの工数がかかる可能性がある。

　棚卸しを実行すると、不要なサーバを発見できる。DHCPなどはネットワーク製品で代替できる場合があるし、DNSサーバを立てるならWINS（Windows Internet Name Service）サーバは要らないというケースもある。余計な移行作業を発生させないという視点でシステムを俯瞰してみるとよい。

　なお、移行作業はシステムを停止して実行するため、サポート終了日まぎわに一度に移行するのは無理がある。サーバ移行の優先順位を付け、うまくスケジューリングして徐々に移行するのがおすすめだ。そのためにも、資産棚卸しは重要なステップになる。