Windows Server 2003を取り巻くセキュリティリスク：セキュリティ強化塾（4/4 ページ）

[キーマンズネット]

仮想化は大前提か、移行先を検討しよう

　2008以降では仮想化ツール「Hyper-V」が標準装備されるので、移行先として仮想マシンは第一の選択肢になる。2003の導入時期からすると1コアCPUのサーバを利用するケースが多いと思われるので、現在のマルチコアCPU搭載の最新サーバ機なら2003サーバで使っていたシステムを複数稼働させることは難しくない。ハウジングを採用する場合でも、仮想化を前提に考えた方がよい。

　また、Azureや他社のIaaSなどのクラウドサービスも移行先として検討したい。特にAzureの場合ならHyper-Vの仮想インスタンスをオンプレミス環境とクラウド環境との間で自由にやりとりできる利点があり、移行やメンテナンス、改修などを効率化できる可能性がある。

　ただし、システム間の接続性やレスポンス速度、機能が十分かどうかは見極めが必要だ。セキュリティ面やデータ保護の面では場合によってはオンプレミス構築をしのぐ品質を備えてはいるものの、まだまだオンプレミス同等のサービス品質には達していないという声もある。

システム改修に着手しよう

　2003サーバでは、ASP（Active Server Pages）で作成されたアプリケーションやWin32ベースのアプリケーションが多いはずだ。また、DBの接続にODBC（Open Database Connectivity）が使われることが多いのも特徴だ。

　ASPは、ASP.NETに移行するなどの方法が王道だが、2012でもIIS拡張モジュールを利用して使い続けることが可能だ。DB接続も簡単なコーディングで利用できるようになる場合がある。とはいえ古い技術は将来のシステムのネックになりかねないので、スケジュールに余裕があれば最新技術を活用した改修や再構築が望ましい。余裕がなければ、ひとまず簡単な方法でOSを移行してから、徐々にアプリケーションの改修を図るとよいだろう。

　なお、古いSambaベースのNASは2012などのアクセス制御機能に対応できず、セキュリティを保った状態で単純に移行できない場合がある。2012でファイルサーバを構築すれば、強化されたセキュリティ機能が生かせる一方で、大幅に機能強化されて高速、しかもファイルアクセスの暗号化も可能なSMB3.0がクライアントのWindows 8との間で使える利点も生かせよう。

2003延命は可能か？

　2000やXPのサポート切れの際に注目された「延命ソリューション」は、攻撃に利用される通信のシグネチャをIPSに配信する（仮想パッチ）もの、ウイルスの「ふるまい検知」を利用して活動の特徴を捉えて通信をブロックするもの、あるいはこの2種の組合せだった。

　2003延命ソリューションとして、既にウイルス対策（Webレピュテーション機能付き）、WAF、ホスト型IDSやIPS、ファイアウォール、ファイルやレジストリなどの変更監視、セキュリティログ監視といった機能をそろえ、物理環境と仮想（クラウド含め）環境のどちらでも使えるセキュリティツールによるソリューションが登場した。

　ただし、どのようなソリューションでも一時的な延命に利用できるだけであることは意識しておかなければならない。マイクロソフトからのパッチがない状態でも攻撃への対応力を高めておけば、移行作業が多少長引いてサポート終了後にずれこんだ場合でも、ある程度は安心して移行作業を続けられるということだ。

　以上、移行に関して注目したいポイントを紹介したが、移行作業が間に合うかどうか不安を感じた人もいるだろう。移行ノウハウや社内の人的リソース、技術力に不足を感じる場合には、現在多くのシステムベンダーやSIerから提供される2003移行サービスの利用を検討してみるとよい。

　システム改修や仮想化移行、あるいはハウジング利用やクラウドサービス利用などの検討のための現状診断サービスおよびコンサルテーション、システム設計、構築作業、移行作業そのもの、あるいは運用管理支援サービスなどが提供される。

　また、各種セキュリティツールとサーバを組み合わせたトータルパッケージ、Active Directoryの導入から設計、運用管理までのハード、ソフト、サービスの一体化パッケージ、冗長構成のファイルサーバパッケージなど、汎用的に使えるパッケージの提供も行われる。

　移行ノウハウを十分に持った業者を利用すれば、外部からの視点を取り入れたシステムの見直しや最適化が図れる可能性が高く、より合理的なシステム移行が期待できる。何より移行期間短縮が可能になり、サポート切れまでの残された期間で移行完了できる可能性が高くなることがポイントだ。