Windows Server 2003を取り巻くセキュリティリスク:セキュリティ強化塾(1/4 ページ)
2015年に迫るWindows Server 2003のサポート切れ。いまだに発見され続ける脆弱(ぜいじゃく)性に見るセキュリティリスクと対策を考える。
Windows XPのサポート終了への対応がやっと終わり、一息ついたのもつかの間、今度はWindows Server 2003のサポート切れが2015年7月15日にやってくる。クライアントPCに比べて台数は少なくてもアプリケーションの重要性が比較にならないのがサーバだ。
既存アプリケーションの動作検証や改修、パッケージのアップグレードなどの手間を考えると、もはや待ったなし。一部のシステムはもはや移行計画スタートのデッドラインを過ぎてしまったかもしれない。それでも否応なくやってくるサポート終了に向け、セキュリティ面でどう配慮すればよいのかを今回は考えてみよう。
移行計画の遅れにより一部サーバを「延命」利用するリスク
クライアントOSのWindows XPとともに10年以上にわたり企業システムを支えてきたサーバOSがWindows Server 2003(以下、2003)。広く普及し、かなり以前から「レガシーOS」の呼び名も得たOSは、2013年の調査会社(IDC)の調査でも企業の68.3%が利用する「なかなか捨てられない」OSだ。
しかし2015年7月のサポート終了後はマイクロソフトから脆弱(ぜいじゃく)性修正パッチが提供されなくなり、その期限を越えて使用を続けるには大きな危険が伴うことになる。古いOSだから脆弱性への攻撃も少ないのではないか、あるいは脆弱性は年月とともに改修されているので危険が少なくなっているのではないか。そう考えるのは大きな間違いだ。
新しく発見される脆弱性は、新旧の複数バージョンのOSに存在する場合が多いのだ。2003の脆弱性修正パッチは、2012年4月から2013年3月までの1年間に39個(1カ月当たり3.3個。マイクロソフト資料による)という数だ。この大部分はWindows Server 2008(R2を含め2008と表記)や同2012(R2を含め2012と表記)と共通する。
発売後10年以上を経てもなおこの状態であることから、今後も新たに脆弱性が発見され続けていくことは容易に想像できる。2008や2012の脆弱性に対する攻撃も、2003に影響する可能性も高い。修正パッチが提供されなくなった2003は攻撃にひとたまりもなく撃沈させられることが目に見えている。
修正パッチが提供されなくなったOSは、その時点で寿命が来ると考えるべきだ。その前にサーバOSを新パージョンにリプレースする必要がある。
ところが、企業システムのOS移行には、利用するアプリケーションの動作検証が不可欠で、多くの場合、自社構築のアプリケーションなら一部改修、パッケージ製品ならバージョンアップ、カスタマイズしたパッケージ製品ならバージョンアップとカスタマイズ部分の改修の両方が必要になる。
それに要する時間は対象となるシステムの数と複雑さによるが、一般的には1年半程度は確保しておくべきといわれる。2015年7月までに移行を間に合わせるためのおよそのスケジュールは図1に見るようなものになる。
本稿掲載時点では「構築・導入」作業を行っていなければならないはずだ。これまで何も手を付けていなかった場合、既に半年以上の遅れが生じている。今すぐ、大急ぎで対応を図らなくてはならない状況だ。
そうはいっても、投資できる金額は限られ、IT要員は常に不足気味、できるだけコストも時間も手間もかけずに、リスクは可能なだけ抑制したい。一体どんな移行方法が適切なのだろうか。
Copyright © ITmedia, Inc. All Rights Reserved.