セキュリティリスクが増加する中、Windows Server 2012の延長サポートが2023年10月10日に終了する。人材難、予算難、サーバ機入手難の状況下で最新OSへの移行を成功裏に完了させるには、どうすればよいのか。
オンプレミスでサーバを安定運用しないとビジネスが止まってしまう企業の場合、サーバが止まる要因にどう対応するかが死活問題となる。サーバを安定運用できない要因は、OSのバージョンが古いままで、アップデートされていないこともその一つだ。
古いバージョンに起因する脆弱(ぜいじゃく)性を突かれた攻撃などによって障害が発生したり、機器が故障したりした場合、サポートが受けられないと復旧が遅れてビジネスに甚大な影響を及ぼす。
2017年のランサムウェア「WannaCry」による被害が、Windowsのファイル共有プロトコル「Server Message Block(SMB)」の古いバージョン1.0に起因していたことは周知の事実だ。その後もサイバー攻撃は多様化し、「Spectre」「Meltdown」といったCPUなどのハードウェアの古いファームウェアの脆弱性を攻撃するマルウェアも確認されている。
このようにセキュリティリスクが増加する一方で、長らく使われてきたサーバOS「Windows Server 2012」「Windows Server 2012 R2」(以下、併せて「Windows Server 2012」)の延長サポートが「2023年10月10日」に終了する。サポート終了まであと1年余り。新しいサーバへの移行プロセスの計画やテストに要する期間を考えれば、時間切れ間近といえる状況だ。
サーバ移行に関する課題にはどのようなものがあるのか。どうすればスムーズにサーバを移行できるのか。新しいサーバに移行するメリットとは――。Windows Serverの移行に詳しいプロフェッショナルから、移行の課題や現実的な移行方法などを伺った。
ここからは、サーバに関してOSのサポート終了後も使い続けるリスクや新たなサーバへ移行する際の課題、具体的な移行方法などを、日本マイクロソフトの吉川賢太郎氏(デバイスパートナーソリューション事業本部 チャネルセールスエグゼクティブ)、SB C&Sの高橋智春氏(ICT事業本部 システム基盤推進本部 プラットフォーム推進統括部 マーケティング部 1課 課長)、日本ヒューレット・パッカードの岡村清隆氏(コアプラットフォーム事業統括サーバー製品本部 製品部カテゴリーマネージャー)に伺っていく。Windows Serverの移行に詳しい3人のプロフェッショナルはどのような移行策を提示し、不安を払拭(ふっしょく)してくれるのか。
――Windows Server 2012の延長サポートが2023年10月に終了する。だが、「Windows Server 2022」への移行はあまり進んでいないようだ。その背景については、どのように考えているのか?
日本マイクロソフト 吉川 賢太郎氏:OSベンダーとして、国内では2023年10月の時点で約20万台のサーバがWindows Server 2012のまま残ると予測している。「Windows Server 2008」「Windows Server 2008 R2」も約8万台残る見通しだ。
これにはさまざまな背景が考えられる。ユーザーだけで保守できる見通しがあったり、自社のセキュリティ対策が万全なのでセキュリティパッチがなくても大丈夫と考えていたりするかもしれない。エンジニアやシステム管理者は最新サーバに移行したいと思っていても、経営層を説得できずに移行のための予算を確保できない企業もあるはずだ。
企業によっては、情報システム部門が管理できていない“野良サーバ”が存在している。当然ながら、IT資産管理の対象になっていないサーバは移行対象から漏れてしまう。
SB C&S 高橋智春氏:IT製品のディストリビューターとしては、OSだけでなくサーバ機器についても、旧式のものはセキュリティリスクが高く、故障した際のサポートが難しくなることを懸念材料として指摘しておきたい。その結果、自社のビジネスリスクが高まるだけでなく、取引先や関係会社に迷惑を掛けることも想定される。
近年ではSDGs(持続可能な開発目標)の観点から、より環境に配慮した製品にIT設備投資を行いたいという企業も増えている。最新のサーバは従来より消費電力を抑えられる機種が多い。
ビジネスリスクを軽減し生産性向上・IT競争力をアップし、SDGsへの取り組みで企業価値の向上が企業に求められている。
日本ヒューレット・パッカード 岡村清隆氏:弊社もサーバベンダーとして、古いサーバのセキュリティリスクを非常に重く考えている。OSやアプリケーションだけではなく、サーバも旧式モデルではファームウェアの改ざん検知機能などは付いておらず、最新の攻撃に対して対抗できる機能が十分ではない。また、別の観点では古い世代のサーバは性能に比して電力が多く必要になる。
最新世代のサーバと前世代のサーバの消費電力を比較した結果、性能当たりの消費電力が47%削減されているという当社の検証結果もある。
単に電気代を節約できるというコスト削減の面だけでなく、エネルギー効率の良い製品を利用することによって発電に関わる資源を守ることにつながる。
SDGsへの取り組みを積極的に進める企業にとってIT設備の選定に非常に重要なポイントとなりえる。
――移行作業を担当する情報システム部門は、どのような課題を抱えているのか?
吉川氏:まずはIT人材を確保できないことが大きい。ITの運用管理業務は年々拡大しているが、“攻めのIT”に投資を集中しようとする経営層は“守りのIT”投資には慎重だからだ。その結果、サーバOSの移行は先送りにされてしまう。特に中小のお客さまで、この傾向は顕著である。
他に課題になるのは、Windows Server 2012上で動作していたアプリケーションが、Windows Server 2022でも正しく動くかどうかをテストすることだ。そのためのテスト工数や費用は大きいので、経営層の承認をもらうには、十分な準備と説明が必要である。
テストした結果、例えばそれまで使っていた業務アプリケーションの改修に、場合によっては作り替えを迫られることもある。費用増加を避けるために“塩漬け”にされてしまうこともしばしばだ。
高橋氏:サーバについては「入れ替えようとしても、すぐに納入されるとは限らない」という課題がある。既に報道されているように、コロナ禍などに起因する電子部品不足は深刻で、弊社はできるだけ在庫を持つようにしているが、現状では納入まで6カ月以上かかるケースもある。
――課題を乗り越えてWindows Server 2012からWindows Server 2022に移行するにはメリットがなければならない。移行にはどのようなメリットがあるのか?
吉川氏:Windows Server 2022の特長は、ハードウェアレベルから、OS、アプリケーション、通信に至るまでセキュリティを一気通貫で強化したことだ。
ハードウェアレベルからの強化では、特に「Secured-Core Server」に対応したことが大きい。HPEをはじめとしたOEMベンダーと協力して、CPU、ファームウェア、コンポーネントレベルで電源投入からOS起動まで安全にサーバを稼働させることができるようになった。対応するサーバに買い替えることで、OS起動時にハードウェア/ファームウェア/ドライバの信頼性をチェックできる。
アプリケーションレベルでは、例えば、ファイルサーバ機能のセキュリティも強化した。ファイルサーバ機能は、民間で使える最も強固な暗号化である256bit AES暗号化が使えるようになり、同じく256bit AESに対応した「Windows 11」搭載PCとの間でセキュアにデータやファイルを何も設定しなくてもファイル共有できる。また、通信においても、Webサイトにアクセスするときには、盗み見されないように暗号化通信(一般にはSSL)を行うが、その暗号化も最新の「TLS 1.3」が既定となり、DNS名前解決も暗号化されるようになり、強化されている。
そして、稼働させるCPUも、10年近く前に出荷されているWindows Server 2012世代に搭載されたCPUよりも、大きく性能向上しているため、新しいサーバに入れ替えるだけで、性能が向上し、セキュリティも大きく強化されていることになる。
――Secured-Core Serverといえば、Hewlett Packard Enterprise(以下、HPE)のサーバ機も対応しているが、買い替えのコストを考慮すると、企業はどのサーバを選べばよいのか?
岡村氏:Windows Server 2022のSecured-Core Server認証を取得済みのサーバとしてお勧めしたいのは、「HPE ProLiant DL360 Gen10 Plus」などの「HPE ProLiant 300シリーズ」だ。中小企業には「HPE ProLiant ML30 Gen10 Plus」「HPE ProLiant DL20 Gen10 Plus」もよいだろう。
特に弊社は、企画/設計から製造/流通、構築/運用、廃棄までの各段階でセキュリティを保証することを目的に「セキュリティ・バイ・デザイン」指針を2017年に策定している。
この指針に基づいて検査する独自セキュリティチップ「HPE Integrated Lights-Out 5」(以下、iLO 5)を2017年に発表し、HPE ProLiant Generation 10(Gen 10)以降のサーバに標準実装した。iLO 5は、「Silicon Root of Trust」(シリコンレベルの信頼性)の起点として、サーバの起動時にはファームウェアが改ざんされていないかどうかを検査し、運用時にはファームウェア改変やマルウェア感染を、サーバを稼働したまま自動で検出して復旧できる。
また、サプライチェーンリスクへの対策としてはHPEの工場で製造されたサーバであることを示す「デジタル証明書(802.1AR)」を埋め込んで出荷し、これをお客さまのネットワークに接続する際の「認証」に利用できる機能(セキュアゼロタッチオンボーディング)を提供可能だ。
この他、廃棄段階での情報漏えいを防ぐ仕組みとして、データデバイス(HDD/SSD)や、マザーボード上のSSDデータなどをワンクリックで消去できる「One-buttonセキュア消去」機能も実装している。
――Windows Server 2022に移行しようとする企業には、どのような支援策を提供しているのか?
吉川氏:移行計画を立てるには、まず社内のWindowsサーバ環境を管理するところからだろう。無償の管理ツール「Windows Admin Center」を使うと、Windowsサーバ環境を一元管理できる。
また弊社は、特に中小企業のWindows Server 2022への移行率向上における販売店の役割は大きいと考えている。PC、スマートフォンやタブレットを使って空いた時間に学習できるトレーニングプログラム「Microsoft ExpertZone」も公開して販売店の教育にも力を入れている。
※Microsoft ExpertZone https://expertzone.microsoft.com
高橋氏:弊社はサーバの納期を少しでも短縮することに力を注いでいる。HPEのサーバについては在庫を多めに確保しており、パッケージ化された即納モデルから選んでもらえば即日出荷が可能だ。
顧客要件に基づいて弊社でサーバを組み立てるBTO(注文仕様生産)も始めている。BTO用のキッティングサービスを販売パートナーさまに提供しており、キッティングやセットアップの作業を依頼することもできる。
――ユーザー企業としては製品やサポートを提供する側の連携も気になるところだ。3社のパートナーシップはどのようになっているのか?
吉川氏:Windows NT(Windows Serverの前身)と初代HPE ProLiant(Compaq ProLiant)は、ともに1993年に登場した。Windows Serverに関するHPEとMicrosoftのパートナーシップはそこから脈々と続いている。両社の間には特別なパスがあるので、問題解決に要する時間も短くて済む。またSB C&SはWindows Serverの国内最大規模のディストリビューターであり、日々情報連携を行っている。
岡村氏:HPEとMicrosoftは米国のラボでさまざまな交流をしている。設計開発の段階で試作品を互いにテストすることも多く、それがより良い製品に結実している。
高橋氏:SB C&Sは2022年6月に「HPE Japan Distributor of the Year 2022」を受賞した。このアワードは対前年成長率が最も高いパートナー企業に贈られるもので、弊社は2021年にも同じアワードを取得している。これを励みに、弊社はWindows Server 2022への移行促進にさらに力を入れる。サーバ移行に関する相談があれば、取引のある販売店や弊社に連絡していただきたい。
Copyright © ITmedia, Inc. All Rights Reserved.
提供:SB C&S株式会社
アイティメディア営業企画/制作:@IT 編集部/掲載内容有効期限:2022年12月11日