まだ終わらない、Windows Server 2003のサポート終了対応――個人情報保護法では対象外企業もマイナンバーでは対象に、サポート切れOSでの運用はNG:なぜ6万台も残されたままなのか?
2015年7月15日、Windows Server 2003の延長サポートが終了した。マイクロソフトやメディアなどの啓蒙(けいもう)活動で台数は減少したものの、いまだに6万台が稼働しているという。なぜ古く危険なシステムが残されたままなのだろうか。「EOS(End of Support)」が“終わっていない”ユーザーは、どのように対処すればよいのだろうか。
“幕引き後”も残されたままの6万台の古いシステム
2015年7月15日(日本時間)、マイクロソフトはWindows Server 2003(とWindows Server 2003 R2)のサポートを完全に終了した。2003年6月のリリース後、通常(5年間)よりも長い7年2カ月のメインストリームサポートと5年間の延長サポートを経て、12年2カ月というWindows Server 2003の歴史はいったん幕を閉じることになった。
“いったん”と表現したのには理由がある。一部に「Windows Server 2003サポート終了」が終わっていないユーザーが存在するからだ。やむを得ない事情があるのか、事態を深刻に捉えていないのか、いずれにせよWindows Server 2003の停止や移行が完了していないサーバーがいまだに存在するという意味である。
IT専門の調査会社であるIDC Japanの調査によると、Windows Server 2003が稼働するサーバーは、2013年末時点で約36万台、2014年末で約21万台だったという。2014年末時点で稼働していたWindows Serverの全台数に対して、約8.8%が残っていた計算だ。地域別に分類すると、関東(12.5%)や中部(9.5%)、九州(9.4%)といった主たる商業・工業地域があるエリアに比べて、北海道(13.4%)、東北(15.2%)、中国(14.2%)、四国(19.3%)などの地方エリアでの残存率が高い傾向が見られたという。
これを受けてマイクロソフトは、地方新聞への広告や地域情報番組での告知、商工会議所や経済産業省との合同セミナーなどを通じて、サポート終了に関する情報発信を積極的に行ってきた。その結果、2015年7月時点で、Windows Server 2003の残存数は約6万台(マイクロソフト調べ)まで減少した(図1)。
また、マイクロソフトの調査によると、2016年4月12日(日本時間)にサポートが終了する「SQL Server 2005」も2015年6月時点で約5万台が残っており、さまざまなLOB(Line of Business)システムで稼働し続けている。また、Windows Server 2003上で稼働しているSQL Server 2005も多いと考えられる。
- SQL Server 2005のサポート終了(マイクロソフト)
日本マイクロソフトの藤本浩司氏(サーバープラットフォームビジネス本部 クラウドビジネス開発部 部長)は、「2013年の7月から約2年にわたり、パートナーと共にWindows Server 2003 EOS(End of Support:サポート終了)の告知およびマイグレーションの促進活動を実施してきました。Windows 2000 Server EOSのときにも同じ傾向が見られましたが、サポート終了に合わせて予算を確保し、サポート終了後にマイグレーションを実施されるお客さまもいます。また、今年は2016年のマイナンバー制度への対応と合わせて実施するため、計画的に遅らせていたという話も多く聞きます。しかし、OSサポート終了のリスクを把握できていないお客さまもまだいると思いますので、サポートは終了しましたが、残っているサーバーをできるだけ早く移行していただくためにも、支援は永続させていただきます」と話す。
OSサポート終了のリスクを把握できていない
マイクロソフトでは、3月の時点で、まだ移行していないユーザーに調査を実施。Windows Server 2003を使い続ける理由としては、次のような回答が多かったという。
- 社内運用の工夫で対処可能
- 漏えいして問題となる情報をサーバーに保管していない
- 社内にあるサーバーを把握できていない
(1)の「運用の工夫」というのは、クライアント側のマルウエア対策やゲートウエイセキュリティのことだという。しかし、マルウエアの侵入経路はさまざまであり、旧来の対策では不十分になりつつあることは、最近の標的型攻撃による情報漏えい事件でも明らかになっている。サーバーのセキュリティホールをふさぐことが、最も重要な対策ということを認識していないと思われる回答だ。
(2)に関しても、多くの企業は営業活動で、取引先や売買に関係する情報の文書をWordやExcelなどで作成してサーバーに保管しており、そうした情報が漏れては問題となるはずである。また、中小企業が利用するオンラインバンクからの不正出金を狙ったり、大企業を攻撃するために子会社を踏み台にしたりするケースもある。何でもないような情報が、実はサイバー犯罪者にとっては“価値ある情報”となる可能性もあるのだ。また、中小企業では個人情報保護法の対象となる数(5000件以上)の個人情報を持っていないということから、今までは意識されていなかったことも要因と考えられる。
(3)は、Windows Server 2003が“広く普及したサーバーOS”であることの弊害ともいえるだろう。Windows Server 2003がリリースされた当時は、いわゆる“部門サーバー”が積極的に導入された時期だ。最近では、“野良サーバー”として、IT管理者ですら把握できない状態になっていることが問題視されている。普段は使われていなかったり、調査対象から外れてしまったりしたものを含めれば、現存するサーバーは6万台を超えると見られている。
藤本氏によると、「サーバー移行の波は2015年第三四半期まで続く見込み」とのこと。まだまだ注視しなければならない状況は続く。
古いサーバーOSは安全性が著しく低下し、危険
サポート終了後もWindows Server 2003を使い続けるリスクは、本来ならば省略してもよい項目だ。しかし、上述のようなアンケート結果を受けては、ここでもう一度確認しておいた方がよいだろう(図2)。
古いサーバーOSを使い続けるリスクで最も懸念されるのは、セキュリティだ。重大なセキュリティホールが新たに発見されても修正パッチが提供されないため、サイバー犯罪者が攻撃を仕掛けられる状況が続くことになる。マルウエアや不正侵入の手口は、ほとんどがシステムの脆弱(ぜいじゃく)性を狙うもの。Windows Serverに限らず、ITの世界では幾度も危険な状況が発生し、そのたびに修正パッチが提供されてきた。しかし、今後は一切そうした対応は受けられない。当然、自社や取引先のコンプライアンスに準拠できない状況になることも十分に考えられる。
周辺機器やソフトウエアについても、メーカー各社はWindows Server 2003のサポートを終了していく点に注意したい。もし、故障して新しい機器を導入しようとしても、Windows Server 2003をサポートする可能性はほとんどなくなるだろう。ソフトウエアのバージョンアップや更新が必要となったとしても、対応OSでなければ実施できなくなる恐れもある。
もう一つ忘れてならないのは、サーバーマシン本体の老朽化である。Windows Server 2003は、ハードウエアと同時に導入されたケースがほとんどだろう。すると、現存するサーバーは、7〜10年以上経過した古いハードウエアである可能性は高い。いつ故障してデータが失われてもおかしくない状況といえる。
こうしたリスクを考慮すれば、早急に現状を把握して移行したり、停止したりする処置が必要だ。マイクロソフトのサポートが終了したとしても、OSの「ライセンス認証(アクティベーション)」サービス自体が終了するわけではないため、急に使えなくなるというわけではない。とはいえ、永遠のものではないため、迅速な対策が求められる。
Windowsプロフェッショナルのノウハウを活用しよう
Windows Server 2003の移行では、「延命措置」という施策を選択するケースもある。予算・リソースの不足や重要なアプリケーションの存在によって、しばらくは使い続けなければならない場合のやむを得ない手段だ。しかし、単なる延命にすぎないことだけは忘れないでほしい。根本的なリスクは解消されないのだ。
マイクロソフトの調査では、「セキュリティソフトウエアの導入」と「仮想化環境への移行」を“延命措置”と捉えている声が大きかった。
しかし、上述したようにセキュリティツールだけで全ての攻撃を防げるわけではない。サーバーOSが安全だからこそ、その他の防御策も役に立つのだ。もし、運用に隙があれば、すぐさまOSの不具合を狙われることだろう。これはもはや延命とは呼べない。
仮想化環境への移行については、一時的な効果があるといってもよい。つまり、新しいハードウエアに仮想マシンとして退避することで、老朽化したハードウエアへの対策となる。これで、ある程度の稼ぐことができるだろう。しかし、ネットワーク上では脆弱なWindows Server 2003のままであることに変わりはない。セキュリティやコンプライアンスの問題は解決していないことは忘れてはならない。
藤本氏は、Windows Server 2003の移行に際して、次の3点について至急取り組む必要があると述べる(図3、図4)。
- 残されたサーバーの台数や用途、設置場所について棚卸しをする
- 移行先をクラウドにするのか、オンプレミスシステムのままでいくのかを決定する
- 移行に必要な費用とスケジュールを確認する
「マイクロソフトのパートナー企業は、Windows Server 2003から最新OSへの移行を何年も前から手掛けており、多くのノウハウと知見を蓄積しています。また、これまでは5000件以上の個人情報を保有しておらず、個人情報保護法の対象となっていなかった中小企業でも、今度のマイナンバーでは全企業が法律の対象となります。ですから、まだWindows Server 2003からの移行が済んでいないお客さまは、急いで対応を進めてほしいです。当社のパブリッククラウドサービスであるMicrosoft Azureも成熟し、移行先としても十分に実用的なサービスへと進化しました。2016年にサポート終了を迎えるSQL Server 2005の移行も含めて、“サーバー移行の最適解”を提供できる準備はすでに整っています。“何から手を付けてよいか分からない”という問い合わせでもかまいません。ぜひご相談ください」(藤本氏)
「覆水盆に返らず」――情報は水の入った器であり、こぼれれば元には戻らない。今や“覆水”に気付かせない攻撃手法も多い。そうした事態を招く前に、堅固な最新システムへの移行を進めてほしい。
Copyright © ITmedia, Inc. All Rights Reserved.