「隠れSQL Server」、まさかこんな場所に……：“詳しい人”も見落としがちな対策の落とし穴（3/4 ページ）

SQL Server 2005のサポートが2016年4月12日に終了する。残り約130日。日本マイクロソフトによると、エンジニアや情シス部門などの“詳しい人”も見落としてしまうSQL Server 2005の「ひっそり残っている、対策の落とし穴」があるようだ。

[岩城俊介，＠IT]

サポート終了を機に、セキュリティ対策とコンプライアンスを見直す

　マイクロソフト製品のサポート終了とは、あらためてどういうことか。2014年4月のWindows XPとOffice 2003、2015年7月のWindows Server 2003が記憶に新しい。SQL Server 2005も同じだ。

　具体的には、セキュリティ更新プログラムや製品に関するサポートが提供されなくなり、仮に重大な脆弱（ぜいじゃく）性が発見されたとしても対策されなくなる。また、マイクロソフトのサポート終了に合わせ、サードベンダーのハードウエアやソフトウエア製品のサポートも順次終了する。時間と共に未対応の脆弱性が蓄積し、脅威に対して丸裸になる。自社のセキュリティを脅かし、ビジネスリスクになるいうことだ。

（参考記事）サポート切れのサーバーOSを使い続けるリスクは経営課題と考えるべき

（参考記事）まだ終わらない、Windows Server 2003のサポート終了対応――個人情報保護法では対象外企業もマイナンバーでは対象に、サポート切れOSでの運用はNG

（参考記事）Windows Server 2003のサポート終了に思うこと

（参考記事）“Windows XPのサポート終了のお知らせ”のお知らせ

（参考記事）Windows XP／Office 2003サポート終了後の「世界」

（参考記事）各Windows OSで利用できるIEのバージョンを知る

　サイバー攻撃は日々激しさを増し、手口も巧妙になっている。これまでの愉快犯的攻撃から、近年は明確に「金銭奪取」を目的とする攻撃を行う。セキュリティ対策はサーバー単位、担当者単位ではなく、企業単位、CEOレベルで対処すべき重要な課題なのは言うまでもない。“なぜサポートを終えるのか”“なぜ新バージョンへの移行が必要か”の根幹もここにある。

“なぜサポートを終えるのか”“なぜ新バージョンへの移行が必要か”の根幹となる、マイクロソフトが示した「データ保護とセキュリティのポイント」

　SQL Server 2005の移行対策に限らず、マイクロソフトはデータ保護とセキュリティ対策を「監査」「保護」「ポリシー」の観点で実施すべきと説明する。“監査”はアクセス監視などさまざまな監査ニーズに対応するための施策、“保護”はデータをどう保護するかの観点で、エンドツーエンドの暗号化でデータを保護し、情報漏えいを防ぐ施策、“ポリシー”は統一したセキュリティポリシーを定め、内部統制のために、例えばサーバー管理者とデータ管理者の権限を分離するといった施策。これらを行うことで、情報セキュリティ、プライバシー、信頼性などの項目を順守する「コンプライアンス」につながるという考え方だ。

　例えば、最新の「SQL Server 2014」は、FIPS 140-2、PCI DSS、HIPAA、ISO/IEC 15408といった暗号モジュールに関するセキュリティ要件、クレジットカード取引の安全性、コンピューターセキュリティ要件に関する国際規格、医療情報のセキュリティ要件に関する米国法におけるコンプライアンス基準を満たしている。「SQL Server 2014を使っていただくことで、皆さんの会社もこの基準を満たせることになる、ということです」（日本マイクロソフト 業務執行役員技術統括室ディレクターの田丸健三郎氏）