2015/04/21

先週、情報処理推進機構(IPA)より、「3か月後に控えたWindows Server 2003のサポート終了に関する注意喚起」というプレスリリースが発表されました。
昨年はWindows XPのサポート終了時点で対応が遅れている企業が多く、セキュリティの脆弱性に対して頻繁に注意喚起されていましたが、今回もまた同様の事象が起きていることは残念でなりません。
7月15日のサポート終了後は、新たな脆弱性が発見されたとしても、修正プログラムは提供されません。よって、内外からOSの脆弱性を悪用した攻撃を受け、サーバーの停止やサーバーに保管している重要データの漏えい、等の被害に遭う可能性があります。
一方で、昨年のWindows XPの対応後、休む間もなくWindowsServer2003への対応を行わなければならない状況から、十分な準備期間が確保できず、どうにか対処している企業や情報システム担当者も多いとは思います。しかしながら、サポート終了時期は製品リリース時点から既知の事実であることから、業務の多忙さは理由にすることはできないでしょう。

Windows Server 2003の現状

それでは、Windows Server2003を使用している企業の対応はどうなっているでしょうか。少し前になりますが、今年の年明けにトレンドマイクロ社から発表されたアンケート調査結果によると、調査時点でWindows Server2003を使用していた企業の約半数が、サポート終了後もWindows Server2003を継続使用するという結果でした。
Windows Server2003の移行予定時期
また、サポート終了後に使い続けるWindows Server2003の利用用途について質問したところ、アプリケーションサーバーやデータベースサーバーといった情報システムの構成要素として、あるいはファイルサーバーやWebサーバーといった社内ITインフラの一部として継続使用する企業が多いことがわかりました。
Windows Server2003の利用用途
こうして社内の重要システムとして継続する一方で、OSサポート終了後のセキュリティ対策を総合的に実施するのは継続使用する中の15.8%、アクセス制限や利用用途を制限するなどのリスク低減策を講じるのは12.3%のみであり、サポート後の継続使用にもかかわらず、セキュリティ対策の検討が十分でない企業が多数存在することがわかりました。
最後に、ここ最近のWindows Server 2003の脆弱性に関する報告件数を確認したところ、リリース後10年以上経過した今でも、脆弱性の報告はなくなっていません。むしろ、ここ数か月は増加傾向にあります。
2014年度Windows Server 2003脆弱性報告

Windows Server 2003の継続使用によるリスク

それでは、Windows Server2003をマイクロソフト社のサポートが切れた後も継続使用した場合、どのようなリスクがあるのでしょうか。直接的なリスクとしては、以下の3点が考えられます。
1.OSの脆弱性を狙った攻撃にさらされる
2.サーバー上で稼働するソフトウェアやツール等のサービスのサポートも終了する
3.サーバー機の経年劣化によるハードウェア故障率が上がる

1.OSの脆弱性を狙った攻撃にさらされる
Windows Server2003に対するマイクロソフト社のサポートが終了する、ということは、有償無償に関わらず、マイクロソフト社は今後一切サポートを行わない、ということです。具体的には、以下の通りです。

  • 毎月のセキュリティ更新プログラムが提供されない
  • 問合せ等のサポート活動は行われない

一方で、Windows Server 2008 / 2012の脆弱性情報やセキュリティパッチは引き続き公開されるので、同様の脆弱性はWindows Server 2003にも存在するだろうと容易に予測できます。そのような脆弱性を突かれた攻撃に対応することはできなくなります。

2.サーバー上で稼働するソフトウェアやツール等のサービスのサポートも終了する
Windows Server2003のサポート終了に伴って、Windows Server 2003上で稼働するソフトウェアやツール類についても、製品であろうがカスタムソフトウェアであろうが、以下の様な対応になると想像されます。

  • ソフトウェアそのもののサポート終了
  • ウィルスソフトのパターンファイル配布終了

(仮にサポートが延長する場合)

  • 猶予は長くてもせいぜい1、2年程度
  • OSに起因するトラブルは対応されない(OSとの切り分けができず棚上げされる)
  • 問い合わせ対応のみ、修正プログラムの配布はされない
  • サポート料金が高騰する
  • ・・・

特にカスタム構築された業務システムの場合、制度対応や業務上の要求に伴うシステム更改が限定的だったり、対応されなかったりします。仮に更新対応されたとしても動作保証はしないと通告されるかもしれません。Windows Server2003上で構築された業務システムを継続使用する場合は、サーバーOSサポート終了後の対応について、早期に保守業者に確認された方が良いと考えます。

3.サーバー機の経年劣化によるハードウェア故障率の上昇
運用を開始してから5年を超えたハードウェアについては、経年劣化による故障率の上昇は避けられません。ましてや、サーバー機であれば長時間連続して稼働していることが想定されます。現在Windows Server 2003が稼働しているサーバー機は、既に5年以上経過し、定期シャットダウンが行われていても、ほぼ休みなく稼働しているケースが多いと考えられます。さらに、故障した部品に対する交換部品が生産を終了し、在庫も存在しないこともあり得ます。ハードウェアごと交換するにしても、同一製品の在庫が無ければ別の型式のハードウェアに交換せざるを得ないですが、新しいハードウェアは一般に古いOSの稼働は保証しておりません。よって、ハードウェアが故障した場合、全く対応ができなくなるリスクがあります。

以上から、Windows Server 2003が稼働するサーバー機は、上記のリスクのいずれかが顕在化すれば、業務システムの稼働停止による業務の遅延や停滞、重要なデータの消去や漏えい、等による企業の信頼の失墜や経営への悪影響を引き起こす可能性が高くなります。

Windows Server 2003からの移行

それでは、Windows Server2003から移行するにはどうすればよいでしょうか。以下に簡単なイメージを作成したので、ご確認下さい。
WindowsServer2003 移行選択肢イメージ
まずは移行対象となるサーバー機と、搭載されているソフトウェアを棚卸する必要があります。日常から自社のIT資産についてインベントリ管理されているのであれば、簡単にチェックするだけでもいいのですが、そうでなければ膨大な作業になるかもしれません。
次に、作成されたインベントリリストに基づき、必要機能なので移行対象とするか、既存の別のサーバーに統合するか、廃止するかの判断を行います。ここではこれまでの議論から、継続使用という選択肢は考えていません。

さて、移行対象とする場合、もっとも単純な方法はサーバーOSをバージョンアップして継続使用する方法です。つまり、サーバー機、OS、ミドルウェア等は最新の構成で置換することです。選択肢としてはWindows Server2008とWindows Server2012の2択になりますが、Windows Server2008は既に延長サポート期間に入っており、サポート終了時期が2020年1月なので、約5年後に今回と同様の騒動を迎えることになります。よって、リリース後間もないので余命が長いWindows Server2012を選択することが妥当です。ただし、サーバーバージョンを一足飛びになるので、移行作業は手間がかかる可能性があります。ファイルサーバーやアクティブディレクトリサーバー等であれば、マイクロソフト社からもガイドが出ており、比較的容易ですが、カスタムアプリケーションが搭載された業務システムのアプリケーションサーバーやデータベースサーバーだと、バージョンアップしたOSやミドルウェア、ツールによる稼働確認や改修作業等が必要になるので、保守ベンダーと調整しながら進めることになります。
また、スケジュールを考えた場合、5月の連休以降、サポート終了日までは祝日を利用した連休がないことから、まとまったシステム移行は難しいので、週末に少しずつ移行作業をしていくことになると思います。
いずれにしろ、新OSにバージョンアップするサーバー機は大半が新しい機器に交換せざるを得ないので、機器を置換するよりも、クラウド環境に移行し、コストダウンを図ることについても検討してみてもいいと思います。ファイルサーバーやメール、ワークフロー等のパッケージ製品を使用するサーバーであれば、相応の実績も出てきているので、検討する価値はあると思います。
一番の問題はカスタムアプリケーションを搭載した業務システムサーバーになります。こちらについては、単純置換が難しいのであれば、ある程度時間をかけて再構築するという選択肢もあります。再構築であれば、構築環境をクラウド化することも可能です。
業務システムの再構築を選択した場合はもちろんですが、サポート終了の期限までに移行作業が終了しない可能性があります。サポート終了後ただちに脆弱性を突いた攻撃を受けるわけではありませんが、移行スケジュール上現行サーバーの使用が長引く場合は、リスク軽減のため各社から発表されている延命措置サービスを施すことも検討する必要があります。その際には、当該サービスの制約等を確認する必要があります。

また、一部からは内部サーバーだから問題ないだろう、という意見を聞きますが、その考えは認識が不十分です。従業員の誰かがクライアントPCで不正ファイルを展開し、ウィルス感染する可能性もあります。また、内部犯行者による攻撃の可能性もあります。海外では完全に外部とは隔離されたネットワークに対してウィルス感染させ、その施設を機能停止に追い込んだという事例もあります。内部サーバーだからと言って、安心することはできません。

タイムリミットまでの期間は短いですが、手を打てない訳ではありません。ベンダー各社も例によって様々なサービスを打ち出しているので、様々な選択肢の中から最善の内容で選択できればと思います。もちろん、弊社にご相談いただければできる限りの支援を行います。

IT環境に対するマネジメントの必要性

これまでの状況を見ると、OS等のサポート終了時期が来ると、最近は毎回の様にギリギリまで動かない、最悪あきらめてしまうケースが増えているように見受けられます。OS変更に伴う移行作業について、必要性は感じているが、コスト上の制約、環境上の制約、時間的制約、等々の様々な理由で対応しきれないという状況だと考えられますが、そもそも事象の認識や着手が遅れているのではないかと考えます。
OSの移行作業自体に多大な時間がかかりますし、業務アプリケーションの改修等、事前に行うべき作業も多いので、状況によっては1年程度の準備期間では足りないと考えます。コスト面では、マイクロソフト社のサポートスケジュールは明確ですから、これに合わせて予算を確保しなければならないのですが、実際には同時並行で動いているプロジェクトに無理やり割り込ませている結果、十分な予算やリソースの確保が難しくなっていることが予想されます。また、移行方式についてもリプレース一辺倒ではなく、シンクライアントやクラウドの活用等、様々な施策の検討が十分にできていないのではないでしょうか。
こうした事象にならない様、自社のITマネジメントについて再確認することをお勧めします。例えばIT資産を管理するチームと情報システムの開発に関わるチームとで、相互に情報を共有できているでしょうか。資産運用チームはPCやサーバー機の減価償却期間やソフトウェアのバージョンとそのサポート期間を把握していますが、一方で開発チームは事業計画や制度対応等の要求から開発/改修計画を立案します。両者の認識する情報が相互連関していないと、開発のピークと今回の様なバージョン移行作業が重なったり、安定性を求める余り、直近でサポート期間が終了する製品で開発を進めたり、といった弊害が発生する恐れがあります。
現状だけでなく、時系列も踏まえて機器等の交換時期が判明していれば、そのタイミングに合わせて大きな開発をスケジューリングすることも可能です。あるいは、新しい技術やサービスを活用した全く別の環境の構築も視野に入れて検討することもできます。

以前のブログでIT資産、IT投資とIT計画との相関関係をお見せしたことがありますが、今回改めて確認いただければと思います。
IT資産、IT投資とIT計画との相関関係
弊社ではこのような企業内ITをマネジメントするための様々な課題に対するコンサルティングを実施しております。ご興味があればお気軽にご相談ください。

上記内容に関する相談や問い合わせについては、問合せフォームにてご連絡ください。
お問い合わせ