レガシーシステムの継続利用で背負うリスク

この記事をtweetする このエントリーをはてなブックマークに追加

また失敗したの?と言われる前に セキュリティ登龍門50

レガシーシステムの継続利用で背負うリスク

2011/03/01


 セキュリティパッチが公開されないようになったサポート切れOSを使い続けていくのは企業システムを危機に陥れる可能性が高い。しかし、その上に構築されたアプリケーションの新しいOSへの移行は、動作保証や移植工数を含め、大きな課題であり、少しでも長く現行のレガシーシステム(OSおよびアプリケーション)を使い続け、その間に新システムへの移行を図りたいと考える企業も多いはずだ。今回は、サポート切れOSを利用したシステムを今後どのように延命しながら、緩やかに切り替えていけばよいのか、セキュリティ面から考えてみよう。第1回の今回は、旧OSのPCが業務部門内に存在することによって引き起こされる大規模ウイルス感染のケースをカギに、レガシーシステムの危険性について見ていこう。

レガシーシステム

#026

旧OSのPCがウイルス感染、全社のPCへアウトブレイク!

 「PCが繰り返し落ちる」、「Webやメールが重くて使えない」──ある日突然、業務部門からたくさんの苦情がA社の情報システム部門に寄せられた。さっそく業務部門に出向いて症状を確認したところ、PCは動作が不安定になり再起動を繰り返し、LANのレスポンスが異常に遅くなっていた。
 もちろん疑われるのはウイルス感染だ。アンチウイルスツールが動作するPCを選び、ウイルスチェックを行ってみると、出てきたのは「DOWNAD」や「Conficker」と呼ばれる種類のウイルスだった。「しかし…」とシステム部門の担当者は首を傾げた。このタイプのウイルスは以前に一度社内で感染が確認され、駆除と復旧を行ったことがあったからだ。しばらくの間、同じタイプのウイルスへの感染は確認されなかったので、担当者は安心していたのだ。
 ところが現実にはウイルス感染が発生していた。しかも、前回とは規模が違い、当該業務部門のLANセグメントの内部はもちろんのこと、セグメントの違う他部門でも同じ症状が観測されていた。
 じつは、同社の対策には大きな穴があった。普段は利用していない古いOSのPCが各部署に少しずつではあるが存在し、ときどきはLANに接続して利用されていたのだ。OSのサポートが終了しているそのPCのセキュリティパッチ適用やウイルスパターンファイルの更新はサポート終了以前の状態でとどまっており、最近出現したウイルスにはまったく耐性をもっていなかった。
 調査の結果、どうやら感染拡大は古いOSのPCから始まったと推測された。そのPCには、USBメモリからの感染を示す形跡が残っていた。ウイルス感染したUSBメモリが、対策のなされていない古いOSのPCに接続されて最初の感染が起きた。
 このウイルスについては新しいOSのPCでは対策済みだったが、ウイルスには外部のWebサイトから別種のウイルスをダウンロードする機能が備わっていた。この機能によって古いOSのPCにダウンロードされたウイルスは、新しいOSの脆弱性を狙って感染を拡大する仕組みを持っていた。その脆弱性に対するパッチはリリースされていたものの、A社ではまだ全部の対象PCに適用しきれていなかった。アンチウイルスツールでウイルス検出が可能ではあったが、ウイルススキャンによって発見・駆除する以前に感染し、発症しているPCが多数あった。こうして新しいOSのPCに感染が拡大していったのだった。
 A社はその後、完全な復旧までに数週間を要した。ウイルス駆除後にLANに接続したとたん、再度感染するケースが相次いだからである。感染PCのあるLANセグメントの業務を一時停止し、最新のセキュリティパッチを一斉に適用することによって、やっと感染拡大の鎮圧に成功した。
 A社ではこの経験のあと、PC運用のポリシーを修正し、旧OSのPCはスタンドアロンでの利用のみを許可し、リムーバブルな外部記憶装置を接続しない条件で利用できるというルールを作った。ただしそれでもリスクは存在するため、ゆくゆくは旧OSでしか使えないアプリケーションを廃止、またはリプレースして、すべてのレガシーシステムを廃棄していく計画を立てている。

(ケースファイルはキーマンズネット編集部が作成)




1

レガシーシステムの3つのリスク

 ケースファイルの例からはセキュリティの課題がいくつも読み取れるはずだ。その中でもっともリスクの高いのが、ベンダサポート期間が過ぎてしまった旧OSのPCを利用していることである。
 昨年7月にベンダサポートが終了したWindows 2000を現行OSにバージョンアップできていない企業はまだまだ多い。Windows XPは14年4月、Widows Server2003/2003 R2は15年7月に延長サポートの終了を迎えることが予定されており、これらもバージョンアップが急がれる。ところがアプリケーションがOSのバージョンに強く縛られている場合は簡単にOSのバージョンだけを上げるわけにはいかない。周辺機器についても同様に、OSのバージョンが上がると使えなくなるケースがままある。ゆくゆくはバージョンアップするのは当然としても、少しでも現状のまま延命したいと思うのが企業の実情だろう。

1-1

OSに対するベンダサポート切れとは何か?

 まずはベンダサポートとは何を意味するのか整理しよう。マイクロソフトでは、同社製品について次のようなサポートを提供している。

表1 マイクロソフトの製品サポート
表1 マイクロソフトの製品サポート

 ビジネス用ソフトウェアの場合、製品発売後、最低5年間のメインストリームサポートと最低5年間の延長サポート (合計最低10年間) が提供されることになっている。また、修正・改善を施したサービスパックがたびたびリリースされるが、その1つ前にリリースされたサービスパックに対して24ヵ月間のサポートが提供される。図1にサポートライフサイクルの例を示す。

図1 マイクロソフトのサポートライフサイクル
図1 マイクロソフトのサポートライフサイクル
※RTMは初期版を指す

セキュリティ情報局にご登録頂いた方限定で「レガシーシステムの継続利用で背負うリスク」の続きがご覧いただけます。

「セキュリティ情報局」とは、週1回のメールとサイト上で、セキュリティの基礎知識や最新情報などの記事をご希望の方にのみご提供する登録制のサービスです。「セキュリティ登龍門50」では、実際に起こったセキュリティに関する被害例やその対策、統計データなどを紹介します。また「セキュリティWatchers」では、最新事情や海外の状況などを専門家がレポートします。


レガシーシステム/レガシーシステムの継続利用で背負うリスク」関連の情報を、チョイスしてお届けします

※キーマンズネット内の「レガシーシステム」関連情報をランダムに表示しています。

レガシーシステム」関連の製品

全銀TCP/IPアダプタ BroadZT 【ネットスプリング】 サポートが終了したOSを継続利用、延命利用中に必須のセキュリティ対策 【トレンドマイクロ】 純国産RPAソフト Robo-Pat(ロボパット) 【FCEプロセス&テクノロジー】
特定業種向けシステム 検疫 その他PCソフト関連
全銀ベーシック手順から全銀TCP/IP手順への移行、対外接続ネットワークのIP化を実現するレガシーシステム連携ソリューション。短期間での移行が可能。 サポートが終了したOSを継続利用、延命利用中に必須のセキュリティ対策 高度な画像認識にもとづく学習・実行で、システム、ソフトウェア、Webブラウザ、アプリなどの種類を問わず、業務の自動化が可能なRPA(Robotic Process Automation)製品。

レガシーシステム」関連の特集


“上場企業”を対象に2015年あるいは2016年に強制適用が始まる予定の「IFRS」。では、“中堅・…



■派遣社員のIDは使いまわしだ →Yes or No■やっぱりSOX法は気になる →Yes or N…



現在多くの製品で無償版が提供されている「サーバ仮想化ソフト」。有償版との使い分けはどうする?そのヒン…


レガシーシステム」関連のセミナー

ITモダナイゼーションで実践!最後のホストレガシーシステム刷新 【システムズ】 注目 

開催日 7月6日(金)   開催地 東京都   参加費 無料

モダナイゼーション プロバイダ システムズでは、レガシー化した既存システムをモダナイズ(近代化)するための、システム移行最新動向や適用事例などを、お客様の課題や…

JBCC IT モダナイゼーション・セミナー! 【主催:JBCC/協賛:日本アイ・ビー・エム】 締切間近 

開催日 6月22日(金)   開催地 愛知県   参加費 無料

国産メインフレームやオフコンといったレガシーシステムを現在ご利用のお客様を対象に、抱える課題とその解決策をご紹介させて頂きます。「運用コストの削減」、「将来性の…

「エンドポイントセキュリティ」関連 製品レポート一覧

このページの先頭へ

Myリストへ

この記事をtweetする このエントリーをはてなブックマークに追加


この記事に掲載している情報は、掲載日時点のものです。変更となる場合がございますのでご了承下さい。


ページ: 1 | 2


30003947


IT・IT製品TOP > エンドポイントセキュリティ > その他エンドポイントセキュリティ関連 > その他エンドポイントセキュリティ関連のIT特集 > 特集詳細

このページの先頭へ

キーマンズネットとは

ページトップへ