レガシーシステムの継続利用で背負うリスク

この記事をtweetする このエントリーをはてなブックマークに追加

また失敗したの?と言われる前に セキュリティ登龍門50

レガシーシステムの継続利用で背負うリスク

2011/03/01


 セキュリティパッチが公開されないようになったサポート切れOSを使い続けていくのは企業システムを危機に陥れる可能性が高い。しかし、その上に構築されたアプリケーションの新しいOSへの移行は、動作保証や移植工数を含め、大きな課題であり、少しでも長く現行のレガシーシステム(OSおよびアプリケーション)を使い続け、その間に新システムへの移行を図りたいと考える企業も多いはずだ。今回は、サポート切れOSを利用したシステムを今後どのように延命しながら、緩やかに切り替えていけばよいのか、セキュリティ面から考えてみよう。第1回の今回は、旧OSのPCが業務部門内に存在することによって引き起こされる大規模ウイルス感染のケースをカギに、レガシーシステムの危険性について見ていこう。

レガシーシステム

#026

旧OSのPCがウイルス感染、全社のPCへアウトブレイク!

 「PCが繰り返し落ちる」、「Webやメールが重くて使えない」──ある日突然、業務部門からたくさんの苦情がA社の情報システム部門に寄せられた。さっそく業務部門に出向いて症状を確認したところ、PCは動作が不安定になり再起動を繰り返し、LANのレスポンスが異常に遅くなっていた。
 もちろん疑われるのはウイルス感染だ。アンチウイルスツールが動作するPCを選び、ウイルスチェックを行ってみると、出てきたのは「DOWNAD」や「Conficker」と呼ばれる種類のウイルスだった。「しかし…」とシステム部門の担当者は首を傾げた。このタイプのウイルスは以前に一度社内で感染が確認され、駆除と復旧を行ったことがあったからだ。しばらくの間、同じタイプのウイルスへの感染は確認されなかったので、担当者は安心していたのだ。
 ところが現実にはウイルス感染が発生していた。しかも、前回とは規模が違い、当該業務部門のLANセグメントの内部はもちろんのこと、セグメントの違う他部門でも同じ症状が観測されていた。
 じつは、同社の対策には大きな穴があった。普段は利用していない古いOSのPCが各部署に少しずつではあるが存在し、ときどきはLANに接続して利用されていたのだ。OSのサポートが終了しているそのPCのセキュリティパッチ適用やウイルスパターンファイルの更新はサポート終了以前の状態でとどまっており、最近出現したウイルスにはまったく耐性をもっていなかった。
 調査の結果、どうやら感染拡大は古いOSのPCから始まったと推測された。そのPCには、USBメモリからの感染を示す形跡が残っていた。ウイルス感染したUSBメモリが、対策のなされていない古いOSのPCに接続されて最初の感染が起きた。
 このウイルスについては新しいOSのPCでは対策済みだったが、ウイルスには外部のWebサイトから別種のウイルスをダウンロードする機能が備わっていた。この機能によって古いOSのPCにダウンロードされたウイルスは、新しいOSの脆弱性を狙って感染を拡大する仕組みを持っていた。その脆弱性に対するパッチはリリースされていたものの、A社ではまだ全部の対象PCに適用しきれていなかった。アンチウイルスツールでウイルス検出が可能ではあったが、ウイルススキャンによって発見・駆除する以前に感染し、発症しているPCが多数あった。こうして新しいOSのPCに感染が拡大していったのだった。
 A社はその後、完全な復旧までに数週間を要した。ウイルス駆除後にLANに接続したとたん、再度感染するケースが相次いだからである。感染PCのあるLANセグメントの業務を一時停止し、最新のセキュリティパッチを一斉に適用することによって、やっと感染拡大の鎮圧に成功した。
 A社ではこの経験のあと、PC運用のポリシーを修正し、旧OSのPCはスタンドアロンでの利用のみを許可し、リムーバブルな外部記憶装置を接続しない条件で利用できるというルールを作った。ただしそれでもリスクは存在するため、ゆくゆくは旧OSでしか使えないアプリケーションを廃止、またはリプレースして、すべてのレガシーシステムを廃棄していく計画を立てている。

(ケースファイルはキーマンズネット編集部が作成)




1

レガシーシステムの3つのリスク

 ケースファイルの例からはセキュリティの課題がいくつも読み取れるはずだ。その中でもっともリスクの高いのが、ベンダサポート期間が過ぎてしまった旧OSのPCを利用していることである。
 昨年7月にベンダサポートが終了したWindows 2000を現行OSにバージョンアップできていない企業はまだまだ多い。Windows XPは14年4月、Widows Server2003/2003 R2は15年7月に延長サポートの終了を迎えることが予定されており、これらもバージョンアップが急がれる。ところがアプリケーションがOSのバージョンに強く縛られている場合は簡単にOSのバージョンだけを上げるわけにはいかない。周辺機器についても同様に、OSのバージョンが上がると使えなくなるケースがままある。ゆくゆくはバージョンアップするのは当然としても、少しでも現状のまま延命したいと思うのが企業の実情だろう。

1-1

OSに対するベンダサポート切れとは何か?

 まずはベンダサポートとは何を意味するのか整理しよう。マイクロソフトでは、同社製品について次のようなサポートを提供している。

表1 マイクロソフトの製品サポート
表1 マイクロソフトの製品サポート

 ビジネス用ソフトウェアの場合、製品発売後、最低5年間のメインストリームサポートと最低5年間の延長サポート (合計最低10年間) が提供されることになっている。また、修正・改善を施したサービスパックがたびたびリリースされるが、その1つ前にリリースされたサービスパックに対して24ヵ月間のサポートが提供される。図1にサポートライフサイクルの例を示す。

図1 マイクロソフトのサポートライフサイクル
図1 マイクロソフトのサポートライフサイクル
※RTMは初期版を指す

セキュリティ情報局にご登録頂いた方限定で「レガシーシステムの継続利用で背負うリスク」の続きがご覧いただけます。

「セキュリティ情報局」とは、週1回のメールとサイト上で、セキュリティの基礎知識や最新情報などの記事をご希望の方にのみご提供する登録制のサービスです。「セキュリティ登龍門50」では、実際に起こったセキュリティに関する被害例やその対策、統計データなどを紹介します。また「セキュリティWatchers」では、最新事情や海外の状況などを専門家がレポートします。


レガシーシステム/レガシーシステムの継続利用で背負うリスク」関連の情報を、チョイスしてお届けします

※キーマンズネット内の「レガシーシステム」関連情報をランダムに表示しています。

レガシーシステム」関連の製品

Pandora-AX 【 NTTデータビジネスブレインズ】 トヨタ式でプロセス改善、物流管理を加速する情報システム刷新 【インフォアジャパン】 メインフレームマイグレーションサービス 【NDIソリューションズ】
電子帳票システム ERP その他開発関連
e-文書法・電子帳簿保存法をオールインワンサポート。スキャナ保存や帳簿・書類の長期保存に対応。高いセキュリティ性能とずばぬけた検索機能が特長の電子帳票システム。 情報システムが変える物流管理――現場の声が生かせる手法とは 既存の業務プログラムを低コスト運用が可能なIBM i 環境に移行するサービス。現有プログラム資産の有効活用を支援しつつ、レガシーシステムへ先進の機能を付加できる。

レガシーシステム」関連の特集


 前回紹介した通り、レガシーシステムは脆弱性が見つかってもベンダからパッチが公開されず、攻撃の対象と…



レガシーシステムの利用に関する統計情報をご紹介。Windows2000の移行予定に関する調査で意外な…



システム全体の運用のあり方を見据えたうえで導入を検討すべきサーバ仮想化。ここでは仮想化導入後に気にな…


「エンドポイントセキュリティ」関連 製品レポート一覧

このページの先頭へ

Myリストへ 印刷用ページへ

この記事をtweetする このエントリーをはてなブックマークに追加


この記事に掲載している情報は、掲載日時点のものです。変更となる場合がございますのでご了承下さい。


ページ: 1 | 2


30003947


IT・IT製品TOP > エンドポイントセキュリティ > その他エンドポイントセキュリティ関連 > その他エンドポイントセキュリティ関連のIT特集 > 特集詳細

このページの先頭へ

キーマンズネットとは

ページトップへ