Windows Server 2003を取り巻くセキュリティリスク

この記事をtweetする このエントリーをはてなブックマークに追加

アナタの知識が会社を救う! セキュリティ強化塾

Windows Server 2003を取り巻くセキュリティリスク

2014/06/17


 Windows XPのサポート終了への対応がやっと済み、一息ついたのもつかの間、今度はWindows Server 2003のサポート切れが来年7月15日にやってくる。クライアントPCに比べて台数は少なくてもアプリケーションの重要性が比較にならないのがサーバーだ。既存アプリケーションの動作検証や改修、パッケージのアップグレードなどの手間を考えると、もはや待ったなし。一部のシステムはもはや移行計画スタートのデッドラインを過ぎてしまったかもしれない。それでも否応なくやってくるサポート終了に向け、セキュリティ面でどう配慮すればよいのかを今回は考えてみよう。

Windows Server 2003

移行計画の遅れにより一部サーバーを「延命」利用するリスク

 クライアントOSのWindows XPとともに10年以上にわたり企業システムを支えてきたサーバーOSがWindows Server 2003(以下単に「2003」と表記)。広く普及してかなり以前から「レガシーOS」の呼び名も得ていたこのOSは、昨年の調査会社(IDC)の調査でも企業の68.3%が利用している「なかなか捨てられない」OSだ。しかし来年7月のサポート終了後はマイクロソフトから脆弱性修正パッチが提供されなくなり、その期限を越えて使用を続けるには大きな危険が伴うことになる。

◯いまだに発見され続ける「2003」の脆弱性
 古いOSだから脆弱性への攻撃も少ないのではないか?あるいは脆弱性は年月とともに改修されているので危険が少なくなっているのではないか?……そう考えるのは大きな間違いだ。新しく発見される脆弱性は、新旧の複数バージョンのOSに存在する場合が多いのだ。「2003」の脆弱性修正パッチは、2012年4月〜2013年3月までの1年間に39個(ひと月に3.3個。マイクロソフト資料による)という数だ。この大部分はWindows Server 2008(R2を含め「2008」と表記)や同2012(R2を含め「2012」と表記)と共通している。
 発売後10年以上を経てもなおこの状態であることから、今後も新たに脆弱性が発見され続けていくことは容易に想像できる。「2008」や「2012」の脆弱性に対する攻撃も、「2003」に影響する可能性も高い。修正パッチが提供されなくなった「2003」は攻撃にひとたまりもなく撃沈させられることが目に見えている。

◯OS移行の準備期間はもう過ぎている

 修正パッチが提供されなくなったOSは、その時点で寿命が来ると考えるべきだ。その前にサーバーOSを新パージョンにリプレースする必要がある。ところが、企業システムのOS移行には、利用しているアプリケーションの動作検証が不可欠で、多くの場合、自社構築のアプリケーションなら一部改修、パッケージ製品ならバージョンアップ、カスタマイズしたパッケージ製品ならバージョンアップとカスタマイズ部分の改修の両方が必要になる。それに要する時間は対象となるシステムの数と複雑さによるが、一般的には1年半程度は確保しておくべきと言われている。来年7月までに移行を間に合わせるためのおよそのスケジュールは図1に見るようなものになり、本当ならこの記事掲載時点では「構築・導入」作業の最中でなければならないはずだ。これまで何も手をつけていなかった場合はすでに半年以上の遅れが生じていることになる。今すぐ、大急ぎで対応を図らなくてはならない状況だ。

図1 Windowsサーバー各製品のサポート期間
図1 Windowsサーバー各製品のサポート期間
Windows Server 2003/2003R2の移行プロジェクトのスケジュール例
(上:大塚商会公表資料、下:マイクロソフト公表資料)

 そうは言っても、投資できる金額は限られ、IT要員は常に不足気味、できるだけコストも時間も手間もかけずに、リスクは可能なだけ抑制したい。いったいどんな移行方法が適切なのだろうか。


1

移行は何のため?

1-1

物理サーバー“乱立時代”の旗手だった「2003」が残存する理由

 Windows Server 2003が登場した2003年から数年間は、リーマンショック前のIT投資が比較的盛んな時期にあたり、部門予算で必要に応じてサーバーが導入され、「サーバー乱立」が運用管理の課題になっていた頃だ。仮想化技術は黎明期といってよく、物理サーバーを1台1システムで運用するもの、というのが当時の常識。その後、Windows Server 2008が登場して一部の「2003」マシンはOSをリプレースしたものの、経済状況の悪化によりIT投資は削減されることになり、多くの業務部門管理のサーバーについてリプレース時期を逸した企業も多いのではないだろうか。
 また、自社開発アプリケーションが簡単には新OS環境に移行できない事情もあるだろう。特に当時のVB環境で開発されたプログラムをうまく移行できる開発環境がなく、やむを得ず手をつけていない場合も多いと思われる。開発環境の違いだけなら、まだ工数さえかければ改修の望みもあるが、アプリケーション作成者が退職するなどして開発の経緯がわからなくなり、ドキュメントも完全には残っていないという場合には、新しい開発環境での再構築を考えざるを得ないことにもなりそうだ。
 さらに、古くとも利用に不便を感じていないサーバーでは、無理にリプレースする理由がなかった。例えば、ディレクトリサーバー、DNSサーバー、DHCPサーバーなどのインフラ系のサーバーは、機能・性能上の問題が発生しない限りコストをかけてリプレースする必要は感じられない。またファイルサーバーなども容量や性能に問題がなく、利用法も従来どおりのままでよければ、あえて入れ替える必然性がない。部門サーバーで1年に数度のデータ集計に使うだけといった、利用頻度の少ないサーバーも同様だ。

セキュリティ情報局にご登録頂いた方限定で「Windows Server 2003を取り巻くセキュリティリスク」の続きがご覧いただけます。

「セキュリティ情報局」とは、週1回のメールとサイト上で、セキュリティの基礎知識や最新情報などの記事をご希望の方にのみご提供する登録制のサービスです。「セキュリティ登龍門50」では、実際に起こったセキュリティに関する被害例やその対策、統計データなどを紹介します。また「セキュリティWatchers」では、最新事情や海外の状況などを専門家がレポートします。


関連キーワード

◆関連記事を探す

Windows Server 2003/Windows Server 2003を取り巻くセキュリティリスク」関連の情報を、チョイスしてお届けします

※キーマンズネット内の「Windows Server 2003」関連情報をランダムに表示しています。

Windows Server 2003」関連の製品

Kaspersky Endpoint Security for Businessシリーズ 【カスペルスキー】 Windows/Linux 向け暗号化ソリューション SecureDB for SME 【セキュア・ディー・ビー・ジャパン】 FlexNet Manager Suite for Enterprises 【フレクセラ・ソフトウェア】
アンチウイルス 暗号化 IT資産管理
PC、モバイル、サーバーなどのエンドポイントを幅広く保護し、アプリケーション、デバイス、Web使用を適切に制限するコントロール機能で強固なセキュリティ環境を実現。 DBからの情報漏えい対策に特化した暗号化ソリューション。導入時、DBやアプリケーションの変更が不要。稼働時にパフォーマンスに影響をほとんど与えない。 資産活用の最大化、コストの最小化、ライセンスコンプライアンスの遵守を実現できる企業向けソフトウェアライセンス管理・最適化ソリューション。

Windows Server 2003」関連の特集


量販店で売れている人気製品はどれ?今月はセキュリティソフトの売れ筋を調査!



PCの操作履歴を取得できる「PCログ監視ツール」。情報漏洩対策として導入した企業も多いとか…。Web…



バックアップやデータベース、様々な用途で活躍するSAN。エンジニア要らずで運用可能な製品も取り上げ、…


「サーバー」関連 製品レポート一覧

このページの先頭へ

Myリストへ 印刷用ページへ

この記事をtweetする このエントリーをはてなブックマークに追加


この記事に掲載している情報は、掲載日時点のものです。変更となる場合がございますのでご了承下さい。


ページ: 1 | 2 | 3


30006982


IT・IT製品TOP > サーバー > Windows > WindowsのIT特集 > 特集詳細

このページの先頭へ

キーマンズネットとは

ページトップへ