txt_h1.png

45%のサーバーが「移行計画未定」緊急の経営課題として取り組みを

Windows Server 2008/R2 の延長サポート終了を2020年1月14日に控えた現在、OS 移行の重要性を認識し、適切な対応を進めている企業はどれくらいあるだろうか?マイクロソフトが実施した最新のアンケート調査から国内企業の対応状況や認識を俯瞰し、企業の経営課題としてまず何から取り組むべきか見ていきたい。

延長サポート終了に対する国内企業の対応姿勢に警鐘

Windows Server 2008/R2 のサポート終了が2020年1月14日に迫っている現在、移行プロセス等を考え併せれば、もはや待ったなしの状況だと言える。Windows Server 2008 の移行計画に関して、マイクロソフトが2017年に実施した最新のアンケート調査によれば、有効回答297社で現在稼働している約24,804台の Windows Server 2008 のうち、約45%にあたる11,294台が「移行計画未定」とされている。さらに、約20%となる4,620台は「サポート終了後もそのまま継続利用される見込」、また「別のOSに移行しつつ併用」という回答も約5.4%の1,345台となっている。
すでに延長サポート終了まで2年を切った現在、移行計画がないサーバーがこれだけあることに改めて驚かされる。

サーバ台数_WS2008の移行計画

調査対象台数の約45%にあたる11.294台の Windows Server 2008 が、移行計画が未定だ。
(日本マイクロソフトが2017年に実施した最新の調査より。有効回答企業数297社)

「移行計画が未定」と回答した企業は、そもそも延長サポート終了期限を知らないのではないか?しかし、次のグラフを見ていただければわかるように、移行計画への対応が遅れている一方で、Windows Server 2008 の延長サポート終了自体については、回答者985人のうち約72%に相当する705人が「知っている」と答えているのである。

WindowsServer2008の延長サポート終了の認知度

延長サポート終了自体は7割近く認知されている。しかしその認知のレベルはどうか?

だが、サポート終了を知っていた人の内訳をみていくと、さらなるリスクが見えてくる。「正確な日付を把握している」ケースが36%あったものの、最も多かったのは「正確な日付は知らない」という回答で全体の41%を占めた。さらに23%は、終了日時を誤認していたことも判明した。
延長サポート終了について、「終わることは知っている」というレベルの漠然としたな認識では、具体的な移行計画に乗り出すのは困難だろう。

延長サポート終了を知っているユーザーの中で、日付を正しく認知しているユーザー

知ってはいるものの、具体的な日付は知らないという回答が41%。これでは計画すらままならない。

また、延長サポート終了に伴う対策に対して、多くの企業で情報システム部門とセキュリティ統括部門との間で、意識の温度差があることが浮き彫りになってきた。例えば、セキュリティ統括部門やCISSP( Certified Information Systems Security Professional:セキュリティプロフェッショナル認定資格制度)保持者などセキュリティの専門家は、経営リスク管理の一貫として Windows Server のリプレイスを求めているのに対して、情報システム部門は Windows Server 2008 を使い慣れた既存資産として「ある程度残していきたい」と考えることがある、などのギャップである。

ここに、企業内で情報セキュリティを統括する担当役員であるCISO( Chief Information Security Officer:最高情報セキュリティ責任者)を多くの企業が置いている米国との対応の違いが現れてくる。国内企業については「企業として今何をすべきか」という経営判断と、そこから行動に移すスピード感がかなり欠如していると考えざるを得ない状況だ。

“リスクの許容量”を見積もることから対策が始まる

この現状で必要とされる最初のアクションは何か?
まずビジネス規模に対する IT 投資の総額や、セキュリティに起因して万一の事態が生じた場合にどんなトラブルや損害賠償が想定され、それに対抗する自社の“リスクの許容量”がどの程度かを見積もることから始めたい。言い換えれば「今のシステムで何かあった場合にどれくらい耐えられるのか」という尺度だ。例えば「システムダウンしても3日間は耐えられる」という判断の場合と、「1秒のシステムダウンも許されない」という場合では、IT 投資の規模・コストも、また移行計画のデザインそのものも大きく変わる。

想定されるリスクに対し、企業のリスクの許容量がどれくらいあるか。その差分が対策範囲になる。リスクの許容量の見積もりは、過剰な対策を防ぎ、適正なIT投資に結びつく。

“リスクの許容量”を見積もるためには、CISO やセキュリティ統括部門の設置だけではなく、「自社の IT の状況がどうなっているのか、移行計画未定の Windows Server がどこに、何台あるのか」など、あらゆる情報がスムーズに集まるように、組織間の横の連携強化が必要だ。セキュリティ統括部門と情報システム部門はもちろん、PC などの調達を担う総務部門も含め、組織全体として課題共有と情報流通を図り、IT インフラの現状やセキュリティ対策状況のレポートが必要な時に迅速に作成できる状態にしておかなければならない。

情報システム部門にありがちなのが、とかく“個人情報”というワードに敏感に反応しがちなことだ。しかし、個人情報が漏えいするような事態においては、“個人情報以外のあらゆる情報”も根こそぎ持っていかれると考えるべきだ。その際、必要なインシデント・レポートの作成に1カ月もかかっていたら、経営に与える影響は深刻なものとなる。“リスクの許容量”の見積もりは同時に、組織全体としてのセキュリティへの取り組み方を見直すことに繋がる。

セキュリティの自動化を図り人に起因するリスクを排除

セキュリティを脅かすものはマルウェアなどの外的要因だけではないことも認識しておく必要がある。例えば、操作ミスや誤送信など悪意のないヒューマン・エラーから、不正なデータ持ち出しなど故意のものまで、企業のセキュリティ被害の中でも属人的な要素が最も大きな部分を占めている。
ここでキーワードとなるのは“セキュリティの自動化”だ。日々の IT インフラ状況の監視や、レポートの作成など、可能な部分は自動化しておくことで、人に起因するセキュリティリスクを極力排除することができる。
米国企業では、リスク分散という経営的観点からクラウド環境を活用することが常識となりつつある。例えば Microsoft Azureや、Microsoft 365に代表されるオフィスアプリケーションはクラウドで管理運用されており、マイクロソフトが4,000人規模の専任スタッフを配備してそれらを日々守っている。従って、万一の際にも原因の切り分けやログデータなどの資料の提出、トラブル要因の排除や復旧などのサービス等を、マイクロソフトから受けることができる。これも一つのセキュリティの自動化と言えるだろう。

セキュリティの自動化には様々なアプローチがある。最新 Windows Server へのリプレイスもその一つだ。

最新の Windows Server 2016 ももちろん、クラウド上で利用が可能だ。また、Windows Server 2016 には未知の脅威にもリアルタイムに対応するテクノロジーが搭載されている(詳細はISGコラム参照)。その意味でも、最新の IT インフラへの早期移行は有効な対策となる。
本シリーズ第1回で提示したように、元号変更や消費税アップなど、2020年1月の延長サポート終了までには、ビジネスに少なからぬ影響を与える社会イベントが目白押しだ。そして、世界からの注目が集まる東京五輪開催に向けて、企業 IT インフラのセキュリティ強化は、不可避の課題である。Windows Server 2008/R2 の延長サポート終了に向けた適切な対応策を、早急に講じる必要があるだろう。

企業ITインフラのマイグレーションカレンダー

ここで改めて2020年の延長サポート終了までのマイグレーションカレンダーを掲載しておきたい。“リスクの許容量”の見積もりは、あなたの企業はいつ始めればいいだろうか?

Windows Server 2016 の最新情報はこちら
https://www.microsoft.com/ja-jp/cloud-platform/windows-server
Windows Server 2008 移行ポータルはこちら
http://aka.ms/ws08mig/