ITpro Special
週間WEEKLY ITpro Special ITpro

リスク増、サポート切れサーバーの落とし穴

「Windows Server 2003」と「Windows Server 2003 R2」のサポートが今年7月に終了し、来年4月には「SQL Server 2005」のサポートも終了予定となっている。多くの企業は新しいIT環境への移行をすませているが、サポートが終了した旧製品を使い続けているケースも散見される。それはセキュリティー上、かなり危険な状態である。しかも、2016年1月にはマイナンバー制度が始まる。企業に求められる情報保護の責任は一段と高まる。これを機に、新しいサーバー環境への移行を検討する必要があるだろう。

「Windows Server 2003」と「SQL Server 2005」のサポート終了

 2015年7月、「Windows Server 2003」および「Windows Server 2003 R2」の延長サポートが終了した。続いて2016年4月には「SQL Server 2005」の延長サポートが終了する予定だ。こうした状況を踏まえて、すでに新しいサーバー環境に移行ずみという企業は多い。ただ、費用などの面から二の足を踏むケースも少なくないようだ。

 しかし、そこには大きな落とし穴がある。多くのハードウェアでは、時間の経過とともに故障率がバスタブのような曲線を描く。新製品が登場してからの初期故障期が過ぎると、さまざまな改善施策などにより故障率は低位安定するが、ある時期から急上昇する。

 サーバーも同様だ。Windows Server 2003やSQL Server 2005が搭載されているサーバーの多くは5年以上使われている。サーバー内部には目に見えないホコリがたまり、何度も読み書きを繰り返したメモリーはエラーを起こしやすくなる。サーバーがダウンすれば、その上で動いているさまざまな業務が止まる。それがECのシステムだったとしたら、その間の売り上げは立たなくなるだろう。

 業務の停止以上に深刻な問題を招きかねないのが、セキュリティーのリスクである。サポートが終了すると、脆弱性に対処するためのセキュリティーパッチが提供されなくなる。その上、サイバー攻撃を行う側に新たな脆弱性を発見されるリスクが高まる。

 というのは、Windows Server 2003と後継OSに共通する脆弱性が多く存在するからだ。後継OSではサポート期間が継続しているので、マイクロソフトから脆弱性を防ぐパッチが提供される。これにより、新たな脆弱性が特定されやすくなる。サポート切れのOSやデータベース製品を利用している企業にとっては極めて危険な状態である。

 もし自社のサーバー環境への不正侵入などが起きれば、取引情報や個人情報の漏えいにつながりかねないことに加え、取引先への攻撃の踏み台にされる可能性もある。攻撃者が自社を経由して取引先の重要情報を窃取するといった事態になれば、自社は加害者としての立場に立たされるかもしれない。取引関係にも重大な影響を及ぼすだろう。

 加えて、2016年1月にはマイナンバー制度が本格的にスタートする。次ページ以降では、ビジネスの変化に対応しつつ、セキュリティーリスクを抑えるサーバー移行のあり方について考えてみたい。

(図1)故障率は増し、セキュリティーリスクも高まる
[画像のクリックで拡大表示]