ITpro Special
週間WEEKLY ITpro Special ITpro

IPA(独立行政法人情報処理推進機構)が語る サポート終了OS継続使用の重大なリスク

Special Interview

IPA(独立行政法人情報処理推進機構)が語る
サポート終了OS継続使用の重大なリスク

サポートが切れたサーバーOSを使い続けることは、企業にとって重大なリスクであり、取り返しのつかない事態を招きかねない――。2015年7月15日に迫ったWindows Server 2003のサポート終了に向けて、IPA(独立行政法人情報処理推進機構)は、このような警告を発している。最善の対策としてIPAが勧めるのはサポートが有効な環境に乗り換えること。Windows Server 2003でWebページの公開やサービスを提供している企業には責任ある対応が求められている。

サポート切れでパッチ供給も停止 セキュリティ事故の確率が高まる

渡辺 貴仁 氏
IPA(独立行政法人情報処理推進機構)
技術本部
セキュリティセンター
情報セキュリティ技術ラボラトリー
主任研究員

 以前からアナウンスされていたように、マイクロソフトはWindows Server 2003に対するサポートを2015年7月15日で終了する。

 ただ、Windows Server 2003がいきなりストップするわけではないし、使用する権利がこの日を限りに消滅してしまうわけでもない。そこで、「現状のままで使い続けるぶんにはかまわないのではないか」と甘く考えている企業も一部にはあるようだ。しかし、サポートが終了したOSを使い続けることはきわめてリスキーな行為だ。最悪の場合、企業の存続が難しくなるほどのダメージを負う可能性があることは心得ておく必要がある。

 というのも、マイクロソフトによるサポートが終了すると、セキュリティ更新プログラム(いわゆるパッチ)も提供されなくなってしまう。販売開始から10年超の“枯れた”サーバーOSでも脆弱性が見つかる可能性があるので、そのまま使い続けると重大なセキュリティ事故を起こしかねないのである。

 その証拠もある。IPAの調査によれば、2014年上半期(1月~6月)に発見されたWindows Server 2003の脆弱性は9件あり、そのうち6件はレベル3の「危険」に分類されるものだった。また9件のうち2件はセキュリティ更新プログラムが提供される前に攻撃が始まる「ゼロデイ攻撃」に悪用される脆弱性だったという。

2014年上半期の半年間で発見されたWindows Server 2003の脆弱性とその深刻度
[画像のクリックで拡大表示]

 「2015年7月の時点でも脆弱性が発見される確率はあまり変わらないはずです。パッチを入手できないので防御不能になり、事故の発生確率はぐんと高まります」と語るのは、IPAの渡辺貴仁氏である。想定される事故の具体例として「情報が外部に漏れる」「ホームページが改ざんされる」「ウイルス配布の踏み台にされる」などを挙げる。

脆弱性を解消しないまま利用することで発生する脅威
[画像のクリックで拡大表示]

 また注意しなければならないのは、内部サーバーだ。外部に接続していないからといって安心はできない。組織の重要な情報を狙う攻撃はまず、ウイルス付の添付ファイルを電子メールで送りつけ、開封させることにより、組織内のPCをウイルスに感染させる。そしてPCに感染したウイルスは外部の攻撃者から指示を受け、内部のネットワークを監視しサーバー構成などを調べ、脆弱性の存在するサーバーを探り出し、標的とする。このように組織内のネットワークに脆弱性を解消していないサーバーが存在していると、直接外部から攻撃されなくても「情報漏えい」「データ消去」「システム破壊」などの脅威にさらされる可能性が残るということだ。

最善の対策は最新環境への移行 現状調査してから検討・実施へ

 では、現在Windows Server 2003を使用中の企業はどのような対策を取ればよいのか――。

 ベストな対策として、渡辺氏は「サポートが継続されているサーバー環境に乗り換える」ことを勧める。最も簡単なのは同一メーカーの最新サーバーに買い替えることだが、OSだけのアップグレードやクラウドサービスへの移行など、取りうる対策はさまざまだ。「どれを選ぶかは、利用者の判断に任されています」と渡辺氏は言う。

 対策の内容だけでなく、プロセスも重要である。「最初に、どのようなサーバーが企業や組織にあるかを把握し、その結果に基づいて対策を検討してください」と渡辺氏は語る。実際の企業では、何代も前のシステム管理者が設置したサーバーが放置されていたり、各部署が自分の予算で勝手にサーバーを購入していたりするケースが珍しくないからだ。

 対策の検討を開始してから最新サーバーOSが稼働可能となるまでに要する期間は、サーバーの用途・役割・利用状況によって異なる。OSの入れ替えにとどまらず、ミドルウェアのアップグレードやアプリケーションの改修が必要になることも多いので、余裕はたっぷり取っておきたいもの。サポート終了まで1年を切った今は、すでに“待ったなし”の状況にあると考えるべきだろう。

Webページやサービスの提供者には責任ある対応が求められている

 脆弱性に関する諸情報を収集して企業・個人に対策を促すとともに、効果的な対策について知ってもらうための情報を広く提供する――。そのための専門組織として位置付けられているIPAセキュリティセンターは、さまざまな経路を通じて広報活動を実施している。

 例えば、7月初めに日本マイクロソフトがWindows Server 2003サポート終了に関する記者説明会を開いた際も、セキュリティに対するIPAの考え方を渡辺氏が報道関係者に説明。その他のセミナーや講演会に招かれた際も、プレゼンテーションの最後のスライドでWindows Server 2003のサポート終了に関して注意喚起しているという。

 「Webページを公開し、サービスを提供する企業や組織は、責任を持った対応を取ることが望まれます。十分なセキュリティ対策を講じなければなりません」と渡辺氏は語る。