Windows Server 2008サバイバル術-サポート終了後も延命する方法 2選-

多くの企業で活用されてきたWindows Server 2008/2008 R2の延長サポートが、2020年1月14日に終了します。
延長サポート終了(End of Support、以下EOS)による影響で最も大きいとされるのが、セキュリティ更新プログラムの提供停止です。脆弱性対策がされなくなるため、さまざまなサイバー攻撃の被害に遭う確率が増大し、場合によっては多額の損害を負うこともあります。そこで今回は、EOS後もWindows Server 2008を延命させて、安全に使うための2つの対策を紹介していきます。
2020年1月EOS時点での予測稼働台数は約10万台
通常、マイクロソフト社では製品のメンテナンス期間を販売開始から5年、延長サポートで5年の計10年としています。ただし、Windows Server 2008は多くの企業が導入したという経緯もあり、販売開始から12年経った2019年においても、メンテナンス期間が継続されていました。しかし、それも2020年1月14日に完全に終了します。
Windows Server 2008の稼働台数は、2019年6月の段階で32万台強とされ、EOSの時点では20万台以上減少し、約10万台になると予測されています。しかし、この約10万台という数字は、海外市場と比べると突出して多いものです。現状のままでは、多くの日本企業が深刻なリスクを抱えることになります。
サポート終了後もWindows Server 2008を使い続けることのリスク
製品を提供する企業が行うサポートはいくつかの種類がありますが、マイクロソフト社の場合は主に次に挙げる4つの製品改良活動をサポートと定義しています。
- 1.機能のアドオン
- 2.性能の改善
- 3.設定の変更
- 4.不具合の解消
このサポートのなかで、とくに企業にとって重要なのが、製品のセキュリティ上の欠陥である脆弱性の対応を含む「不具合の解消」です。この不具合のなかにはサイバー攻撃によって深刻な被害につながる性質のものもあり、サポートが終了すれば脆弱性がそのまま残ってしまうことになります。
脆弱性が残ったままの状態では、当然ながら攻撃者に狙われる確率は増大します。実際、2017年に深刻な被害を引き起こした「WannaCry」は、当時すでにサポートが終了していたWindows XPやWindows Server 2003の脆弱性を悪用して拡大しました。
また、サイバー攻撃が巧妙化・高度化する現代においては、現状に即した最新のセキュリティ対策技術を使って防御することがとても重要です。たとえば、Windows Server 2016/2019には「Just in Time(JIT)/Just Enough Administration(JEA)」や「Credential Guard/Remote Credential Guard」といったサイバー攻撃による被害を最小限に抑えるための機能が搭載されています。サイバー攻撃を前提としたこれらの技術は、旧式の製品に実装することができません。そのため、Windows Server 2008などの古い製品は時代に取り残され、さらなる危険にさらされてしまうのです。
一度、サイバー攻撃の被害に遭えば、企業は経済的損失に加え、機密情報の漏えいなどを引き起こして社会的信用をも失うことになります。
サポート終了後もWindows Server 2008を使い続けるための2つの対策
リスクを抱えるWindows Server 2008を今すぐリプレース/バージョンアップできればよいのですが、企業によってはそれが難しいケースもあります。たとえば、次のような場合です。
- 業務で使用しているアプリケーションがWindows Server 2008にしか対応していない
- 人的リソース不足、コスト不足などでリプレースができない
- EOSまで時間がなく、対応が間に合わない
- 移設先のスペースや、移設用のサーバーがない
- 稼働中のシステムが老朽化していて、仕様がわからない/担当者が不在
このような事情があり、すぐにWindows Server 2008をリプレース/バージョンアップできない場合、どのような対策が必要となるのでしょうか。今回は、Windows Server 2008を延命させるための、おすすめの対策2つをご紹介します。
1. マイクロソフトのクラウドプラットフォーム「Microsoft Azure(以下Azure)」にワークロードを移行する
同じマイクロソフト社のクラウドプラットフォーム「Azure」にワークロードを移行すると、3年間無償でセキュリティ更新プログラムの提供を受けることができます。期限付きではありますが、この猶予期間に移行や資金調達などを検討することが可能になります。詳しい移行方法は下記URLをご参照ください。
http://ict-miraiz-202110.azurewebsites.net/column/eos/2480/
2. Deep Security IT Protection Service(DS-IPS)を活用する
もう1つの対策は、Trend Micro Deep Security™ (以下Deep Security)を使用することです。これによりMicrosoftに代わり脆弱性に対して自動的に「仮想パッチ」を適用し、攻撃者の侵入を防ぐことが可能になります。
トレンドマイクロ社のDeep Securityは、仮想パッチを提供するIPS/IDS機能の他、不正プログラム対策、Webレピュテーション、変更監視、アプリケーションコントロール、ファイアウォール、セキュリティログ監視とサーバー保護に必要な7つの機能をオールインワンで提供する製品です。
トレンドマイクロ株式会社のパートナーであるシーイーシーでは、Deep SecurityのSaaS型サービス「Deep Security IT Protection Service(DS-IPS)」を提供しています。
DS-IPSを利用するメリットのひとつは、月額使用料金3万円~/1台(ライセンス)と比較的安価にな点です。必要な期間、必要な台数で導入でき、無駄なコストを省けます。また、自社にてDeep Securityを構築する場合は管理サーバーの構築が必要となりますが、企業はDS-IPSを利用することで、エージェントを導入するだけでDeep Securityによる対策が可能になります。
サポート終了まで秒読み段階となった今からでも、スピーディーに導入が可能です。
まとめ
ソフトウェア製品の脆弱性を狙ったサイバー攻撃が増加している今、サポートが終了してしまった製品を使い続けることは、企業にとってデメリットしか生みません。しかし、さまざまな事情で今すぐには最新の製品に移行できないケースも少なくないでしょう。そうした際には今回ご紹介した対策を行うことで、リスク軽減が可能になります。
とくに無駄なコストを抑えて導入できるDeep Securityは、セキュリティ対策に大きな予算を取れない企業にもおすすめです。Windows Server 2008/2008 R2の延命対策として、「Deep Security IT Protection Service(DS-IPS)」を検討されてはいかがでしょうか。
関連サービス情報
トータルセキュリティソリューション
Deep SecurityのSaaS型サービス「Deep Security IT Protection Service」