2014年にサポートが終了した Microsoft Windows XP に続き、2015年7月14日、もう 1つのオペレーティングシステム(OS)もサポートが終了します。2003年4月の発売開始から長期間に渡って広く使用されてきた Windows Server 2003 は、現在もユーザ数が 260万から1100万人と推測されています。
今回のサポート終了により、さまざまな問題が新たに生じることになります。Windows XP と異なり、Windows Server 2003 はサーバの OS です。Windows XP は家庭用PC や社員の個人用PC として使用されますが、サーバで使用される Windows Server 2003 は企業に奥深く侵入する攻撃の経路となります。Windows Server 2003 は、ディレクトリサーバやファイルサーバ、DNSサーバ、メールサーバといった、企業の核となる機能を実行するために幅広く利用されており、また、重要な業務アプリケーションソフトを実行したり、Windows のディレクトリサービス「Active Directory」やファイル共有、社内用Webサイトの設置といった社内サービスを支援するために使用されています。
サポートが終了すると、Windows Server 2003 を最新の状態に保つ仕組みがなくなります。これは、セキュリティ問題を回避するために重要なものです。一般的に、セキュリティ問題は、以下に挙げる OS への定期的なサポートによって解消されます。
- 脆弱性を利用した攻撃から保護するための更新プログラム
- 製品に関連するほぼすべて問題に対する定期的なサポート
- セキュリティに関連しない一般的な不具合を修正する更新プログラム
■サポート終了後のセキュリティ問題を理解する
OS のサポート終了後、特に Windows Server 2003 のサポート終了後は、企業の IT部門に多大な労力が課せられることになります。更新プログラムが新たに公開されない OS、整合性の問題、不正プログラムに対するセキュリティ対策、セキュリティに関連しない通常の不具合などに対処するための準備を企業は行う必要があります。セキュリティ問題を解決する更新プログラムや脆弱性に関するセキュリティ情報を受け取ることはありません。また、サーバに影響を与える脆弱がいつあるかもわからないのです。
Windows Server 2003 は、発売開始当時は、Windows Server 2000 よりはるかに安全だとうたわれた後継バージョンでした。しかし、時が経つにつれ、Windows Server 2003 にも独自の脆弱性を抱えることが明らかになってきました。「共通脆弱性識別子(Common Vulnerabilities and Exposures、CVE)」の無料データベース「CVE Details」によると、Windows Server 2003 を使用している企業は 403 の脆弱性に直面しており、その 27% が遠隔からコード実行に利用される脆弱性であるとしています。こうした脆弱性を利用した攻撃の危険を監視し、評価するための通知がなければ、企業はサーバのセキュリティに大きな穴を開けたままになってしまうかもしれません。
この危険性をもっとよく理解するために、2010年7月13日にサポートが終了した Windows Server 2000 に同様の状況で何が起きたかを見てみましょう。サポート終了以降、Windows の OS にいくつかの脆弱性が報告されました。Windows Server 2000 に影響を与えたのは何件あったのでしょうか。例えば、脆弱性「MS10-061」は Windows Server 2000 に影響を与えましたが、この OS への更新プログラムがなかったことに注目すべきでしょう。
残念ながら、Windows Server 2003 でも同様の状況に直面するかもしれません。2015年7月14日以降、新しい脆弱性について通知されることもなく、サーバを保護するためのセキュリティ情報や更新プログラムも提供されなくなります。しかし、手遅れになる前に、サポートが終了した OS を安全に保つ対策を取ることは可能です。慎重に計画を進め、十分なリスク評価を行うには、今が最適な時期です。
■システム管理者がすべきこと
最新の OS に移行することは、間違いなく望ましい選択です。しかし、適切な時期に移行するのに多くの障害を抱えている企業も多いかもしれません。例えば、予算の制限や、専門知識の欠如、新しいバージョンに移行できないアプリケーションの継続使用といった制約です。
多くの企業で移行が遅れていることを知ると、攻撃者はサポートが終了したサーバ上の重要な情報を積極的に狙ってくるでしょう。攻撃者による侵害を阻止するためには、そうしたサーバに保存されている情報についてリスク評価を行う必要があります。情報が自律的に保護されているかを判断します。そうでない場合は、最新のセキュリティ管理が実施されていることを確認して下さい。Windows Server 2003 環境の保護を最大限にするセキュリティ機能には、侵入防止システム、統合監視、不正プログラムに対するセキュリティ対策製品などがあります。
■トレンドマイクロの対策
弊社のサーバ向け総合セキュリティ製品「Trend Micro Deep Security(トレンドマイクロ ディープセキュリティ)」は、OS のサポートが終了しているかどうかに関わらず、すべてのサーバを保護する最適な技術を組み合わせて使用します。また、弊社の「侵入防止システム(Intrusion Prevention System、IPS)」は、仮想パッチを適用して、サーバ上で実行されている OS やアプリケーションに存在する脆弱性を利用する攻撃から保護します。また、弊社のクラウド型セキュリティ基盤「Trend Micro Smart Protection Network」は重要な情報を共有し、サーバを不正プログラムから保護します。
また「Deep Security」は、完全性監視機能により、サーバ上のすべての不審なシステム変更を監視します。新しい OS に移行するまでの間、サポートが終了したサーバに最大限の保護が施されていることがわかれば安心できるでしょう。
弊社では、今後も引き続き脆弱性に関する情報や、企業を保護するソリューションを提供していきます。
参考記事:
- 「Windows Server 2003 End of Life: You Can’t RIP」
by Pawan Kinger (Director, Deep Security Labs)
翻訳:品川 暁子(Core Technology Marketing, TrendLabs)