サポートが終了してもビジネスは継続する ソフトウェアベンダーが製品のライフサイクル終了(EOL)を発表すると、お客様が移行の計画と実行に備えるため通 常は 24 カ月から 30 カ月の期間が設定されます。これは限定サポート期間と呼ばれます。サポートの最終日(「サポー トライフサイクル終了日」とも呼ばれます)以降、製品は古いものとなり、セキュリティパッチが自動的に提供される ことはなくなります。この日以降、お客様には「延長またはカスタムサポート」を購入する選択肢があります。 多くの場合、EOL 製品に対するベンダーサポートを利用できる期間は、新しいプラットフォームへの移行に必要な期間 よりも短いものです。 また、既存のカスタムアプリケーションが新しいプラットフォームでは動作しない場合もあります。そのため、サポー トされないシステムがゼロデイの脅威や新しいマルウェア攻撃にさらされる可能性があります。このようなリスクに対 処するために、企業には次のような難しい選択が求められます。 • サポートされない既存プラットフォームで、アプ リケーションを継続して使用します。 • ミッションクリティカルなアプリケーションを新 しいプラットフォームに移行します。 • 高額な延長サポート契約を購入します。 • セキュリティソリューションを導入して、サポー トされないシステムを強化して監視を行います。
Microsoft Windows Server 2003 で全社規模のビジネスアプリケーションを使用している企業は現在、悩みを抱えて います。2015 年 7 月 14 日にこの製品がサポートライフサイクル終了日を迎えるため、それ以降はセキュリティパッ チが提供されなくなり、ゼロデイ攻撃やその他の悪質な脅威にさらされてしまうのです。 次のような場合には、サポートされない Windows サーバーでアプリケーションを継続して使用するという選択がとら れる可能性があります。 • 新しいプラットフォームへの移行を先送りにして、ミッションクリティカルなアプリケーションのダウンタイムとコ ストを最小限に抑えたい場合。 • 現時点では新しいプラットフォームによってサポートされていない、ミッションクリティカルな既存アプリケーショ ンをサポートしたい場合。 レガシーシステムの課題
ライフサイクルが終了した Windows Server 2003
オペレーティングシステムの保護
サポート終了後の Windows Server 2003 システムでリスクを
軽減するためのガイド
データシート: セキュリティ管理データシート: セキュリティ管理 ライフサイクルが終了した Windows Server 2003 オペレーティングシステムの保護 1) ゼロデイ脆弱性や高度なマルウェアによる脅威 サポート対象外となったオペレーティングシステム(OS)でも、新しい脆弱性がセ キュリティ研究者によって次々と発見されます。そのような脆弱性を悪用しようと犯 罪者は躍起になっています。 悪質なハッカーは、サポートされないシステムを経由して企業の IT インフラへ侵入 しようとします。また、セキュリティ保護が強化されている大企業は避けて、そのサ プライチェーン内で中小規模の企業を標的として、サポートされないシステムを狙っ て侵入を試みます。 2) 法令遵守とサイバーセキュリティガバナンス PCI-DSS や HIPAA-HITECH などの法令により、脆弱な可能性があるシ ステムで取り扱われる情報とプロセスを保護するために必要な予防手段を 講じるよう、企業は要求されています。
Securities and Exchange Commission(SEC)はこのことに力を入れ ており、データ侵害に関するガイドラインを発行し報告義務を規定してい ます。Office of Compliance Inspections and Examinations(OCIE) による 2014 年 1 月の優先事項に関するレターでは、情報テクノロジー システム、運用機能、市場アクセス、情報セキュリティ、突然の誤動作や システム停止への対応準備のガバナンスと監督について記載されています。 サイバーセキュリティは今や重大なリスク要因として、年次報告書でも記 載が必要となっています。 保護されていないシステムを使用して法令違反となった場合、高額な罰金 や厳しい法的措置が科せられます。 3) データ侵害による評判の失墜と対応コスト システムが保護されていないと、データ侵害、機密データの漏えい、ミッショ ンクリティカルな取引を実行できない、顧客サービスを提供できないなど業 務の中断が発生する可能性が高まります。これらはすべて、顧客の信頼を損 なうことにつながります。さらに、攻撃が発生すると、システムの修復、調 査、顧客対応のために追加コストが発生します。
データシート: セキュリティ管理 ライフサイクルが終了した Windows Server 2003 オペレーティングシステムの保護 4) Microsoft 社の「カスタム」パッチのテストに伴うコスト レガシーアプリケーションへのパッチをテストするコストについても考慮 が必要です。Microsoft 社からパッチを購入しても、多くのベンダーでは 自社のアプリケーションへの影響をテストできないためパッチをサポート しません。そのため、カスタムパッチをテストするコストが追加で発生し ます。また、パッチの適用によってアプリケーションが停止するリスクに 備える必要もあります。結果として、運用上のコストとリスクが増加しま す。 考えられる選択肢 サポートの最終日以降、サポートされない Windows Server 2003 システムにおけるセキュリティ侵害の可能性に対 処する方法として、4 つの選択肢が考えられます。 選択肢 1: 何もしません。一部の企業は、ミッションクリティカルではないアプリケーションについては、サポートさ れないプラットフォームで継続して使用することを選択します。しかし、最近のデータ侵害事例をみると、悪質なハッ カーは、サポートされないシステムの脆弱性を悪用してバックドアから侵入したうえで攻撃を実行しています。 ミッションクリティカルなアプリケーションが新しいプラットフォームで動作しない場合、何もしないという選択肢は ありえません。思い切ってプラットフォームを移行するのか、顧客サポート契約を購入するのか、サーバーセキュリテ ィを強化するソリューションを導入するのか、意思決定が必要です。 選択肢 2: 新しいプラットフォームへアプリケーションを移行します。この選択肢は、新しい OS と関連アプリケー ションの利点を活用する場合、またはハードウェアとソフトウェアを標準化して IT システムの運用コストと管理コス トを最小限に抑える場合に最も適しています。ライフサイクルが終了したシステムに関連するリスクと脆弱性は解消さ れます。 移行することによって、生産性、セキュリティ、管理の面で多大な効果があるとはいえ、実務作業は困難なものです。 従来の移行作業では、インベントリデータや構成データを手動で収集し、さまざまなツールを組み合わせ、続発する不 測の事態に対応するためにスクリプトの作成とテストを行っていました。多数の作業が次から次へと発生するため、時 間、コスト、モチベーションが阻害されていました。 プラットフォーム移行を計画する場合、運用予算への影響も考慮する必要があります。
データシート: セキュリティ管理 ライフサイクルが終了した Windows Server 2003 オペレーティングシステムの保護 選択肢 3: Microsoft 社から「カスタムサポート契約(CSA)」を購入します。 この選択肢で考慮すべき重要事項が、いくつかあります。 • CSA を購入できるのは Premier サポート契約を締結しているお客様だけです。 • 価格は、サーバー 1 台あたり 500 ドルから 700 ドルとされているようです。 • 「カスタムサポート」では、パッチが自動的に提供されることはありません。 • Microsoft 社が脆弱性の重大度を最高と評価した場合ですら、パッチ対応の努力はされても厳格な SLA はありま せん。重大とされないインシデントには、パッチの代わりに回避方法や推奨事項が提供される場合もあります。つま り、ゼロデイ脆弱性は未対処のままとなり、パッチが提供されない場合やその他の脅威が発生した場合、システムは 攻撃にさらされることになります。 • CSA は、Microsoft 社の経営陣が個別に承認するものです。サポート料金に加えて、契約交渉や承認手続きのコスト も考慮が必要です。前のセグメントにすべて含めました。 • 「カスタムサポート」プログラムは、新しいオペレーティングシステムへ移行する際のサポートギャップを埋めるも のなので、長期的なソリューションにはなりません。 • また、高額の「カスタムサポート」およびパッチの頻繁なテストのため、コストが上昇します。 選択肢 4: サーバー強化ソリューションによってレガシーシステムを保護、監 視、強化します。 このアプローチでは、お客様は HIPS/HIDS ベースのセキュリティを導入し て、サーバーを強化し、アプリケーションと OS カーネルの活動を監視し、 アプリケーションに対する管理権限とアクセスをロックダウンします。 この選択肢では、サーバーのインフラを保護しながら運用目的や予算に応じ てサーバーの移行を実行できます。ダウンタイムを最小限に抑え、現時点で は新しい OS プラットフォームで動作しないアプリケーションを保護できま す。 利点: • 既知および未知の(ゼロデイ)マルウェアに対する保護が可能なので、サーバーのセキュリティが強化されます • 継続的な更新をしなくてもプロアクティブな保護が提供されるので、緊急パッチ適用が不要となり、パッチ適用に伴 うダウンタイムと IT 費用が最小限に抑えられます • サーバーに対するパッチがタイムリーに提供されなくても継続的な保護が有効なので、セキュリティインシデントが 減少し対応コストが削減されます これは明らかに最適な選択肢です。ホストのセキュリティはより適切で一貫したものとなり、レガシーシステムの移行 に関するコスト全般は減少し、制御が強化されます。
データシート: セキュリティ管理
ライフサイクルが終了した Windows Server 2003 オペレーティングシステムの保護
Symantec Data Center Security
Symantec Data Center Security: Server Advanced を使用すると、Windows Server 2003 やその他のレガシーシ ステムを効果的に保護して以下のことを実現できます。 • ダウンタイムと業務の中断を最小限に抑えます。 • 運用面や予算面の制約に応じてプラットフォームの移行を実行します。 • セキュリティ標準を遵守し、法的義務を果たします。 • 柔軟性に欠けたネットワークおよびセキュリティゾーンに頼ることなく、マイクロセグメンテーション戦略を自動化 および統合して、アプリケーションレベルでセキュリティ強化ポリシーを適用します。この「アプリケーションレベ ル」のセキュリティアプローチは、Windows Server 2003 システムが万一侵害された場合でも、追加のレイヤーで ミッションクリティカルなアプリケーションを保護します。
Symantec Data Center Security: Server Advanced は、次の機能によってレガシー Windows Server 2003 システ ムを保護します。
Symantec Data Center Security: Server Advanced について詳しくは、Symantec Data Center Security: Server Advanced データシートを参照してください。移行に際しては、エンドユーザーの生産性を保護すると同時に、 効率的で費用対効果が高く持続可能な方法が求められます。シマンテックが提供する移行および導入ソリューションは、 プロセスを合理化して的確な管理を行い、移行における費用、遅延、中断を削減します。 必要な行動: シマンテックのソリューションで今すぐ保護または移行を実行します。 サポートされないレガシーシステムを使用することに伴う課題は、軽視できません。ただし、克服できないものでもあ りません。OS のサポートが終了しても、ビジネスがセキュリティ脅威にさらされるわけではありません。高額なライ フサイクル終了サポートで悩む必要もありません。 シマンテックのソリューションは、Windows Server 2003 に対するサポート終了以降も、シンプルかつ包括的で費用 対効果の高い保護と移行を提供します。業務は中断されることなく継続し、コンプライアンス規定も引き続き遵守され アプリケーションを ホワイトリスト 化して保護 ターゲットを 絞った防止 ポリシー 段階的な 侵入防止 ポリシー ファイル、 システム、管理者の ロックダウン 整合性の監視 ファイル 構成の監視 システム
データシート: セキュリティ管理
ライフサイクルが終了した Windows Server 2003 オペレーティングシステムの保護
詳細情報
シマンテックの Web サイト http://enterprise.symantec.com
