サポート切れが迫るWindows Server 2012、課題と対策について解説(vol.25)
目次
サポート切れの迫るWindows Server 2012
Windows Server 2012および2012 R2の延長サポートが、2023年10月10日で終了します。情報処理推進機構(IPA)も、2023年7月10日に注意喚起を掲載し、いまだWindow Server 2012の業務利用を続ける企業に向けて、根本的な対策などを案内しています。※1。
OSのサポート期限が切れたサーバーを利用し続けると、どのようなリスクがあるのでしょうか?企業はこの期限終了を目前として、どのような対応を行う必要があるのでしょうか?
今回はWindows Server 2012のサポート期限終了という重要な転機を前に、サポート期限の終了に伴って発生する脅威を知り、改めてサーバーのセキュリティ対策について意識してみましょう!
このような更改開発のタイミングは、自社の環境において新しいセキュリティ対策を検討し、実装する良い機会にもなります。サポート期限終了への対応方針が確定しているという企業の方も、サポート期限にあわせた計画は確立しているという企業の方も、ぜひご一読ください。
引用・参照元URL
※1 独立行政法人情報処理推進機構「Windows Server 2012 および 2012 R2 のサポート終了に伴う注意喚起」2023年7月10日掲載。https://www.ipa.go.jp/security/security-alert/2023/win2k12_eos.html
Windows Server 2012の業務利用と企業のOS移行に対する意識
本題に入っていく前に、まずはWindows Server 2012及び2012 R2はどれほど業務利用されているのか、そして業務に利用している企業が今後どのように対応するのか、といった状況について紹介したいと思います。
2021年時点のファナティックのメールニュース会員企業を対象とした調査では、有効回答118社のうち74社が該当OSを業務利用しており、そのうちWindows Serverを新バージョンへと更新すると答えた企業は45社(60%)、残りの29社(40%)は更新しないと回答していました。移行を計画する理由として「セキュリティ上の不安」が上がったのに対し、移行を計画してない理由としては「現在のソフトウェア(アプリケーション)に満足している」「必要性を感じない」「バージョンアップのコスト見積もりが高額」といったものが挙げられました。 ※1。
2年前の調査ではあるものの、業務用サーバーの移行というのは当然、期間もコストもかかるものです。特に、調査時点で移行を検討していなかった企業の場合は、これからすぐ移行に踏み切れるというわけではありません。対費用効果などを考えたうえで「移行しない」選択をしている企業もあります。そういった企業においては、いまだにサーバー移行に対する意識が醸成されていない可能性は十分にあるでしょう。
引用・参照元URL
※1 株式会社ファナティック「【調査レポート公開】Windows Server 2012/2012 R2のサポート終了にともなう更新計画についてのアンケート」2021年10月22日掲載。 https://www.fanatic.co.jp/news/5667/ (株式会社インプレス IT Leaders「回答企業の4割が「Windows Server 2012をバージョンアップせずに使い続ける」─ファナティック調査」 2021年11月4日掲載。 https://it.impress.co.jp/articles/-/22284 )
OSサポート期限終了によるセキュリティ脅威
前章で取り上げたファナティックの調査から分かるように、サポート期限が終了しても業務に利用されるWindows Server 2012は国内に一定数残ると考えられます。
本ブログでもセキュリティ対策の基本として「サポート切れの製品・OSを利用しない」と何度も繰り返し紹介していますが、実際にはOSの移行というのは企業にとって重大かつ莫大なコストのかかるプロジェクトであり、簡単には踏み切れない企業も存在するのが実態です。
実際にこのようなケースではどのようなセキュリティ脅威が及ぶのでしょうか?
セキュリティ課題1:セキュリティアップデート(パッチ)が公開されなくなること
まずサポート期限の終了したOSを利用していると、脆弱性に対応するセキュリティアップデート(セキュリティパッチ)が公開されなくなるという重大なデメリットがあります。
セキュリティ対策において、セキュリティパッチを適用していくことは基本中の基本。それができなくなるということは、攻撃者にとって格好の的となる脆弱性が解消されず、常に攻撃の危険があるということになります。
序章でも言及したIPAの注意喚起においても、2023年6月末まで1年間のWindows Server 2012および2012 R2の脆弱性レポートが掲載されていますが、脆弱性の80%が深刻度の高い「緊急」または「重要」に相当するものとされています。
サポート期限終了まで更新プログラムの適用を適切に継続したとして、それ以降に新たな脆弱性が発見されないという保証はなく、それを悪用する攻撃者も出てくる可能性が十分にあります。
セキュリティ課題2:サポートが受けられなくなること
OSのサポート期限中は、製造元から無償・有償の各種サポートが提供されます。Windows Serverの場合、Microsoft社から5年間のメインストリームサポートとその後5年間の延長サポートを受けることができます。
しかし、OSのサポート期限が終了すると、Microsoft社からのサポートを受けることができなくなります。それによって、OSの利用に起因する問題等が発生した際に、自分たちで解決しなければならず、それは環境の保守・運用負荷の増大という問題を招きます。
及んだ脅威によっては機密情報の流出なども起こり得ますし、脅威への対応と問題の根本解決のために業務を一時的に停止する必要が出てくるなど、多大な被害に繋がる可能性もあります。
そして、OSのサポート期限終了は、他のソフトウェアの業務利用にも影響を及ぼします。
新規のソフトウェア導入を検討したものの、Windows Server 2012/2012 R2が対応製品に入っていないために諦めざるを得ない、そのようなケースも今後増えていくでしょう。
さらに、現在導入しているソフトウェアであっても、サポート期限が終了したOS上で動作する製品については、サポートが終了となる可能性があります。
OSだけでなく、ソフトウェア側の脆弱性に対応する更新プログラムが適用できなくなることにより、さらに脅威が及ぶ可能性が高まります。
サーバーの移行にはコストの問題や計画の難しさなど課題もありますが、上記のような脅威と天秤にかけてどのように対応していくべきか、考えなくてはならない時期となっているのです。
OSサポート期限終了への対処
OSのサポートが期限終了するにあたって、企業はどのような対処をすればよいのでしょうか?
根本的な対処方法
最も一般的な対応方法としては、サポートがまだ継続している後継OS等へ移行することが挙げられます。ベンダーのサポートを受けられること、そして脆弱性へ対応するセキュリティパッチの適用が可能であることから、自社の環境を今後も長く保っていくことに寄与します。
サーバーの移行については、オンプレミスで移行して保持する以外にも、Azure等のクラウドへ移行するなどの選択肢もあります。
しかし、今回の記事で繰り返し述べているようにサーバーの移行計画は長期にわたるものであり、莫大なコストがかかる可能性があります。
したがって、サポート期限終了に間に合わない場合や、コスト面の課題からサポート期限が終了してもOSを利用し続ける場合には、下記の記載する暫定的な対処を行うという方針についても検討しなければいけません。
暫定的な対処方法
OSのサポート期限終了に対する暫定的な対処方法として、OS自体を守るようなセキュリティ製品を導入するという選択肢があります。
予め誤解のないようにしたいポイントとして、本来はサポート切れのOSにアンチウイルス製品やEDRなどの従来型の検知型のセキュリティ製品を導入したからといって、安心できるというわけではありません。
前章で述べたように、ソフトウェアの更新においても、サポート切れのOSに対応したものは対象外となっていくためです。
しかし、導入する製品によっては、何も対策を施していない場合と比べれば、大いに脅威を防ぐ効果を高めることができます。
サーバーに導入できるOSプロテクト型セキュリティ製品として、たとえばAppGuardが挙げられます。AppGuardはアプリケーションの起動自体と、起動後の動作双方を制限・防御し、脅威が侵入してしまった場合にもOSのシステムファイルやレジストリの改ざんなどのOSに対して危険な処理を止めることができます。
暫定対応としては、このようにプログラムそのものの動作を妨げる特徴のある防御型セキュリティ製品の方が望ましいと考えられます。
AppGuardは、クライアント端末に導入して利用される製品でもありますが、業務で利用されるサーバーに導入することで、サーバーのセキュリティ対策としても活用できる製品となっています。
もちろん、サポートが継続されているOSであっても、サーバーにセキュリティ対策を施すことは重要です。Windows Server 2016以降、Microsoft Defender(旧:Windows Defender)が標準搭載されるようになりました。より強固なセキュリティ対策を施すために、セキュリティ対策製品を導入することも有効と言えるでしょう。
最後に
今回はWindows Server 2012/2012 R2のサポート期限終了を間近に控えたタイミングということで、サポート切れOSを利用し続ける危険性と、サーバーのセキュリティ対策について紹介しました。
今回のWindows Server 2012に限らず、業務に利用しているサーバー、ソフトウェア、セキュリティ対策製品等のサポート期限についてはよく確認し、移行計画や対策方針を定めておきましょう。
また、OS等のサポート切れ対応を計画的に準備している企業においても、このような更改開発のタイミングというのは新しい対策を検討し、実装する良い機会となります。
セキュリティ対策には終わりがなく、継続的な検討・改善が必要となるもの。昨今のセキュリティ動向を考えると、今までと同じ対策ではセキュリティリスクの低減には不十分かもしれません。
本文中でも触れたように、サーバーに対するセキュリティ製品の導入など、「+1」の対策を考える絶好の機会が訪れているのではないでしょうか。
本記事において、サーバーへのセキュリティ対策としてOSプロテクト型製品であるAppGuardを紹介いたしました。電通総研社はAppGuardの導入支援を行っておりますので、どうぞお気軽にお問い合わせください。AppGuardの概要についてはこちらをご覧ください!
『ランサムウェア対策ソリューション AppGuard基本ガイドブック』
「ランサムウェア対策」と「emotet(エモテット)対策」について学習できる資料があります。
弊社ではランサムウェア対策やEmotet(エモテット)対策を学びたい方に参考になる資料「ランサムウェア被害・EMOTETの脅威をこっそり学べるガイド」をご用意しています。本資料は企業のセキュリティ強化に向けて必見の資料です。ぜひダウンロードいただき、ご覧ください。