2019年 5月

企業のITセキュリティ講座

Windowsのサポート終了まで半年、移行しないリスクを認識しよう

ライター/吉澤亨史

Windows 7とWindows Server 2008の延長サポートが、2020年1月14日に終了する。サポートが終了すると、重大な脆弱性が発見されても修正パッチが提供されなくなるため、サイバー攻撃によりマルウェア感染や情報漏えいなどの被害を受ける可能性が高くなる。しかし、移行したくてもさまざまな理由から断念するケースもあるだろう。ここでは、サポート終了に際して移行しないリスクと、やむを得ない場合の対応策について紹介する。

サポート終了の影響と移行状況

マイクロソフトが、パソコン用のOS「Windows 7」とサーバー用のOS「Windows Server 2008」のサポート終了について、繰り返しアナウンスしている。「Windows 7」「Windows Server 2008」および「Windows Server 2008 R2」の延長サポートが、2020年1月14日に終了するというものだ。マイクロソフトでは、製品について10年間(メインストリームサポートを5年間、延長サポートを5年間)のサポートを提供している。

ITの世界は日々進化しており、パソコンを構成するCPUやメモリー、ストレージなども高速化や大容量化が進み、新しい規格や機能も続々と登場している。5年もたてば性能差は大きくなり、新しい規格の周辺機器などが使えないといった問題が出てくるので、OSをはじめとするソフトウェアも同様に進化していかないと、ハードウェアの進化に追い付かなくなってしまう。そのため、定期的にメジャーバージョンアップが行われる。

サポートが終了すると、OSやソフトウェアに脆弱性が発見されても、修正パッチが提供されなくなる。脆弱性が解消されないままでOSを使用していると、マルウェア感染や情報漏えいなどのリスクが高くなってしまう。こうしたリスクから企業を守るためにも、最新のOSへの移行を呼び掛けているわけだ。もちろん、OSだけでなくハードウェアも最新のものに移行した方が、性能も機能も向上できる。つまり、パソコンを買い替えることが最善策ということになる。

リサーチ企業のMM総研によると、2018年12月時点での日本国内のEOS(End Of Support)対象製品稼働台数は、Windows 7が2,600万台(個人:1,100万台、法人:1,500万台)、Windows Server 2008が52万台となっている。最新OSへの移行は確実に進んでいるものの、まだこれだけの台数が稼働しているというわけだ。今の状態で2020年1月14日を過ぎると、重大な脆弱性が発見されても修正パッチが提供されないため、2,748万台のパソコンとサーバーが危険な状態になってしまう恐れがある。

個人市場におけるWindows7利用者の推移と予測

法人市場におけるWindows7利用者の推移と予測

Windows Server 2008/R2の稼働台数予測
引用元:MM総研(https://www.m2ri.jp/)

目次へ戻る

移行できない理由とは

サポートが終了するOSは「レガシーOS」と呼ばれることが多い。レガシーには「遺産」などの意味がある。この記事でも、サポート終了予定のOSのことをレガシーOSと呼ぶことにする。レガシーOSを最新OSに移行する必要性については、周知は進んでいるはずだが、いまだに相当な数のレガシーOSが稼働している。もちろん、日本企業の場合は稟議から導入までに時間がかかるため、新年度となる2019年度以降に移行するケースも多いだろう。それでも全てのレガシーOSが残らず移行するとは考えにくい。それには、それなりの理由が考えられる。

例えば、「アプリケーションの互換性」。業務で使用しているアプリケーションがレガシーOSにしか対応しておらず、以降のOSでは動作しないというケースだ。特に基幹業務で使用している場合には、移行することは困難といえる。

また、単純に「時間がない」というケースもあるだろう。OSの移行にはそれなりの時間がかかるため、社内に1,000台のパソコンがある場合は、移行のための作業も莫大(ばくだい)なものになる。同様に、「予算が足りない」という切実な理由も考えられる。移行に手間と時間がかかるということは、それだけシステム担当者の工数も増え、その作業が社内にあるパソコンの台数分かかることになる。パソコンを買い替えることにもお金がかかるが、移行作業におけるコストも無視できないレベルになるというわけだ。

このほか、「専門知識の不足や欠如」といった課題を抱えているケースも考えられる。OSのみの移行においても、移行前にデータのバックアップを行い、移行後もOSのセットアップやソフト、周辺機器の追加をする必要がある。想定しないトラブルが発生する可能性もあるため、対処できる人材がいなければ移行に踏み切れない、ということだろう。また、日本ならではの「もったいない精神」により移行しないケースもあり得る。「まだ使えるのだから、買い替える必要はない」というわけだ。

レガシーOSを使い続ける5つの理由

目次へ戻る

移行が大前提、どうしてもできないときは

サポート切れのOSを使い続けることは、車検や点検をせずにクラシックカーを走らせるようなもの。いつ重大な事故が発生してもおかしくない状態だ。時間や予算がない、ましてや「まだ使える」などが、レガシーOSを使い続ける理由にならないことは明白で、そのためにマイクロソフトはかなり早期からサポート終了のアナウンスを行っている。検討や準備をする時間は十分にあったわけだ。

ただし、基幹業務で使用するアプリケーションがレガシーOSでしか動作しないというケースに限って、唯一、使い続けることを検討する余地がある。このケースは特定の業界で起こりがちで、取引先や親会社が古いアプリケーションを使い続けているため、自社だけ変更するわけにもいかない、という事情もよく聞かれる。このような場合は、取引先や親会社が代替アプリケーションに移行してくれることを待つしかないのだが、そのために企業のネットワークを危険にさらすわけにはいかない。

こうしたケースでは、ネットワーク上ではあるが「閉じた環境」で運用を継続するようにしたい。レガシーOSを搭載したパソコンをインターネットに接続することは、リスクが大きいためだ。どうしてもインターネットに接続する必要がある場合には、AWSなどのクラウドサービス(IaaS)に移行するという方法もある。レガシーOSの仮想イメージも用意されているため、構築が容易で管理もしやすい。とはいえ、セキュリティ対策は必要なので、WAF(Webアプリケーション・ファイアウォール)やネットワーク型のセキュリティ対策によって、脆弱性を狙う攻撃をブロックできるようにしておこう。

ここまで、移行できない場合の対策を紹介したが、これらが本来想定された使い方ではないということは認識しておきたい。代替アプリケーションへの移行を申請し、レガシーOSをなるべく使わないようにすることが、セキュリティ上の有効な対策となる。レガシーOSを使用し続けるリスクを把握し、できるだけ早い段階で最新OSへの移行を実現したいところだ。

レガシーOSをクラウド環境に移行する方法もある

目次へ戻る

関連記事