ライフサイクルが終了した Windows Server 2003 オペレーティングシステムの保護 サポート終了後の Windows Server 2003 システムでリスクを軽減するためのガイド データシート : セキュリティ管理 サポートが終了してもビジネスは継続するソフトウェアベンダーが製品のライフサイクル終了 (EOL) を発表すると お客様が移行の計画と実行に備えるため通常は 24 カ月から 30 カ月の期間が設定されます これは限定サポート期間と呼ばれます サポートの最終日 ( サポートライフサイクル終了日 とも呼ばれます ) 以降 製品は古いものとなり セキュリティパッチが自動的に提供されることはなくなります この日以降 お客様には 延長またはカスタムサポート を購入する選択肢があります 多くの場合 EOL 製品に対するベンダーサポートを利用できる期間は 新しいプラットフォームへの移行に必要な期間よりも短いものです また 既存のカスタムアプリケーションが新しいプラットフォームでは動作しない場合もあります そのため サポートされないシステムがゼロデイの脅威や新しいマルウェア攻撃にさらされる可能性があります このようなリスクに対処するために 企業には次のような難しい選択が求められます サポートされない既存プラットフォームで アプリケーションを継続して使用します ミッションクリティカルなアプリケーションを新しいプラットフォームに移行します 高額な延長サポート契約を購入します セキュリティソリューションを導入して サポートされないシステムを強化して監視を行います Microsoft Windows Server 2003 で全社規模のビジネスアプリケーションを使用している企業は現在 悩みを抱えています 2015 年 7 月 14 日にこの製品がサポートライフサイクル終了日を迎えるため それ以降はセキュリティパッチが提供されなくなり ゼロデイ攻撃やその他の悪質な脅威にさらされてしまうのです 次のような場合には サポートされない Windows サーバーでアプリケーションを継続して使用するという選択がとられる可能性があります 新しいプラットフォームへの移行を先送りにして ミッションクリティカルなアプリケーションのダウンタイムとコストを最小限に抑えたい場合 現時点では新しいプラットフォームによってサポートされていない ミッションクリティカルな既存アプリケーションをサポートしたい場合 レガシーシステムの課題 Windows Server 2003 の EOL に伴う移行およびリスク軽減への対応にあたっては セキュリティと法令遵守に関する以下の問題が影響を及ぼします 1
1) ゼロデイ脆弱性や高度なマルウェアによる脅威サポート対象外となったオペレーティングシステム (OS) でも 新しい脆弱性がセキュリティ研究者によって次々と発見されます そのような脆弱性を悪用しようと犯罪者は躍起になっています 悪質なハッカーは サポートされないシステムを経由して企業の IT インフラへ侵入しようとします また セキュリティ保護が強化されている大企業は避けて そのサプライチェーン内で中小規模の企業を標的として サポートされないシステムを狙って侵入を試みます 2) 法令遵守とサイバーセキュリティガバナンス PCI-DSS や HIPAA-HITECH などの法令により 脆弱な可能性があるシステムで取り扱われる情報とプロセスを保護するために必要な予防手段を講じるよう 企業は要求されています Securities and Exchange Commission(SEC) はこのことに力を入れており データ侵害に関するガイドラインを発行し報告義務を規定しています Office of Compliance Inspections and Examinations(OCIE) による 2014 年 1 月の優先事項に関するレターでは 情報テクノロジーシステム 運用機能 市場アクセス 情報セキュリティ 突然の誤動作やシステム停止への対応準備のガバナンスと監督について記載されています サイバーセキュリティは今や重大なリスク要因として 年次報告書でも記載が必要となっています 保護されていないシステムを使用して法令違反となった場合 高額な罰金や厳しい法的措置が科せられます 3) データ侵害による評判の失墜と対応コストシステムが保護されていないと データ侵害 機密データの漏えい ミッションクリティカルな取引を実行できない 顧客サービスを提供できないなど業務の中断が発生する可能性が高まります これらはすべて 顧客の信頼を損なうことにつながります さらに 攻撃が発生すると システムの修復 調査 顧客対応のために追加コストが発生します 2
4) Microsoft 社の カスタム パッチのテストに伴うコストレガシーアプリケーションへのパッチをテストするコストについても考慮が必要です Microsoft 社からパッチを購入しても 多くのベンダーでは自社のアプリケーションへの影響をテストできないためパッチをサポートしません そのため カスタムパッチをテストするコストが追加で発生します また パッチの適用によってアプリケーションが停止するリスクに備える必要もあります 結果として 運用上のコストとリスクが増加します 考えられる選択肢サポートの最終日以降 サポートされない Windows Server 2003 システムにおけるセキュリティ侵害の可能性に対処する方法として 4 つの選択肢が考えられます 選択肢 1: 何もしません 一部の企業は ミッションクリティカルではないアプリケーションについては サポートされないプラットフォームで継続して使用することを選択します しかし 最近のデータ侵害事例をみると 悪質なハッカーは サポートされないシステムの脆弱性を悪用してバックドアから侵入したうえで攻撃を実行しています ミッションクリティカルなアプリケーションが新しいプラットフォームで動作しない場合 何もしないという選択肢はありえません 思い切ってプラットフォームを移行するのか 顧客サポート契約を購入するのか サーバーセキュリティを強化するソリューションを導入するのか 意思決定が必要です 選択肢 2: 新しいプラットフォームへアプリケーションを移行します この選択肢は 新しい OS と関連アプリケーションの利点を活用する場合 またはハードウェアとソフトウェアを標準化して IT システムの運用コストと管理コストを最小限に抑える場合に最も適しています ライフサイクルが終了したシステムに関連するリスクと脆弱性は解消されます 移行することによって 生産性 セキュリティ 管理の面で多大な効果があるとはいえ 実務作業は困難なものです 従来の移行作業では インベントリデータや構成データを手動で収集し さまざまなツールを組み合わせ 続発する不測の事態に対応するためにスクリプトの作成とテストを行っていました 多数の作業が次から次へと発生するため 時間 コスト モチベーションが阻害されていました プラットフォーム移行を計画する場合 運用予算への影響も考慮する必要があります 3
選択肢 3: Microsoft 社から カスタムサポート契約 (CSA) を購入します この選択肢で考慮すべき重要事項が いくつかあります CSA を購入できるのは Premier サポート契約を締結しているお客様だけです 価格は サーバー 1 台あたり 500 ドルから 700 ドルとされているようです カスタムサポート では パッチが自動的に提供されることはありません Microsoft 社が脆弱性の重大度を最高と評価した場合ですら パッチ対応の努力はされても厳格な SLA はありません 重大とされないインシデントには パッチの代わりに回避方法や推奨事項が提供される場合もあります つまり ゼロデイ脆弱性は未対処のままとなり パッチが提供されない場合やその他の脅威が発生した場合 システムは攻撃にさらされることになります CSA は Microsoft 社の経営陣が個別に承認するものです サポート料金に加えて 契約交渉や承認手続きのコストも考慮が必要です 前のセグメントにすべて含めました カスタムサポート プログラムは 新しいオペレーティングシステムへ移行する際のサポートギャップを埋めるものなので 長期的なソリューションにはなりません また 高額の カスタムサポート およびパッチの頻繁なテストのため コストが上昇します 選択肢 4: サーバー強化ソリューションによってレガシーシステムを保護 監視 強化します このアプローチでは お客様は HIPS/HIDS ベースのセキュリティを導入して サーバーを強化し アプリケーションと OS カーネルの活動を監視し アプリケーションに対する管理権限とアクセスをロックダウンします この選択肢では サーバーのインフラを保護しながら運用目的や予算に応じてサーバーの移行を実行できます ダウンタイムを最小限に抑え 現時点では新しい OS プラットフォームで動作しないアプリケーションを保護できます 利点 : 既知および未知の ( ゼロデイ ) マルウェアに対する保護が可能なので サーバーのセキュリティが強化されます 継続的な更新をしなくてもプロアクティブな保護が提供されるので 緊急パッチ適用が不要となり パッチ適用に伴うダウンタイムと IT 費用が最小限に抑えられます サーバーに対するパッチがタイムリーに提供されなくても継続的な保護が有効なので セキュリティインシデントが減少し対応コストが削減されますこれは明らかに最適な選択肢です ホストのセキュリティはより適切で一貫したものとなり レガシーシステムの移行に関するコスト全般は減少し 制御が強化されます 4
Symantec Data Center Security Symantec Data Center Security: Server Advanced を使用すると Windows Server 2003 やその他のレガシーシステムを効果的に保護して以下のことを実現できます ダウンタイムと業務の中断を最小限に抑えます 運用面や予算面の制約に応じてプラットフォームの移行を実行します セキュリティ標準を遵守し 法的義務を果たします 柔軟性に欠けたネットワークおよびセキュリティゾーンに頼ることなく マイクロセグメンテーション戦略を自動化および統合して アプリケーションレベルでセキュリティ強化ポリシーを適用します この アプリケーションレベル のセキュリティアプローチは Windows Server 2003 システムが万一侵害された場合でも 追加のレイヤーでミッションクリティカルなアプリケーションを保護します Symantec Data Center Security: Server Advanced は 次の機能によってレガシー Windows Server 2003 システムを保護します アプリケーションをホワイトリスト化して保護 ターゲットを絞った防止ポリシー 段階的な侵入防止ポリシー ファイル システム 管理者のロックダウン ファイル整合性の監視 システム構成の監視 Symantec Data Center Security: Server Advanced について詳しくは Symantec Data Center Security: Server Advanced データシートを参照してください 移行に際しては エンドユーザーの生産性を保護すると同時に 効率的で費用対効果が高く持続可能な方法が求められます シマンテックが提供する移行および導入ソリューションは プロセスを合理化して的確な管理を行い 移行における費用 遅延 中断を削減します 必要な行動 : シマンテックのソリューションで今すぐ保護または移行を実行します サポートされないレガシーシステムを使用することに伴う課題は 軽視できません ただし 克服できないものでもありません OS のサポートが終了しても ビジネスがセキュリティ脅威にさらされるわけではありません 高額なライフサイクル終了サポートで悩む必要もありません シマンテックのソリューションは Windows Server 2003 に対するサポート終了以降も シンプルかつ包括的で費用対効果の高い保護と移行を提供します 業務は中断されることなく継続し コンプライアンス規定も引き続き遵守されます また お客様のビジネスニーズに基づいてシステム移行のスケジュールを設定し管理できます レガシーシステムの保護について詳しくは こちらを参照してください 5
詳細情報 シマンテックの Web サイト http://enterprise.symantec.com Copyright 2015 Symantec Corporation. All rights reserved. 製品の仕様と価格は 都合により予告なしに変更することがあります 本カタログの記載内容は 2015 年 4 月現在のものです Symantec と Symantec ロゴは Symantec Corporation またはその関連会社の米国およびその他の国における登録商標です その他の会社名 製品名は各社の登録商標または商標です 株式会社シマンテック お問い合わせ 107-0052 東京都港区赤坂 1-11-44 赤坂インターシティ www.symantec.com/jp 6 E1504DS0-IN-21345142