ライフサイクルが終了した Windows Server 2003 オペレーティングシステムの保護サポート終了後の Windows Server 2003 システムでリスクを軽減するためのガイドデータシート : セキュリティ管理サポートが終了してもビジネスは継続するソフトウェアベンダーが製品のラ

ライフサイクルが終了した Windows Server 2003 オペレーティングシステムの保護サポート終了後の Windows Server 2003 システムでリスクを軽減するためのガイドデータシート : セキュリティ管理サポートが終了してもビジネスは継続するソフトウェアベンダーが製品のライフサイクル終了 (EOL) を発表するとお客様が移行の計画と実行に備えるため通常は 24 カ月から 30 カ月の期間が設定されますこれは限定サポート期間と呼ばれますサポートの最終日 ( サポートライフサイクル終了日とも呼ばれます ) 以降製品は古いものとなりセキュリティパッチが自動的に提供されることはなくなりますこの日以降お客様には延長またはカスタムサポートを購入する選択肢があります多くの場合 EOL 製品に対するベンダーサポートを利用できる期間は新しいプラットフォームへの移行に必要な期間よりも短いものですまた既存のカスタムアプリケーションが新しいプラットフォームでは動作しない場合もありますそのためサポートされないシステムがゼロデイの脅威や新しいマルウェア攻撃にさらされる可能性がありますこのようなリスクに対処するために企業には次のような難しい選択が求められますサポートされない既存プラットフォームでアプリケーションを継続して使用しますミッションクリティカルなアプリケーションを新しいプラットフォームに移行します高額な延長サポート契約を購入しますセキュリティソリューションを導入してサポートされないシステムを強化して監視を行います Microsoft Windows Server 2003 で全社規模のビジネスアプリケーションを使用している企業は現在悩みを抱えています 2015 年 7 月 14 日にこの製品がサポートライフサイクル終了日を迎えるためそれ以降はセキュリティパッチが提供されなくなりゼロデイ攻撃やその他の悪質な脅威にさらされてしまうのです次のような場合にはサポートされない Windows サーバーでアプリケーションを継続して使用するという選択がとられる可能性があります新しいプラットフォームへの移行を先送りにしてミッションクリティカルなアプリケーションのダウンタイムとコストを最小限に抑えたい場合現時点では新しいプラットフォームによってサポートされていないミッションクリティカルな既存アプリケーションをサポートしたい場合レガシーシステムの課題 Windows Server 2003 の EOL に伴う移行およびリスク軽減への対応にあたってはセキュリティと法令遵守に関する以下の問題が影響を及ぼします 1

1) ゼロデイ脆弱性や高度なマルウェアによる脅威サポート対象外となったオペレーティングシステム (OS) でも新しい脆弱性がセキュリティ研究者によって次々と発見されますそのような脆弱性を悪用しようと犯罪者は躍起になっています悪質なハッカーはサポートされないシステムを経由して企業の IT インフラへ侵入しようとしますまたセキュリティ保護が強化されている大企業は避けてそのサプライチェーン内で中小規模の企業を標的としてサポートされないシステムを狙って侵入を試みます 2) 法令遵守とサイバーセキュリティガバナンス PCI-DSS や HIPAA-HITECH などの法令により脆弱な可能性があるシステムで取り扱われる情報とプロセスを保護するために必要な予防手段を講じるよう企業は要求されています Securities and Exchange Commission(SEC) はこのことに力を入れておりデータ侵害に関するガイドラインを発行し報告義務を規定しています Office of Compliance Inspections and Examinations(OCIE) による 2014 年 1 月の優先事項に関するレターでは情報テクノロジーシステム運用機能市場アクセス情報セキュリティ突然の誤動作やシステム停止への対応準備のガバナンスと監督について記載されていますサイバーセキュリティは今や重大なリスク要因として年次報告書でも記載が必要となっています保護されていないシステムを使用して法令違反となった場合高額な罰金や厳しい法的措置が科せられます 3) データ侵害による評判の失墜と対応コストシステムが保護されていないとデータ侵害機密データの漏えいミッションクリティカルな取引を実行できない顧客サービスを提供できないなど業務の中断が発生する可能性が高まりますこれらはすべて顧客の信頼を損なうことにつながりますさらに攻撃が発生するとシステムの修復調査顧客対応のために追加コストが発生します 2

4) Microsoft 社のカスタムパッチのテストに伴うコストレガシーアプリケーションへのパッチをテストするコストについても考慮が必要です Microsoft 社からパッチを購入しても多くのベンダーでは自社のアプリケーションへの影響をテストできないためパッチをサポートしませんそのためカスタムパッチをテストするコストが追加で発生しますまたパッチの適用によってアプリケーションが停止するリスクに備える必要もあります結果として運用上のコストとリスクが増加します考えられる選択肢サポートの最終日以降サポートされない Windows Server 2003 システムにおけるセキュリティ侵害の可能性に対処する方法として 4 つの選択肢が考えられます選択肢 1: 何もしません一部の企業はミッションクリティカルではないアプリケーションについてはサポートされないプラットフォームで継続して使用することを選択しますしかし最近のデータ侵害事例をみると悪質なハッカーはサポートされないシステムの脆弱性を悪用してバックドアから侵入したうえで攻撃を実行していますミッションクリティカルなアプリケーションが新しいプラットフォームで動作しない場合何もしないという選択肢はありえません思い切ってプラットフォームを移行するのか顧客サポート契約を購入するのかサーバーセキュリティを強化するソリューションを導入するのか意思決定が必要です選択肢 2: 新しいプラットフォームへアプリケーションを移行しますこの選択肢は新しい OS と関連アプリケーションの利点を活用する場合またはハードウェアとソフトウェアを標準化して IT システムの運用コストと管理コストを最小限に抑える場合に最も適していますライフサイクルが終了したシステムに関連するリスクと脆弱性は解消されます移行することによって生産性セキュリティ管理の面で多大な効果があるとはいえ実務作業は困難なものです従来の移行作業ではインベントリデータや構成データを手動で収集しさまざまなツールを組み合わせ続発する不測の事態に対応するためにスクリプトの作成とテストを行っていました多数の作業が次から次へと発生するため時間コストモチベーションが阻害されていましたプラットフォーム移行を計画する場合運用予算への影響も考慮する必要があります 3

選択肢 3: Microsoft 社からカスタムサポート契約 (CSA) を購入しますこの選択肢で考慮すべき重要事項がいくつかあります CSA を購入できるのは Premier サポート契約を締結しているお客様だけです価格はサーバー 1 台あたり 500 ドルから 700 ドルとされているようですカスタムサポートではパッチが自動的に提供されることはありません Microsoft 社が脆弱性の重大度を最高と評価した場合ですらパッチ対応の努力はされても厳格な SLA はありません重大とされないインシデントにはパッチの代わりに回避方法や推奨事項が提供される場合もありますつまりゼロデイ脆弱性は未対処のままとなりパッチが提供されない場合やその他の脅威が発生した場合システムは攻撃にさらされることになります CSA は Microsoft 社の経営陣が個別に承認するものですサポート料金に加えて契約交渉や承認手続きのコストも考慮が必要です前のセグメントにすべて含めましたカスタムサポートプログラムは新しいオペレーティングシステムへ移行する際のサポートギャップを埋めるものなので長期的なソリューションにはなりませんまた高額のカスタムサポートおよびパッチの頻繁なテストのためコストが上昇します選択肢 4: サーバー強化ソリューションによってレガシーシステムを保護監視強化しますこのアプローチではお客様は HIPS/HIDS ベースのセキュリティを導入してサーバーを強化しアプリケーションと OS カーネルの活動を監視しアプリケーションに対する管理権限とアクセスをロックダウンしますこの選択肢ではサーバーのインフラを保護しながら運用目的や予算に応じてサーバーの移行を実行できますダウンタイムを最小限に抑え現時点では新しい OS プラットフォームで動作しないアプリケーションを保護できます利点 : 既知および未知の ( ゼロデイ ) マルウェアに対する保護が可能なのでサーバーのセキュリティが強化されます継続的な更新をしなくてもプロアクティブな保護が提供されるので緊急パッチ適用が不要となりパッチ適用に伴うダウンタイムと IT 費用が最小限に抑えられますサーバーに対するパッチがタイムリーに提供されなくても継続的な保護が有効なのでセキュリティインシデントが減少し対応コストが削減されますこれは明らかに最適な選択肢ですホストのセキュリティはより適切で一貫したものとなりレガシーシステムの移行に関するコスト全般は減少し制御が強化されます 4

Symantec Data Center Security Symantec Data Center Security: Server Advanced を使用すると Windows Server 2003 やその他のレガシーシステムを効果的に保護して以下のことを実現できますダウンタイムと業務の中断を最小限に抑えます運用面や予算面の制約に応じてプラットフォームの移行を実行しますセキュリティ標準を遵守し法的義務を果たします柔軟性に欠けたネットワークおよびセキュリティゾーンに頼ることなくマイクロセグメンテーション戦略を自動化および統合してアプリケーションレベルでセキュリティ強化ポリシーを適用しますこのアプリケーションレベルのセキュリティアプローチは Windows Server 2003 システムが万一侵害された場合でも追加のレイヤーでミッションクリティカルなアプリケーションを保護します Symantec Data Center Security: Server Advanced は次の機能によってレガシー Windows Server 2003 システムを保護しますアプリケーションをホワイトリスト化して保護ターゲットを絞った防止ポリシー段階的な侵入防止ポリシーファイルシステム管理者のロックダウンファイル整合性の監視システム構成の監視 Symantec Data Center Security: Server Advanced について詳しくは Symantec Data Center Security: Server Advanced データシートを参照してください移行に際してはエンドユーザーの生産性を保護すると同時に効率的で費用対効果が高く持続可能な方法が求められますシマンテックが提供する移行および導入ソリューションはプロセスを合理化して的確な管理を行い移行における費用遅延中断を削減します必要な行動 : シマンテックのソリューションで今すぐ保護または移行を実行しますサポートされないレガシーシステムを使用することに伴う課題は軽視できませんただし克服できないものでもありません OS のサポートが終了してもビジネスがセキュリティ脅威にさらされるわけではありません高額なライフサイクル終了サポートで悩む必要もありませんシマンテックのソリューションは Windows Server 2003 に対するサポート終了以降もシンプルかつ包括的で費用対効果の高い保護と移行を提供します業務は中断されることなく継続しコンプライアンス規定も引き続き遵守されますまたお客様のビジネスニーズに基づいてシステム移行のスケジュールを設定し管理できますレガシーシステムの保護について詳しくはこちらを参照してください 5

詳細情報シマンテックの Web サイト http://enterprise.symantec.com Copyright 2015 Symantec Corporation. All rights reserved. 製品の仕様と価格は都合により予告なしに変更することがあります本カタログの記載内容は 2015 年 4 月現在のものです Symantec と Symantec ロゴは Symantec Corporation またはその関連会社の米国およびその他の国における登録商標ですその他の会社名製品名は各社の登録商標または商標です株式会社シマンテックお問い合わせ 107-0052 東京都港区赤坂 1-11-44 赤坂インターシティ www.symantec.com/jp 6 E1504DS0-IN-21345142