リスク管理アプローチで整理するWindows Server 2003問題：Gartnerが提案するベストプラクティス

サポートが終了するWindows Server 2003をどうするべきか。これについての問い合わせが急増しているGartnerが、リスク管理の観点から問題を整理することを提案している。リスクとは何か？　どうコントロールする？

[Carl Claunch，Computer Weekly]

　米調査会社Gartnerでは数カ月前から、米MicrosoftのWindows Server 2003をベースとするシステムの利用継続に関する問い合わせが目立って増えている。Windows Server 2003は2015年7月14日に製品サポートが終了するからだ。そして、Windows Server 2003のサポート終了までに、Microsoftのサポートが受けられるバージョンへのアップグレードが完了できそうもない顧客が多数存在することが明らかになってきた。

Computer Weekly日本語版　12月17日号無料ダウンロード

本記事は、プレミアムコンテンツ「Computer Weekly日本語版　12月17日号」（PDF）掲載記事の抄訳版です。本記事の全文は、同プレミアムコンテンツで読むことができます。

• Computer Weekly日本語版　12月17日号：それでもWindows Server 2003を使うのか

なお、同コンテンツのEPUB版およびKindle（MOBI）版も提供しています。

　Gartnerに寄せられた多くの問い合わせからは、実に多くの企業が、自社と類似した状況にある他企業はこの問題をどう対処しているのかを把握しようと、助言や斬新な打開策、ベストプラクティスなどの情報収集に取り組んでいることがうかがえる。そんな企業に対してGartnerはまず原則として、2015年に延長サポート期間が終了した後に顧客企業が直面する状況とリスクを丁寧に説明する。状況を評価するための基礎としてビジネスでのリスク管理の原則を適用した上で、過去の事例で効果が認められたテクニック、ツール、戦略、取り組みを紹介するのだ。

　中規模の企業からIT業界の大企業に至るまで、サポートを受けられないシステムでも運用を継続することを予定している企業や組織は驚くほど多い。技術力に長けた企業も、その分野にはさほど自信のない企業も共通して、自社のワークロードを全て完全に新しい環境に移行させるには、時間も予算も十分ではないと感じている。

　リスクを完全に管理できる簡単な仕組みなど、何ひとつ存在しない。取り得るベストプラクティスは、膨大な選択肢の中から幾つか選んで組み合わせることで、自社に最適な対策を講じることだ。各システムに適したアプローチは、個々の対策とリスクによってさまざまなものが考えられる。

サポート終了後のセキュリティ上およびシステム運用上のリスク

　Windows Server 2003とWindows Server 2003 R2に対するMicrosoftのサポートプログラムは現在、延長サポートのフェーズにある。周知の通り、これは2015年7月14日に終了する予定だ。この日以降は、コードに新たな脆弱性が発見されても、Microsoftは修正を加えたファイルを公開することはない。また、セキュリティ以外の不具合が見つかっても対処する予定はないし、システム運用中に障害が発生した顧客を支援することもない。

　しかも、顧客の悩みの種はOSだけではない。ビジネスアプリケーションなどのソフトウェアを販売し製品サポートを行うサードパーティーは、コードのサポート期間をその動作環境であるOSに合わせて設定している場合がある。従って、Windows Server 2003上でサードパーティー製のソフトウェアを稼働させると、そのシステムはサードパーティーから見てもサポート対象外の環境となる。

　セキュリティの脆弱性が攻撃された場合、アプリケーションを運用していたシステムに障害が発生し、内部のデータは盗まれるか、改ざんされる恐れがある。さらに、攻撃を受けたシステムはデータ傍受の足掛かりにされて、データセンター内の他のシステムに対する新たな攻撃が実行されるかもしれない。

　セキュリティのリスクに加えて、顧客がWindows Server 2003上で稼働するITシステムの操作を変更すると、隠れていた不具合が表面化して、システムが所定の動作をしなくなる可能性もある。発生した不具合が必ず修正できる保証はない。そのITシステムが、部分的であれ全面的であれ、突然本来の目的を果たせなくなることもある。例え、遭遇した問題を解決するだけならばコードの変更は不要だったとしても、根本的な原因を突きとめるためにはMicrosoftの専門家の助けが必要になることもある。しかしそんな場合でも、もはやMicrosoftから必要なリソースが提供されることはない。

　また、社内規定やコンプライアンスの義務が、既存システムの利用が継続できるかどうかにかかわる場合もある。本番稼働のシステムには、製品のプロバイダーからのサポートが得られるもののみを使用すると規定している場合があるからだ。このような場合にサポート期間終了後もWindows Server 2003上でソフトウェアの運用を継続すると、社内規定やコンプライアンスに対する違反となってしまう。

　2015年に延長サポートのフェーズが終了した後もWindows Server 2003のセキュリティの脆弱性に対する修正を提供するように、サポート契約をカスタマイズする交渉については、Microsoftは柔軟に応じる姿勢を見せている。ただし、契約のカスタマイズに必要な、比較的高額な料金が容認できたとしても、サポートの延長はソリューションとして十分とはいえない。カスタマイズしたサポート契約の内容は、顧客が自由に設定できるわけではない。サポート契約のカスタマイズプランは、（Microsoftからの正規の）サポートが受けられるバージョンのWindows Serverにアップグレードすることが前提となっていて、その移行作業を完了する日付があらかじめ契約の条文に盛り込まれている。顧客はこの契約に署名しなければならない。MicrosoftはWindows Server 2003に対しては何も変更を加えない。（延長サポート期間終了後は）Microsoft製品の動作環境としてはサポート対象には含まれなくなるからだ。また、顧客がMicrosoftとのサポート契約をカスタマイズしていたとしても、Windows Server 2003に変更を加えることにはならない。

セキュリティ上およびシステム運用上のリスク管理

　セキュリティ上および運用上のリスクは幾つか考えられるが、その中にはツールを1つまたは複数組み合わせて使用すれば解決できるものがある。しかしそれ以外は、さまざまなツールを組み合わせたり、複雑なシステムを独自に開発しなければ解決できない。また、全く解決不可能なものもある。例えばSQLにセキュリティの脆弱性が発見された場合、データベースへのアクセスを管理するツールが解決策になることがある。ただし、その脆弱性がMicrosoftのInternet Information Services（IIS）や業務アプリケーション自体に影響を及ぼす場合は、その種のツールはあまり役に立たない。ファイアウォールとシステムへの侵入監視ツールがあれば、予想される攻撃にどうにか対処できるシステムもあるが、ビジネスルール自体に影響を与える恐れのある攻撃も多い。そうなると、アプリケーションのコアであるロジックから変えなければならない。

優先順位の設定がシステムに与える影響

　リスクを特定したとしても、それが実際に起こるとは限らない。さらに、攻撃の影響はシステムによって一様ではない。それぞれに性質の異なる複数のリスクを軽減または解消するための手段も幅広く存在する。障害が起こったとしても被害は軽微なことが予想されるのに、実現可能性の低い障害に備えるために多くの時間と費用を割くのは軽率かもしれない。一方、特定の業界に属する企業は、法規制によって、製造元からの正式なサポートがないアプリケーションを稼働させることが許されない場合もある。

　Windows Server 2003ベースのシステムの中には、10年近く稼働を続けているものもある。この状況で、（製品サポートがないという）新たな問題によって、システムの運用を妨げるようなリスクが発生するとすれば、それはどんなものなのか。

続きはComputer Weekly日本語版　12月17日号にて

本記事は抄訳版です。全文は、以下でダウンロード（無料）できます。

• Computer Weekly日本語版　12月17日号：それでもWindows Server 2003を使うのか

■Computer Weekly日本語版 最近のバックナンバー

Computer Weekly日本語版　12月3日号：iPad vs. Windows 8.1　勝者は？

Computer Weekly日本語版　11月19日号：データセンター管理者はもういらない

Computer Weekly日本語版　11月5日号：クラウドに失敗する企業の法則