企業に残る「Windows Server 2003」は300万台 サポート終了で真っ先にやるべきことは？：何もしないという選択肢はない（2/2 ページ）

[Michael Cobb，TechTarget]

Windows Server 2003のサポート終了後に使用すべきセキュリティ制御

　大半の企業では、ミッションクリティカルなソフトウェアの完全移行に、少なくとも1年は掛かるとMicrosoftは見積もっている。対応が難しい場合は、優先順位付けを迅速に行い、既存環境に適した緩和策を判断する必要がある。

　Windows Server 2003マシンのセキュリティは、Microsoftが提供する「Enhanced Mitigation Experience Toolkit 5.2（EMET）」で強化できる。管理者は脆弱性の緩和技術を利用してどのアプリケーションを保護したいのかを決定する。バッファオーバーフローやメモリ破損といった攻撃をブロックするのに役立てられる。

　ただし、EMETの利用にはアプリケーションの互換性に関するリスクが伴う。アプリケーションの動作によっては、その正常な実行をブロックしてしまうことがあるのだ。そのため、対象システムで十分に検証してから運用環境に導入することが重要だ。EMETのGUIは稼働中のプロセスを容易に確認できる。一連のアプリケーションの中に、特定の脆弱性緩和技術と互換性のないプロセスがあれば、そのプロセスへの監視を無効にすればよい。EMETを使用するメリットの1つは、ゼロデイ攻撃に立ち向かう上で欠かせない「データ実行防止（DEP）」と「Address Space Layout Randomization（ASLR）」という重要な2つのテクノロジーを有効にするために、自社開発のソフトウェアを再コンパイルする必要がないことだ。

　特権管理の技術は、Windows Server 2003サーバで新規あるいは要求されないプログラムやコードの実行を防止するのに役立つ。また、仮想パッチの適用やWebアプリケーションファイアウォール（WAF）などでセキュリティの防御層を追加できる。Windows Server 2003サーバが攻撃を受けたときの隔離方法についても計画を整えておくことが肝要だ。システムへの攻撃が疑われ、実行中のプロセスの情報を詳しく確認したい場合は、スロバキアを拠点とするESETが無償で提供するユーティリティ「ESET SysInspector」が有用だ。

　レガシーソフトウェアとアプリケーションの移行は、多くの時間とリソースを消費する作業だが、サポートされていないソフトウェアを実行するのは大きなリスクである。そういったソフトウェアは攻撃者にとって格好のターゲットで、見つけた脆弱性を悪用し続けることができる。

　Windows Server 2003からの移行は、企業にとって、サーバとソフトウェアをアップグレードしたり、ハイブリッドクラウドやパブリッククラウドを活用したり、次世代のテクノロジーのメリットを享受できるチャンスである。多くの管理者が、Windows Server 2003からの移行を完了している。さまざまなサポートフォーラムで、移行時に直面した課題、落とし穴、回避不可能な問題、問題の解決方法に関する投稿を参照することで、移行を完了した開発者の経験からヒントを得られるだろう。

　何の対策も行わないという選択肢はない。