永久ライセンスを保有するVMwareユーザー企業に対して、Broadcomが停止命令を送り始めたことを受け、企業はセキュリティパッチを含むサポートを確保するためにどうしたらよいのか。
2025年5月に入り、VMwareの仮想化ソフトウェアの永久ライセンスを使い続けている企業ユーザーの元に、Broadcomから正式な利用停止通告書が届き始めているとの報告が相次いだ。この通告書は非常に明確かつ厳しい内容で、「既にサポート契約は終了しており、契約終了後に適用されたアップデート、パッチ(修正プログラム)、機能拡張は即座に削除すること」と強く求めている。ライセンスの監査が実施される可能性も示唆されており、契約違反が認定された場合には「追加的な損害賠償」を請求される恐れがある。
この動きは、永久ライセンスユーザーをVMwareのサブスクリプション契約へ強制的に移行させる施策の一環であり、多くの企業にとっては、仮想化基盤を長期的に所有、維持できる時代に終わりを告げるものとなる。
今や、VMwareライセンスを一括購入した企業でさえ、新しいサブスクリプションに署名しない限り、サポート提供は不可能だと告げられている。企業はITシステムの最も根幹的なレイヤーの一つを、どのように管理し、維持するかについて困難な決断を迫られている。
VMwareの仮想化ソフトウェアは、単なる業務アプリケーションではない。システム全体の根幹を成すインフラそのものと言える存在であるため、多くの最高情報責任者(CIO)がサポートなしでの運用にためらいを見せている。潜在的なリスクが極めて大きいからだ。仮想インフラにおける脆弱(ぜいじゃく)性や障害は、CRM(顧客関係管理)システムのバグとは性質が異なる。システム全体に影響を及ぼす構造的な弱点となる可能性がある。
この技術的リスクは、VMware公式サポート以外の選択肢を検討する組織にとって間違いなく大きな障壁だが、その度合いは一律ではない。バージョン、導入モデル、ネットワーク構成、運用の成熟度によって大きく異なる。例えば、厳密に管理されたVMware環境で、安定バージョンを最小限の露出で運用している場合と、新規ビルドのマルチテナント環境でオープンに運用している場合とでは、リスクの種類が全く異なる。
一般的には、「サポート=セキュリティ」「サポートなしの運用=リスク増大」と考えられがちだが、現実はそれほど単純ではない。多くの企業環境において、セキュリティはパッチが利用可能かどうかだけでなく、環境の構成および管理、監視体制の質によって左右される。
パッチは即座に適用されるわけではない。リスク評価、統合テスト、変更管理プロセスなどにより遅延が生じる。多くの場合、セキュリティ上の脆弱性はパッチの未適用ではなく、設定ミスによって生じる。管理インタフェースの露出、脆弱な認証情報、過度に寛容なアクセス権限などだ。
パッチ未適用であっても、管理が行き届いた環境の方が、最新パッチが適用済みで運用がずさんな環境よりも、はるかに安全な場合がある。脆弱性分析、環境固有の影響評価、緩和戦略を通じてプロアクティブ(能動的)なセキュリティに焦点を当てるサポートモデルは、パッチの適用とは異なるが、同等に有効な保護形態を提供する。それらはパッチ配信のみに依存せず、脆弱性が攻撃チェーンでどのように動作するか、悪用可能かどうか、どのような補完的制御手段があるかを考慮する。
このような個別最適化されたリスク管理手法は、VMware製品の古いバージョンに対するベンダーサポートが縮小している現在において特に重要だ。報告されている脆弱性の多くは、コアの仮想化スタックではなく、新しい製品コンポーネントやバンドルサービスに関連している。セキュリティリスクの高まりという認識は、対象となるバージョンの安定性と成熟度を考慮する必要がある。言い換えれば、全てのサポート対象外環境が同等のリスクを抱えているわけではないということだ。
一部のVMware環境、例えばサーバ仮想化ソフトウェア「VMware vSphere」の5.xや6.xなどの古いバージョンは、既にベンダーのパッチ適用範囲外となっており、今回のBroadcomの動きは象徴的な意味しか持たない可能性もある。
一方で、vSphereのバージョン7や8をサポート契約なしで使用している場合、状況はより複雑だ。重大度やバージョンによっては一部の重要なセキュリティパッチが引き続き利用可能なものの、その確実性は低下している。
こうした中、企業は継続性の確保、コンプライアンス(法令順守)の維持、熟練した技術専門知識へのアクセス維持を図ろうと、VMwareの代替サポートサービスに注目している。
サードパーティーサポートは、一時的な解決策として、企業が長期的な計画を策定する間の時間稼ぎのために利用するケースが多かった。しかし最近では、それ自体が戦略的な選択肢として認識されつつある。サードパーティーサポートは、信頼性の高いサポートパートナーを確保しつつ、仮想化ロードマップのコントロールを維持したい企業にとって、長期的な解決策となり得るからだ。
サードパーティーサポートによって、リスクは包括的に評価され、どの脆弱性が本当に重要か、構成を通じて何が対処できるか、いつエスカレーションが必要かが特定される。このアプローチは、多くの企業が最先端機能を追い求めているわけではないという事実を認識している。彼らが望むのは、安定して理解しやすい環境であり、予測不能な変更が頻繁に発生しないことだ。
加えて、サードパーティーサポートは、急激でコストのかかる移行を強いられたり、自社のビジネスニーズに合わないサブスクリプション契約に縛られたりすることもない。最も重要なのは、サードパーティーサポートによって企業が独自のスケジュールで移行を進められるようになることだ。
サポート対象外のVMware環境に関する議論の多くは、技術的なリスクに焦点を当てている。しかしより長期的な観点では、戦略的リスクの方が重要だ。永久ライセンスの終了、サブスクリプション価格の高騰、そして今回の法的に強制されるサポート範囲の制限など、これら全ては企業の「ITインフラ戦略のコントロール喪失」という、より大きな問題を示唆している。
ベンダーが一方的に設定するスケジュールやライセンスモデル、監査ポリシーが、かつては自社所有だったソフトウェアの使用方法をますます支配するようになっている。サードパーティーサポートはリスクをゼロにするものではなく、リスクを再分配し、コントロール可能にする選択肢だ。これにより、企業は移行のタイミングや方法、アップデートの管理方法、投資先について、より主体的に決定できるようになる。ベンダーの思惑が支配する環境において、この独立性はますます重要になっている。
Broadcomによる停止命令は、ソフトウェアベンダーとユーザー企業の関係における新たな段階を示している。それは、協力関係ではなく、契約上の履行によって定義される関係だ。インフラを「所有する」という考えに固執するVMwareユーザー企業にとって、これは厳しい現実認識を迫られるものだ。サポートはもはや選択肢ではなく、永久ライセンスももはや永遠ではない。ユーザー企業が選べる道は以下の3つだ。
多くの企業にとって、3番目の選択こそが、運用のセキュリティと戦略的柔軟性を両立する現実的な解決策だ。
問題は、サポートされていないインフラがリスクかどうかではない。より大きなリスクは、他者に今後の展開を決定させることにある。
翻訳・編集協力:雨輝ITラボ(株式会社リーフレイン)
Copyright © ITmedia, Inc. All Rights Reserved.
なぜクラウド全盛の今「メインフレーム」が再び脚光を浴びるのか
メインフレームを支える人材の高齢化が進み、企業の基幹IT運用に大きなリスクが迫っている。一方で、メインフレームは再評価の時を迎えている。
「サイト内検索」&「ライブチャット」売れ筋TOP5(2025年5月)
今週は、サイト内検索ツールとライブチャットの国内売れ筋TOP5をそれぞれ紹介します。
「ECプラットフォーム」売れ筋TOP10(2025年5月)
今週は、ECプラットフォーム製品(ECサイト構築ツール)の国内売れ筋TOP10を紹介します。
「パーソナライゼーション」&「A/Bテスト」ツール売れ筋TOP5(2025年5月)
今週は、パーソナライゼーション製品と「A/Bテスト」ツールの国内売れ筋各TOP5を紹介し...
ITmediaはアイティメディア株式会社の登録商標です。
