XPだけではない 今そこにある「Windows Server 2003」危機をどう切り抜ける?:中堅・中小企業が直面する「Windows Server 2003」の2015年問題(1)
「Windows Server 2003」の製品サポートが2015年7月に終了する。中堅・中小企業のIT担当者にとっては、運用中のサーバをどうするか頭を悩ませている人も少なくない。来たるべき「2015年問題」に対処する方策を探る。
2015年7月に全ての製品サポートが終了する「Windows Server 2003」は、今もなお現役サーバとして、国内で数十万台《※1》稼働しているといわれている。中堅・中小企業のIT担当者の中には、運用中のWindows Server 2003ベースのサーバをどうするか、頭を悩ませている人も少なくないだろう。人員や予算が限られる中、コストを抑制しながら、来たるべき「2015年問題」に対処する方策を探る。
※1 2013年時点の予測では、国内のx86サーバ稼働台数は223万台で、うちWindows Server 2003またはそれ以前のサーバOSを実行するものは約36万台と全体の16.2%を占める。出典:IDC Japan 2013年Q2 Quanterly Server Forecast
関連記事
- 今やらないと後で大変 Windows Server 2003からのロール(役割)移行
- “2003/2008信奉者”も心変わりする「Windows Server 2012」のメリット
- Windows Server 2012への移行は2013年が節目
- Windows XP/Server 2003をすんなり移行できない「不都合な真実」
Windows Server 2003の製品ライフサイクルの終了
日本マイクロソフト(以下、マイクロソフト)は同社が定めたサポートライフサイクルポリシー(2002年10月に策定、2004年6月および2012年2月に改定)に基づいて自社製品に対する製品サポートを提供している。Windowsに関してはサーバOS、デスクトップOSともに最低5年のメインストリームサポートと最低5年の延長サポートで、最低10年のサポート期間が約束されている。
ただ、次期バージョンのリリース時期との関係で、5年以上のメインストリームサポートが提供されることも珍しくない。一方、製品名にR2のようなマイナーバージョンについてはメジャーバージョンと同じライフサイクルが適用され、5年を待たずにメインストリームサポートが終了する場合もある。
マイクロソフトサポートライフサイクル(http://support.microsoft.com/lifecycle/ja)
2003年5月に発売が開始されたWindows Server 2003および後継製品の「Windows Server 2003 R2」はどちらも、2010年7月13日(米国時間)にメインストリームサポートが終了し、いよいよ2015年7月14日(同)には延長サポートの期限を迎える。それにより、原則としてこれらのOSに対する全ての製品サポートが終了する。
延長サポートフェーズにある現在は、セキュリティ更新プログラムサポート(無償)と有償サポート(プレミアムサポート、プロフェッショナルサポート、またはパーソナルサポート)による問題解決の手段およびセキュリティ関連以外の修正プログラムの作成の新規リクエスト(延長修正プログラムサポート契約《有償》が必要)が提供されている状態だ。延長サポートが終了することによる影響は、簡単にいえば、これら3つのサポートが終了することを意味している。
誤解してはいけないのは、サポートが終了したからといって、その日からサーバが利用できなくなるわけではないということである。現在、安定稼働しているサーバやシステムは、ハードウェアの故障やセキュリティ問題が発生しない限り、サポート終了後も問題なく稼働し続けるだろう。
画面1:2003年中頃リリースのWindows Server 2003と2006年初頭リリースのWindows Server 2003 R2(画面)はどちらも、2015年7月に全ての製品サポートが終了する
致命的なのは更新プログラムサポートの完全終了
先日、2014年4月に延長サポートが終了した「Windows XP」の現在の状況を見れば分かるように、セキュリティ更新プログラムサポートの終了は、セキュリティリスクを大きく増大させる。サポート期間中のWindowsや「Internet Explorer」(IE)などのコンポーネントに何らかの脆弱性が発覚したとしても、同じ脆弱性がサポート終了製品に存在するのかどうかさえ公表されることはない。一方で、悪意のある者は、毎月サポート対象の製品について公表されるセキュリティ情報をヒントにして、同じコードを含むであろうサポート終了製品に対する攻撃方法を考えるのがたやすくなる。サポート終了による最大の懸念は、こうして日に日にセキュリティリスクが増大していくことにある。
通常、ユーザーがコンソールを操作することがないサーバは、Windows XPなどのクライアントOSよりもセキュリティリスクの影響を受けにくいと考えるかもしれない。しかし、マルウェアに感染したファイルの共有フォルダへの書き込みや、イントラネット内でのワームの活動、通常のソフトウェアに見えて、実はマルウェアを同梱したソフトウェア(フリーのメンテナンスツールなど)のインストールなど、そのサーバが稼働している限り、侵入ルートは数多く存在する。
サポート終了後も問題のサーバを運用し続けることは可能だ。しかし、万が一、サポート終了製品の公表されていない脆弱性を突いた攻撃により、システム破壊や情報漏えいのインシデントが発生した場合のコストを考えれば、無対策、無防備で放置するわけにはいかない。
関連記事
- IT管理者が知っておくべきWindows Server 2012の4機能
- Windows Server 2003の延命にHyper-V活用は妥当か?
- 簡単なようで難しい Hyper-Vによるサーバ仮想化の意外な落とし穴
移行作業に必要になるかもしれない有償サポート、実は、OEM版でも利用可能
有償サポートの終了もまた、移行作業を早めるべき大きな理由の1つである。今後、サーバを後継バージョンに移行する作業において発生した問題の解決のために、有償サポートの利用が必要になるかもしれないからだ。マイクロソフトの有償サポートは、年契約またはインシデント単位で購入することができる。なお、ボリュームライセンス製品を利用している場合は、無償のサポートインシデント枠を利用できる場合もある。
法人向けサポートサービス―Microsoft Services(http://www.microsoft.com/ja-jp/services/support.aspx)
PCサーバにプレインストールされたOEM版のWindows Serverを使っている場合、有償サポートの終了は関係ないと考えている人が多いようだ。「OEM製品はOEMメーカーがサポートを提供するから、マイクロソフトの有償サポートの対象外」と最初から諦めているのである。
Windowsの場合、パッケージ製品についてはセットアップ、インストール、基本操作について90日間(最初の問い合わせ日またはライセンス認証後から起算)、回数無制限の無償サポートが提供される。OEM版のWindowsの場合、この90日サポートを提供する窓口がOEMメーカーになるということだ。無償サポートの終了後については、原則としてOEMメーカーが標準保証や有償のサポート/保守契約に基づいたサポートを提供するが、マイクロソフトの有償サポートを利用できる場合もあるのだ。
マイクロソフトの有償サポートの対象にならないのは、「Microsoft製品のうちDatacenter Server製品(Windows Server 2008より前)および第三者の特殊なハードウェア上で動作する製品」《※2》となっている。これらに該当する場合は、OEMメーカーを通じてのみサポートが提供される。「特殊なハードウェア上で動作する製品」の範囲がどこまでなのか定かではないが、一度、マイクロソフトのサポート窓口に対象になるかどうかを問い合わせてみるとよいだろう。
※2 出典:プロフェッショナルサポートファミリー契約約款(http://support.microsoft.com/gp/csa_professional/ja)
中堅・中小企業向けSBS 2003/2003 R2もサポート終了
Windows Server 2003についてはここ最近、サポート終了について取り上げられることが多くなっているが、Windows Server 2003ベースの中堅・中小企業向け「Windows Small Business Server(以下、SBS) 2003」や「SBS 2003 R2」もまた、事実上、同じ日にサポートが終了する。
実は、SBS 2003/2003 R2の延長サポート終了日は、製品に含まれるコンポーネントごとに異なる。ベースはWindows Server 2003またはWindows Server 2003 R2なので、2015年7月14日に終了すると考えた方がよい。SBS 2003/2003 R2のコンポーネントである「Microsoft Exchange Server 2003」や「Microsoft Outlook 2003」「Microsoft SQL Server 2000」は既にサポートが終了している。「Windows SharePoint Services(以下、WSS) 2.0」や「Windows Server Update Services(以下、WSUS)2.0」も後継の「WSS 3.0」や「WSUS 3.0 SP2」に移行していない限り、既にサポートが終了している。その他、「Microsoft SQL Server 2005 Workgroup」(以下、SBS 2003 R2)は2016年4月12日まで、「Microsoft Internet and Security Acceleration(ISA)Server 2004」は2014年10月14日まで延長サポートが提供される。
なお、Windows Server 2003ベースのOSとしてはこの他、NASアプライアンス製品向けの組み込み用OSとして、「Windows Storage Server 2003」および「Windows Storage Server 2003 R2」があるが、これらの延長サポートは2016年10月9日まで続く。現在のWindows XPがそうであるように、組み込み向けOSのサポートが続くため、悪意のある者はWindows Server 2003の延長サポートが終了する2015年7月以降、組み込み向けOSに対して公開されるセキュリティ情報を攻撃のヒントに悪用するかもしれない。
適切に更新されていないシステムは既に危険
延長サポート終了に伴うセキュリティリスクの増大という問題は、現在、稼働中のサーバやシステムにおいて、パッチ更新管理、バックアップ管理、セキュリティ対策(境界ファイアウォールや不正侵入防止システム、マルウェア対策)など日々の運用が適切になされていてのことだ。適切な運用管理が行われていないサーバやシステム、安定稼働のために更新プログラムの適用を意図的にストップしている、あるいは、導入済みのマルウェア対策はとうの昔にサポート契約が切れてそのまま、といった環境にある場合、サーバOSのサポート終了に関係なく、既に安全ではない状態である。
ソフトとは必ずしも一致しないハードのライフサイクル
古いサーバの問題は、ソフトウェアのライフサイクルだけではない。PCサーバのハードウェアにもライフサイクルがある。そして、重要なポイントはソフトウェアのライフサイクルとハードウェアのライフサイクルは必ずしも一致しないことだ。
ハードウェアが老朽化すると、パフォーマンスの低下や故障率の上昇といった問題が顕在化する。時間の経過とともに、交換品の入手は困難になり、しかも割高になる。例えば、交換のために数百Gバイトの純正HDDを購入する予算があれば、今なら数Tバイトのより高速なHDDを購入できるかもしれない。また、PCサーバメーカーが持つ交換品も在庫限りで残り少ないか、既に入手できなくなっているかもしれない。一般的にメーカーによる補修用部品の保有期限は、製造打ち切り後5年程度である。ハードウェア保証契約を結んでいる場合でも、長期契約で10年程度が限度だろう。それを越える継続運用は、故障したら終わりと承知しておいた方がよい。
PCサーバをリース契約で導入している場合は、リース期間がライフサイクルになる。ソフトウェアのライフサイクルとリース契約の期間をよく考えて、契約更新や終了を判断しないと、途中解約の違約金など余計な出費がかさむことになる。タイミングを逃せば、ソフトウェアのライフサイクル終了後もセキュリティリスクと隣り合わせで運用を続けることになる。
これまで移行できなかった最大の理由は懐事情
2015年7月のその日、Windows Server 2003ベースのシステムは全て撤去されていることが理想である。しかし、特に中小企業にとっては、人的にも予算的にも完全に対応を済ませることは不可能であろう。
サーバOSのライフサイクルは最初から決まっていたことである。その期限が間近になっても対応できなかった理由は、ほとんどの場合、費用の問題だろう。アプリケーションの互換性を問題にするかもしれないが、コストを掛ければ移行できないはずはない。
今となっては、ベースのテクノロジが違い過ぎるため、現在のアプリケーションの機能をそのまま最新環境に移行しようとすると、余計にコストが積み上がってしまう。ビジネス環境を改善する新しい機能があるならまだしも、同じ機能を提供するための移行にコストを掛けるのは、経営サイドにしてみれば全くの無駄に見えるだろう。
ではどうすればよいのか。それには思い切った計画が必要になるだろう。中堅・中小規模の企業だから可能な、思い切った計画である。
その具体策については、次回以降に取り上げていく。
Copyright © ITmedia, Inc. All Rights Reserved.