「2027年1月12日」は運命の日？ サポート切れOSを使い続ける会社の末路：半径300メートルのIT

「2027年1月12日」という日付を、あなたの組織は意識していますか？　これはWindows Server 2016の延長サポート終了日です。今回はサポート終了後も使い続けるリスク、「とはいえ現実問題対応できない」という組織に向けた対策を考えます。

[宮田健，ITmedia エンタープライズ編集部]

　「2027年1月12日」――あと1年を切ったその日付が何の日か、パッと思い浮かぶ方は今、大変な作業の真っ最中かもしれません。その日に見覚えがなければ、これから大変な判断を迫られるでしょう。その日とは、「Windows Server 2016」の延長サポート終了です。この日を境に技術サポートや脆弱（ぜいじゃく）性修正パッチの提供が受けられなくなります。

Microsoftのライフサイクルポリシーページにも「2027年1月12日」という日付が刻まれている（出典：MicrosoftのWebサイト）

　サポートが切れてしまった製品を使い続けることは、リスク管理上全くお勧めできません。サポート切れというタイムリミットを前に、アップグレードをせず現状のまま利用するなら、恐らくは攻撃の格好のターゲットとなることを許容する必要があるでしょう。

　今回はこのサポート期限を前に、取るべき選択肢を考えてみたいと思います。

現場の本音「アップグレードできれば苦労しない」　即した対策を考える

　言うまでもありませんが、サポート期限前に取るべき対策は「アップグレード」です。「Windows Server」は「2025」までリリースされており、メインストリームサポートは2029年11月13日まで、延長サポートは2034年11月14日までを予定しています。Microsoftの思惑としてはこのバージョンへのマイグレーションを推奨していると思いますが、「それができれば苦労しない」というのが現場の本音でしょう。

　サーバはさまざまなアプリケーションを動かすためにあります。アップグレード自体はできたとしても、その上で動くアプリケーションが動くかどうかという点が、アップグレードの真の課題でしょう。そのため、アップグレードにはテストの期間が必要であり、オンプレミスのシステム移行を含めて、動作確認にはそれなりの工数がかかります。既に延長サポート終了を意識している組織なら、その作業に着手しているはずです。

　問題は「そんな期限を知らなかった」という組織です。サポートが切れてもしばらくは継続して運用するという判断は、今後登場する既知の脆弱性に対し、取れる手段が少なくなります。多くの場合、修正パッチによる対策だけでなく、緩和策も取れるでしょう。しかし、それはあくまで対症療法的なもの。やはり脆弱性を修正する必要があります。そのためアップグレードをしないという判断は危険です。

　あるいは「社内のみでしか使わないというサーバ」であればいいと判断する現場もあるでしょう。しかし今では侵入そのものを防ぐことこそが難しく、時間さえかければ境界の内側に入り込めてしまいます。そうなれば社内だから安全というわけにはいきません。

　アップグレードの時間が取れず、サポート切れ後も継続して運用するのであれば、ネットワークセグメントを分ける、アカウントの権限管理を正しくするなど、それ以外の対策を講じるしかないと思います。それはアップグレードしたとしても重要なことですから、リスクが増える以上、忘れずに実施することを推奨します。

嫌なタイミングでやってきた変化――“クラウド”という選択も？

　気になっているのは、このタイミングでやってきた「メモリ高騰」というトレンドです。組織におけるサーバOSのアップグレードは、ハードウェアごとのリプレースを伴うはずです。そのハードウェアの重要な要素であるメモリが、今大変な値動きとなっているのは、皆さんも知っているはずです。アップグレードを決めたが、想像をはるかに超える見積もりが出てきたとき、やはりアップグレードをやめようという選択肢がチラついてしまうかもしれません。

　今あるハードウェアをOSだけ入れ替えるわけにもいかず、かといって限られた予算では新ハードには届かないとなると、もはや選択肢は「クラウドサービス」なのかもしれません。Windows Serverで何をしていたかにもよりますが、ファイルサーバなどであればクラウドストレージを、「Active Directory」に関してもクラウド版を活用するという選択はあり得ます。しかし時間がない状態で、かつクラウド移行というノウハウを手に入れなければならないため、これもハードルが高いでしょう。

　ただし、できるところまではクラウドでやるという考え方はできるはずです。もし全社でクラウドサービスを含むライセンスを保有しているのであれば、ストレージや認証管理の一部分をクラウドに移行し、ノウハウをためつつ徐々にクラウド化を進めることは、基盤強化にプラスとなるはずです。Windows Server 2019（2029年1月延長サポート終了）や2022（2031年10月延長サポート終了）を使用している組織なら、ぜひ検討してみてください。

バックアップの目的はここ10年で大きく変わっている

　アップグレード計画を進行中の組織は、このタイミングで「ランサムウェア対策」もすることをお勧めします。2016を利用していたタイミングでは、東日本大震災以降、コロナ禍以前のシステムであることから、バックアップとは「自然災害を想定したディザスタリカバリー（DR）」としての用途が主だったと想像します。そのようなバックアップの視点では、DRは複数のデータセンターを用意し、1つの拠点が自然災害で使えなくなっても、バックアップを基に別のデータセンターによって事業を継続させる、というものだったはずです。

　しかし現在、バックアップの目的は変わりつつあります。ランサムウェア被害が激化する中、バックアップは「意図的にシステムを壊す」ことからの保護が目的になりました。攻撃者はいとも簡単に組織の中に侵入し、ネットワークを丹念に探索し、バックアップを見つけ、まずそれを破壊します。従来のDR対策としてのバックアップは、これを想定していなかったでしょう。

　そのため、現在のバックアップには「外部から意図的に壊されないようにする」、具体的にはオフラインやイミュータブル（変更不能）機能が求められます。この他、ネットワークセグメントを分け、万が一侵入されても見つけられにくい、攻撃されにくくする必要もあるでしょう。

　さらには「バックアップの頻度」「戻しやすさ」といった点も、かつてのバックアップとは異なるはずです。サイバー攻撃対策はもはや一刻も早い対処が必要です。月次や週次のバックアップでは無意味かもしれません。そして「履歴の長さ」も重要で、攻撃者が長期間潜伏していた場合、バックアップを戻しても潜伏後のマルウェアが復元されては問題です。

　バックアップはここ10年で大きなパラダイムシフトが発生しました。アップグレードをする組織はOSだけでなくこの点においても「意識のアップグレード」が必要です。

延長サポート期限をしっかりと意識しよう（経営者が）

　この業界ではサーバOSの延長サポート期限のたびに、システムインテグレーターやベンダーが「危ないですよ」「ハードウェアごとしっかり替えましょう」と大きく旗を振ってきました。もちろんそういった動きは本格化していますが、攻撃者に狙われないためにも、今回のアップグレードは重要ではないかと思います。

　アップグレードは基本中の基本。もしあなたの組織が被害に遭ったとき、報告書に「サポート切れのOSを使っていました」と書かれていたら、レポートを受け取った取引先や顧客はどう思うでしょうか……考えるだけで恐ろしい状況です。

　サポート切れのOSを運用し続け、インシデントに巻き込まれることで発生する復旧コストと、アップグレードを受け入れて既存アプリのテストや本番稼働後に発生するトラブルに対応するコスト。一体どちらが想像できるコストでしょうか。この辺の判断は、経営者自身が考える必要があるかもしれません。

著者紹介：宮田健（みやた・たけし）

元＠ITの編集者としてセキュリティ分野を担当。現在はフリーライターとして、ITやエンターテインメント情報を追いかけている。自分の生活を変える新しいデジタルガジェットを求め、趣味と仕事を公私混同しつつ日々試行錯誤中。

2019年2月1日に2冊目の本『Q＆Aで考えるセキュリティ入門　「木曜日のフルット」と学ぼう！〈漫画キャラで学ぶ大人のビジネス教養シリーズ〉』（エムディエヌコーポレーション）が発売。スマートフォンやPCにある大切なデータや個人情報を、インターネット上の「悪意ある攻撃」などから守るための基本知識をQ＆Aのクイズ形式で楽しく学べる。