Windows Server 2012のサポート期限終了(EOS)に伴うセキュリティリスクと対策をご紹介
2023年10月、Microsoftによる Windows Server 2012/R2の延長サポートが終了します。これに向けて、同システムを利用している場合は、計画的な対応が必要です。サポート終了後はWindows Updateが行われなくなるため、サポート終了までに新OSなどへの移行が推奨されます。もしWindows Server 2012/R2のサポートに対して期限切れになった場合、どのようなリスクが考えられるのか。また、具体的にどう対応を進めるべきなのか、ここで詳しく解説します。
Windows Server 2012のサポート期限終了(EOS)の時期
MicrosoftによるWindows Server 2012/2012 R2の延長サポートが、2023年10月10日に終了します。対象となるOSは以下のとおりです。
- Windows Server 2012
- Windows Server 2012 R2
Windows Server 2012は2012年9月5日にリリースされたOSです。Windows 8のサーバー向けOSという位置づけで、Windows Server 2008 R2の後継となっています。Windows Server 2012以外にも、Windows Server 2016の延長サポートは 2027年1月12日まで、Windows Server 2019はメインストリームサポートが2024年1月9日まで、延長サポートは2029年1月9日までです。Windows Server2012を使用していない場合でも、まずご自身がどのバージョンを使用しているのか確認しておきましょう。そのうえで、今後の入れ替えについては今から計画的に考慮しておくことが大切です。
延長サポートはセキュリティ面での脆弱性や重大なバグの修正など一部サポートのみを提供するというもので、バージョンアップや移行までの猶予期間という扱いとなります。そのため、メインストリームサポートが終了してしまったOSを保有している場合には、早急に移行計画を立てましょう。Windows Server 2019についても直前になって慌てないよう、今のうちからバージョンアップ・リプレイス計画を見込んでおいてください。参考まで、ここでメインストリームサポートと延長サポートの違いについても解説します。
メインストリームサポート
製品発売から最低5年間、仕様変更や新機能の追加、セキュリティ更新プログラムの提供、その他のパッチなどの修正が無償提供されます。
延長サポート
メインストリームサポート終了後、最低5年間、セキュリティ更新プログラムのみが無償提供されるサポートです。
Windows Server 2012のサポート期限終了後のリスク
サポート期限を迎えた後、そのまま継続してWindows Server 2012/2012R2を利用する場合には、どのようなリスクがあるのでしょうか。
セキュリティリスク
まず考えられるのが、「セキュリティリスク」です。延長サポート以内のOSについては、通常ならWindows Updateという形でセキュリティパッチが展開されています。しかし延長サポートが終了してしまったWindows Server 2012/2012R2は、MicrosoftによるOS障害発生時のサポートを受けることができなくなります。さらにはWindows Updateを含めたセキュリティパッチの提供が行われないため、新たに発見されたセキュリティの脆弱性への対策が行われません。
通常、悪意のある攻撃は新たに発見されたセキュリティの脆弱性に対して行われるケースが多くなります。そのため、攻撃されるリスクが非常に高い状態のまま稼働することになるのです。悪意のある攻撃に晒された場合、サーバーに格納されているユーザ情報やパスワードをはじめとしたデータが第三者の目に触れる可能性があります。そうなれば企業情報や個人情報の漏洩といった、会社の信用を揺るがす自体が発生するかもしれません。また情報漏洩だけでなく、サーバーを停止されたり、拡散させるウィルスを配置されたりする場合もあります。昨今はランサムウェアなど、こうした脆弱性を狙う悪質な事件が少なくありません。例えば2022年3月22日には森永製菓が外部から不正アクセスを受け、ウェブサイトから164万8,922人分の顧客情報が流出した可能性があると発表しました。こうしたこから、セキュリティリスクは「まだ使用できるから」の一言で済まされないのが実情です。
Windows Server 2012/2012 R2はさまざまな基盤に利用されていますが、Active Directory(以下、AD)などの認証・認可基盤で多く見られます。なぜならWindows ServerのADは、多様なシステムのID・アクセス管理に欠かせないものだからです。その他、Windows Server 2012/2012 R2は以下のようなものにも広く用いられています。
- Microsoft 365やMicrosoft Azureなどクラウドサービス向けのID・アクセス管理を担うAzure Active Directory(Azure AD)
- 更新プログラム適用を制御するWindows Server Update Services(WSUS)
- 情報共有のファイルサーバーシステム
これらのシステムには個人情報や顧客、自社に関するさまざまな情報が集約されています。そのため、しっかりアップグレードを実施し、セキュリティリスクを少しでも削減することが必要です。
周辺サポートの終了
次に、「周辺サポートの終了」もリスクとして挙げられるでしょう。Windows Server 2012/2012R2のサポートやパッチアップデートがなくなるため、それに合わせたドライバーやアプリケーションなど周辺ソフトウェアのアップデートやサポートも終了となります。Windows Server 2012/2012R2のサポートが切れることでセキュリティパッチが更新されなくても、アンチウイルスソフトを入れてれば大丈夫と思われる方がいるかもしれません。しかし、稼働しているOSがサポート終了になるため、アンチウイルスソフトもWindows Server 2012/2012R2上で動作するバージョンに関してバグやセキュリティの脆弱性へ対応しなくなります。その結果、アンチウイルスソフトもセキュリティ脆弱性への対応がされないため、攻撃されても防げないリスクが高まるのです。
また、ソフトウェアについては通常、ソフトウェアベンダーによって最新もしくはそれに準ずるパッチをもとにバージョンアップが行われます。そのため、Windows Updateが停止しているWindows Server 2012/2012R2上では、最新バージョンのソフトウェアが動作しない可能性があるでしょう。そのまま放置しておくと、「自動アップデートしたら動かなくなった」という事態が発生するかもしれません。
ハードウェアのリスク
さらに、ハードウェアについてのリスクも考えられます。一般的にハードウェアの保守期間も5年間ほどとなっており、長く使うほど経年劣化によって故障する確率は高くなるものです。また、交換用のパーツも生産中止となり、後継モデルの製造のみとなる場合が多いでしょう。そのため、万一故障した際に、メーカーやインテグレーションベンダーの保守交換を受けられなくなってしまいます。すると、システムの復旧が困難になってしまうのです。
Windows Server 2012のサポート期限終了後の対策
前述したサポート期限終了後のリスクへの対策として、Windows Server バージョンの見直しと、OSに合ったハードウェアのアップグレードを行いましょう。もし「現在利用しているシステムをそのまま継続して利用したい」という場合は別途ハードウェアを調達し、最新のWindows Serverとアンチウイルスソフトなど周辺アプリケーションを備えたサーバーを準備します。次に新サーバー上で利用しているシステムの最新バージョンを構築し、移行リハーサルなどを経て切替えを行ってください。
2023年10月がサポート終了なので、逆算すると以下のようなスケジュールで切替の計画を立てる必要があります。プランや準備、機器の調達、あるいは切替や予備期間などを踏まえると、15カ月ほどは余裕を見た方が良いでしょう。
これからプロジェクトの立ち上げに求められるスケジュール計画や構築作業など、Windows Server 2012/2012 R2からの移行はTDシネックスにご相談ください。オンプレミス、ハードウェアのアップグレードも含めてのご相談に対応しております。
https://www.synnex.co.jp/solution/hybrid-cloud-assessment/
また、オンプレミスではなくクラウドサービスを活用する方法もあります。インフラや基盤を自前で構築する必要がなく、導入作業の工数や期間の削減が可能です。さらに導入後の監視・管理はクラウド事業者が行ってくれるため、運用管理の手間も減らせます。ADサーバーやファイルサーバーが多拠点に展開している場合は、特にメリットが大きいでしょう。
しかし、移行を担当する人員がいない、あるいは予算が確保できていないなどの理由から、バージョンアップや移行ができないということも考えられます。そのような場合に備え、Microsoftでは救済措置のようなサービスがあります。
過去、Microsoftは2009年7月に延長サポート期限を迎えた「SQL Server 2008/2008 R2」、2020年1月14日に延長サポート期限を迎えた「Windows Server 2008/2008 R2」「Windows 7 Service Pack1(SP1)」に対し、延長サポート期限を開始日として最大3年間、セキュリティ更新プログラムを受け取ることができる「拡張セキュリティ更新プログラム(Extended Security Updates、ESU)」を提供しました。ESUは1年ごとに購入する必要があり、現在、SQL Server 2008/2008 R2は最後の3年目(2022年7月12日まで)、Windows Server 2008/2008 R2とWindows 7 SP1は2年目(2022年1月11日まで)の期間にあります。これらのバージョンと同様に、MicrosoftはSQL Server 2012/2012 R2の延長サポート期限まで1年を切った2021年7月14日(米国時間)、SQL Server 2012/2012 R2とWindows Server 2012/2012 R2に対しても、最大3年のESUを有料または無料で提供することを発表しました。これにより、最大3年間はWindows Server 2012/2012R2 のセキュリティの一部について、なんとか攻撃されるリスクを抑えられるようになっています。
とはいえ、やはりアンチウイルスソフトをはじめ周辺アプリケーションのバージョンアップは、提供されなくなってしまうことが予想されるでしょう。そのため、可能な限り早く移行プロジェクトを立ち上げ、移行を完了させることが推奨されます。
まとめ
Windows Server 2012/R2のサポート期限終了に伴う、セキュリティリスクと対策をご紹介しました。これに向けて、以下のような点について自社での運用を整理することが大切です。
- OSのバージョンを改めて確認(2012以降のバージョンも順次サポート終了となる)
- サーバーの筐体の保守年数を確認(新サーバーの調達もしくはクラウド利用なども計画に必要)
- 周辺アプリのバージョンの確認
- セキュリティの見直し
- 新サーバーへの移行期間
引き続きWindows Server を利用する場合には、企業としての信頼を維持するためにも、サポート終了までにOSやハードウェアを移行することを強く推奨します。また、新環境への移行先については、オンプレミスだけでなくクラウドへの移行も検討する機会となるでしょう。この機会にオンプレミスとクラウド、それぞれのメリットやデメリットを比較し、より自社の運用に合った環境を選択してください。 新しいWindows Server環境を検討するにあたって、自分たちだけでは判断できない、情報収集したいけど上手くまとまらないという悩みが出るかもしれません。TDシネックスではシステム環境に関するお悩みを解決する、「ハイブリッドクラウドアセスメントサービス」をご提供しています。移行に関するご不明点や今後利用を検討するシステムについての調査・運用のご相談は、TD シネックスまでお気軽にお問い合わせください。
ハイブリッドクラウドアセスメントサービス
https://www.synnex.co.jp/solution/hybrid-cloud-assessment/
[筆者プロフィール]
後藤 聡和
ネットワークからサーバーエンジニアを経て、コンタクトセンター基盤のシステム開発、保守からプロジェクトマネジメントまで経験。IT技術に関する記事も執筆中。現在はSaaSベンダーにてプリセールスエンジニアとして従事。
