“隠れサーバー”に要注意！ 末端のウイルス感染が全社に影響を及ぼしかねない今、Windows Server 2012のサポート終了を前にしておくべきこと

　Windows Server 2012／2012 R2 が、2023年10月にサポート終了（EOS）を迎える。

　Windows Serverの古いバージョンがEOSになるたびに、新しいOSにアップデートされないサーバーが一部残り、セキュリティリスクとなる。IT管理者がいない、または兼任情シスなどの体制で運用されている中小企業のサーバーなどが多いとされているが、さらに大企業のIT管理部門によってきちんと管理されているサーバーだけでなく、部署予算で購入してファイルサーバーなどの用途に使われていて管理が行き届かないサーバーもある。そうしたサーバーがアップデートされないままセキュリティ上の問題になることが懸念される。

　こうしたWindows Server 2012／2012 R2から、最新のWindows Server 2022に移行する必要性や利点、方法などについて、日本マイクロソフト株式会社の佐藤久氏（業務執行役員 デバイスパートナーソリューション事業本部 事業本部長）に話を聞いた。

日本マイクロソフト株式会社 業務執行役員 デバイスパートナーソリューション事業本部 事業本部長 佐藤久氏

EOSになっても約20万台のWindows Server 2012が残る？

――2023年10月にWindows Server 2012／2012 R2がEOSとなります。Windows Server 2012／2012 R2で稼働中のサーバーはどれくらい残っているのでしょうか？

佐藤氏：MM総研の調査結果によると、2022年の年末のタイミングで約29万台のWindows Server 2012が稼働していることが予想されていました。

　また、オフィスでは、「隠れサーバー」とも呼ばれる、IT担当者の目が行き届かないところにあるサーバーが多く存在しています。過去のWindows ServerのEOSのときもそうですが、残念ながらこのようなサーバーには十分なセキュリティサポートが行われず、EOSに気付かないまま使い続けてしまうのも事実です。

　そのためマイクロソフトでは、EOSを迎える2023年10月の段階でも、約20万台のWindows Server 2012が残存すると予測しています。

Windows Server 2012/2012 R2の稼働台数予測　引用元：MM総研2021年12月調査「国内Windows Server 2012 稼働台数調査」）

――移行作業が遅れているのは、どんな場所・用途で使われているサーバーが多いのでしょうか？

佐藤氏：さきほど挙げたMM総研の調査によると、EOSの認知がされていないサーバーの用途としては、ファイルサーバーが最も多いです。次いでDBサーバー、アプリケーションサーバーなどです。

　ファイルサーバーなどは、部門予算でタワーサーバーを購入し、管理されていない状態で使われているということがよくあります。

――Windows Server 2008が2020年にサポート終了となったときにも、同じような状況だったのでしょうか？

佐藤氏：そうです。残念ながら毎回残ってしまいます。保守契約しているサーバーではベンダーを通じてEOSをお伝えできますが、契約外にある隠れサーバーは見落とされがちです。

　もう1つの課題として、中小企業ではIT部門に多くリソースがさけていないことがあります。いわゆる一人情シスや兼任情シスといったケースです。その結果、見落とされるサーバーがあるということがあります。

　また、中小企業に限らず大企業でも、IT部門の担当が分散した結果、見落とされることがあります。

中小企業でも狙われ、取引先に広がると被害額も信用失墜も大きい

――中小企業で管理が行き届いていないサーバーのOSサポート期限が切れた場合、どのようなセキュリティリスクが生じるでしょうか？

佐藤氏：現在では、攻撃の対象も方法も以前と変わってきており、サイバー攻撃被害の半分以上は中小企業となっています（＊警視庁ホームページ 令和４年上半期におけるサイバー空間をめぐる脅威の情勢等について）。中小企業の社内システムへの不正侵入を試みる不審なアクセスやランサムウェア攻撃は増大しています。

　ランサムウェアなどにサーバーを乗っ取られると自社のビジネスに影響が出ますが、さらに取引先に被害が拡大するサプライチェーン攻撃もあるため、中小企業でもより大きな被害が起こるリスクがあります。最大5千万円という被害額が発生することもあるとIPAも警告していますし、なにより信用の問題になってしまいます。

引用元：令和2年IPA「中小企業向けサイバーセキュリティ事後対応支援実証実験成果報告書」

　そこで、IPAが示している中小企業の情報セキュリティ対策ガイドラインで第一に推奨されているのが、OSやソフトウェアを最新の状況にアップデートするということです。OSのサポートが切れることにより、セキュリティパッチの提供もなくなります。これがいかに大きなインパクトを与えるかというところを、多くの方に知っていただきたいです。

IPAの「情報セキュリティ5か条」

――ランサムウェアによる被害が国内セキュリティ事案において2年連続1位というデータ（＊情報セキュリティ10大脅威 2022 IPA）もあります。この脅威への対策はどのようにお考えですか？

佐藤氏：はい。そのためには、OSやソフトは最新の状態を保ち、ハードウェアもそれに合わせた世代のものにすることが求められます。

　Windows Server 2022から「Secured-core」の基準を満たしたサーバー「Secured-core server」の提供も始まりました。これは、ランサムウェアなど、サーバーが標的になることの多い脅威からの保護を目的としたもので、ファームウェアレベルの攻撃からもマシンを守ります。サーバーのファームウェアやドライバに対するサイバー攻撃を防ぐべく、高度なセキュリティ基準を満たし、簡単な設定で堅牢な防御を実現します。

――ファームウェアへの攻撃というのは、実際に出回っているものなのでしょうか？

佐藤氏：2021年にマイクロソフトがhypothesis社に委託したリサーチ「Security Signals Boost SDM Research Learnings」によると、大企業の約87％が過去2年間の間に、1回以上ファームウェアを狙った攻撃を受けたと報告しており、その被害の多くはサーバーや、ネットワークにつながったデバイスなどが占めています。Secured-core serverやSecured-core PCであれば、こうしたOSが立ち上がる前の攻撃に対応できます。

――大企業でも、隠れサーバーの問題とそれによるセキュリティリスクはあるでしょうか？

佐藤氏：はい。さらにグローバル企業では、関連企業や取引先に被害が拡大すると、世界規模に広がりかねないという点がより危険です。

　大企業の中でも隠れサーバーは存在しています。中小企業と同様に、事業部門で設置してIT管理者がサポートしていないサーバーがあるケースもしばしば見かけます。まずは、自社のサーバーの状況の精査を、2023年10月に向けてなるべく早くしっかりと行っていただくことが重要と考えています。

　大企業の場合は特にITガバナンスに尽きると思います。マイクロソフトの場合を例にとると、海外のオフィスやデータセンターでも、各国のコンプライアンスに対応のうえで、すべて同じオペレーションをして、人や国、環境に依存しないようにしています。そこまでは難しいと思いますが、ITガバナンスを意識することで、隠れサーバーもなくなってくると思います。

――管理者が把握していない隠れサーバーを見つける良い方法があればお教えください。

佐藤氏：隠れサーバーを見つけるという意味では、一番頼りになるのは、サーバーを購入、構築したマイクロソフト製品の販売パートナーへ確認することだと思います。それにより、既存のシステムとの互換性も確認しつつ、最新のサーバー環境の提案も受けることができると考えています。

――マイクロソフトからパートナーに向けて、ユーザー企業の移行について働きかけているでしょうか？

佐藤氏：はい。マイクロソフトはWindows Server 2012のEOSに向け、メーカー各社や販売パートナーに向けたトレーニングや情報共有により、受け皿を整備しています。共同でセミナーを開いたり、キャンペーンを行ったりと、メッセージを発信し続けています。あとは1社でも多くの企業のセキュリティを守るための、のラストワンマイルを進めていきたいと考えています。

――特定の環境に依存していて移行が難しいアプリケーションなどもあるかと思います。早くから移行を検討していればよかったのでしょうが、今からではどのような対応方法があるでしょうか？

佐藤氏：一つの方法としては、仮想化してAzure Stack HCIにのせれば、3年間サポートを延長できます。これを使って、その間に移行計画を真剣に考えていただくという手があります。本来はお勧めするストーリーではありませんが、塩漬けのサーバーの移行計画を作るために、そういう方法もあるかなと思います。

ハイブリッドクラウド対応や、Windows 11 用ファイルサーバーとしての速度・安全性など

――Windows Server 2022に移行することによる、セキュリティ以外のメリットなども教えてください。

佐藤氏：クラウドと連携したハイブリッドクラウドの構成が作りやすくなっています。中でも、サーバーのデータをAzureに拡張するAzure File Syncや、仮想マシンも含めてバックアップが取れるAzure Backupなどによって、データや仮想マシンのバックアップや連携が簡単にとれます。また、ハイブリッド運用することで、さまざまなコストを最適化するオプションが検討可能になるというメリットもあります。

　これらの機能を段階的に活用することで、ハイブリッドクラウドやフルクラウド環境への移行にも目が向き、インフラのモダナイズ化に向かえると考えています。

　優れた管理性も重要なポイントです。Windows Admin Center（WAC）は、追加コストなしで使用できる ブラウザベースの管理ツールです。複数台のWindows Serverを集中管理する場合、管理サーバーを立ててWACを導入するのが一般的ですが、WACはAzure Portalにも統合されているので、管理サーバーを立てずにAzureからオンプレミスのサーバーを管理することもできます。どこに置いてあっても1つのコンソールからモニターして管理できます。

　ほかにもWindows Server 2022は、アプリケーションプラットフォームとしても強化されており、コンテナアプリケーションの展開強化や、Kubernetesとの連携強化などもポイントです。

　もう1つ、Windows 11と組み合わせることで強化されるものもあります。まず、Windows Server 2022とWindows 11の間は、AESと呼ばれる暗号化方式で、256ビットの暗号鍵が使用できるのもポイントです。また、Windows Server 2022のファイルサーバーとWindows 11の間ではSMB圧縮転送が使えるため、対応していない場合に対して最大約2倍の性能向上が図れます（出所：MKTインターナショナル 2021年調査）。Windows Server 2022とWindows 11の組み合わせでは、オートネゴシエーションでAES256ビット暗号鍵やSMB圧縮が有効になるので、手間を掛けずにセキュリティ強化と性能向上が見込めます。

――データ量の多いファイルサーバーなどでは、データの移行に手間がかかると思います。なにかお勧めの方法はありますか？

佐藤氏：移行サポートについては販売パートナー各社でも多くのサービスを提供しています。また、ファイルサーバーであれば特にお勧めしたいのがStorage Migration Service（記憶域移行サービス）です。Windows Admin Center上から拡張機能を入手して簡単な手順で実行でき、データだけでなくパラメータも引き継いでくれます。

――サーバーの次は2025年にはWindows 10のサポート終了に向けて、クライアントOSもWindows 11への移行も進めていく必要があります。Windows 11のメリットについても教えてください。

佐藤氏：まず一言目はセキュリティです。クライアント側でもSecured-core PCと呼ばれる製品ラインナップがどんどん増え、またお客様からのお問い合わせも多くなってきております。Windows Server 2022と同様に、年々巧妙化するサイバー攻撃に対応するために、同時に導入することをおすすめしたい製品の1つです。

　生産性も良くなっています。Windows Severだけでなく、様々な製品がありますが、それぞれ年々進化・連携しており、新しいコンピューティングの世界が待っています。最新の環境をみなさんに体験していただきたいですね。

――ありがとうございました。