日本マイクロソフト株式会社 チーフセキュリティアドバイザー 高橋正和氏

2015年7月15日(日本時間)の「Windows Server 2003 / 2003 R2」サポート終了まで、いよいよ残り1年を切った。日本マイクロソフトの推計では、Windows Server 2003 / 2003 R2で稼働するサーバーは6月末時点で日本国内に約30万台あり、全サーバーの15%程度を占めているという。ただし、2013年末からの半年ほどで6万台ほどが減少しており、今後さらにWindows Server 2003 / 2003 R2のマイグレーションが本格化すると日本マイクロソフトでは見ている。

大企業などではWindows Server 2003 / 2003 R2のマイグレーションがほぼ完了しているという企業も多い。その一方で、中堅・中小企業ではまだサーバー移行の目処も立っていないというケースが少なくないという。日本マイクロソフトのチーフセキュリティアドバイザー、高橋正和氏は、企業のITシステムの3年後、5年後をイメージして、いま始められることから着手すべきだと指摘する。

「PCやサーバーは一定の期間で必ず入れ替わりが必要になります。そのタイミングでITシステムを徐々にセキュアなものにしていくことが大切です。一度に完成形を求めるのではなく、いまこれが危険だと言われているところから着手し、安全性の高い方向へ徐々にシフトしていく。そのために必要な基盤については、できるだけ早い段階で整えるべきです」(高橋氏)

Windows XPのリプレースが一段落したばかりだが、PCと違い、サーバーはその存在があまり意識されることがないため、どうしても移行が後回しになっている企業も多いだろう。高橋氏は企業のITシステムを巡るセキュリティ上の脅威から、その対策の重要性を指摘する。

「Windows Server 2003 / 2003 R2がリリースされた2003年頃は、セキュリティ対策と言えば、いかに社内の大切なデータを外部に持ち出させないか、そしていかにウィルスを社内に入れないかが焦点になっていました。しかし現在では、企業にとってセキュリティ上の深刻な脅威となっている、標的型攻撃と呼ばれるサイバー攻撃の対策が大きな課題となっています」(高橋氏)

高度化する標的型攻撃への対策が不可欠

標的型攻撃では、メールやWebを介してファイアウォール内に侵入し、企業の機密情報を持ち出したり、社内ネットワークを乗っ取ったりと、企業に深刻な被害をもたらす。オンラインバンキングの不正送金などの手口が広がっている「サイバークライム(犯罪)」や昨年韓国の銀行や放送局などが大きな被害を受けた「サイバーテロ」、企業や国家に対するスパイ行為を行う「サイバーエスピオナージ(諜報活動)」、さらにはスタックスネットというウィルスがイランの原子力発電所に被害をもたらしたことで大きな話題となった「サイバーウォーフェア(紛争)」など、標的型攻撃はより高度化・大規模化の一途をたどっており、企業が最優先で対応すべきセキュリティ上の課題となっている。

標的型攻撃の脅威の状況

こうした新たな脅威に加え、スマートデバイスの普及によるBYOD(私的デバイスの持ち込み)の浸透、クラウドサービスなど外部サービスの増加といったITシステムをめぐる環境の変化も、システム管理者を悩ませている。エンドユーザーによるデバイスの持ち込みやデータの持ち出し、あるいはユーザー部門が独自にサーバーを立てたり、勝手に外部のクラウドサービスを利用したりして、IT部門などの管理下から外れてしまう「シャドーIT」と呼ばれる問題だ。シャドーITではセキュリティレベルが担保できず、そこから情報が漏えいするというリスクが生じる。

「昨年、無料のメーリングリストサービスを通じて、中央官庁の内部情報が公開されてしまうという事件がありました。これは、利用したサービスにWebでの閲覧機能があり、しかも初期状態ではアクセス制限がされていない事が原因でした。管理者などの管理下から外れると、安全性をチェックする目が入らないため、セキュリティ上の問題が起こる危険性が高いのです」(高橋氏)

ツールの導入だけでは新しい脅威は防げない

では、こうしたセキュリティ上の課題に対処しながら、社内のITシステムを管理していくためにはどんな対策が必要になるのか。

高橋氏は従来のセキュリティ対策とは考え方を変えるべきだと指摘する。かつてのセキュリティ対策は、アンチウィルスやIDS(侵入検知システム)、ファイアウォールなどのツールを導入することを意味していた。しかし標的型攻撃が広がる現在では、PCやデバイスそのものを脅威からどう守るかというセキュリティ対策に変わらざるをえない。例えばPCがイントラネット上にある場合はファイアウォールやゲートウェイに守られていても、Wi-Fiで繋いだ途端にその保護が外れてしまう。ツールではなく、PC自体を管理していく仕組みを構築することが何よりも重要と言える。

「もちろん、セキュリティ製品は必要です。しかしセキュリティ製品だけでは対策が出来ない事は明らかになっています。このため、PCそのものがマルウェアに感染しにくい状態を構築・維持することが重要になっています。加えて、PCやサーバー、そしてネットワーク(ドメイン)管理者権限による利用を最小限にとどめることが重要になっています。最新のシステムは、仮にマルウェアに感染したとしても、管理者権限さえ守ることが出来れば、深刻な被害には拡大しないようにデザインされています。」(高橋氏)

標的型攻撃をはじめとする脅威に備え、さらにBYODやクラウドサービスといった利用者のワークスタイルの変化に対しても柔軟に対応できるIT基盤を構築する上で、「Windows Server 2012 R2」を選択するのも有効な対策だ。Windows Server 2012 R2は、認証や暗号化などの多層防御が実装された安全性の高いプラットフォームを提供し、標的型攻撃から各デバイスを確実に保護しながらBYODの管理も実現できる。また、仮想化やプライベートクラウドですぐに安全なサーバーを用意することができ、クラウドサービスとイントラネットとのID連携も可能になる。

「当たり前のことですが、攻撃者と利用者は待ってくれません。現場の利用者はIT部門とは別の目的を持って日々動いており、攻撃者も利己的な目的からどんどんと巧妙な手段で攻撃してきます。利用者の利便性を確保しながら標的型攻撃に備える、フレキシブルで堅牢なIT基盤を構築することが重要になっています」(高橋氏)

いまだWindows Server 2003 / 2003 R2を利用している企業は、最新のセキュリティ対策を手軽に実現できるWindows Server 2012 R2へのマイグレーションから検討を始めてみてはいかがだろうか。