組織内部でも問題--サポート切れのサーバOSを使い続けるのは事業継続に関わる

田中好伸 (編集部)

2014-11-04 08:00

前編から続く)

 Microsoft日本法人が2007年当時にWindows Server 2003の用途を調べると、業務アプリケーションが25.1%でトップ。続いてデータベースが16.5%、ファイルサーバやプリントが13.7%、ウェブが8.8%、グループウェアが8.5%、メールが7.4%となっている。

 ノークリサーチの7月の調査では、基幹系や情報系、部門内などで実際に活用されていることが明らかになっている。もし、ウェブなどの外部に公開されているアプリケーションの基盤としてWindows Server 2003が活用されている場合、サポート終了後も利用し続けるのは、外部の脅威に簡単に狙われることを意味している。

 一方で、外部に公開していないアプリケーション基盤として、組織内部にあるシステム基盤として活用しているので、そのままでもいいのではないかという見方もある。だが、渡辺氏は「組織内部のサーバでも対策は必要」と警告する。

 クライアントマシンにマルウェアが感染して、クライアントマシンがディレクトリサービスのActive Directoryを攻撃して管理者のIDとパスワードが盗まれ、ファイルサーバやほかのセグメントに侵入するという危険があるからだ。「内部サーバだからほっといていいというわけではない」(渡辺氏)

 先に見たように、Windows Server 2003は業務システムの基盤という役目を少なからず現在でも担っている。外部に公開されていないシステムであっても、その業務システムがマルウェアに感染して過負荷がかかったり停止してしまったりした場合、これは事業を継続できないという状況に陥ることになる。つまりは「組織として対策を取るべき課題」(渡辺氏)だ。

 業務システムが停止することは短期的な事業継続の問題になり得る。だが、問題はこれだけにとどまらない。取引先との関係で信頼をなくすことになることにもつながりかねない。最近では、大企業と取り引きする中堅中小企業では、セキュリティの事故や事件(インシデント)を引き起こさないことが求められるようになっている。標的型攻撃の手段として「本当の標的である大企業の情報を盗むために、中堅中小企業が狙われる」(渡辺氏)可能性もある。

 こうした背景から考えると、サポートが終了したWindows Server 2003を利用し続けることは、単にセキュリティの問題というだけでなく、企業が事業を継続できるかどうか、というより大きな問題ととらえて対応を考える必要がある。事業継続の観点からサーバOSをどう対応すべきかは、経営問題に直結すると表現することもできる。

 ここで必要なのが経営層の理解だ。セキュリティ上の課題を解決するためにという論理ではなく、事業を継続するために、取引先との関係を持続するためにという論理であれば、経営層も納得しやすいはずだ。

 売上高をもとにシステムが停止した場合の被害額を試算してみれば、経営層はより理解しやすいだろう。例えば、全業務システムが丸1日停止したとして、月間の売上高を20営業日で割って1日あたりの売上高を試算してみせるのもひとつの方法だ。

 システムと業務が密接な関係にあることを社内で一番理解しているのはIT部門であり、システム停止が業務に与える想定被害額などを「IT部門から数字を示した方がいい」(渡辺氏)だろう。

ZDNET Japan 記事を毎朝メールでまとめ読み(登録無料)

ZDNET Japan クイックポール

自社にとって最大のセキュリティ脅威は何ですか

NEWSLETTERS

エンタープライズ・コンピューティングの最前線を配信

ZDNET Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]