Windows Server 2003 サポート終了後のサーバセキュリティ対策

どうしても移行が間に合わないWindows Server 2003を安全に使い続けるためには、サポート終了に伴うセキュリティリスクを理解し、適切なセキュリティ対策を施すことが重要です。

2017年3月24日

サポート終了によるセキュリティの影響

Windows Server 2003 のOSサポート終了に対する移行支援について

日本マイクロソフト株式会社(以下マイクロソフト)によるWindows Server 2003のサポートが2015年7月15日に終了しました。セキュリティ対策の観点から、トレンドマイクロではサポート終了したサーバOSは新しいOSへ切り替えることを推奨しています。しかし、まだ移行が難しいWindows Server 2003サーバに対しては、新しいOSへ移行するまでの間の暫定的なサーバセキュリティ対策として下記ソリューションを提供しています。

サポートが終了したOSは、セキュリティ被害に遭遇するリスクが高まる

サポート終了によって、それまでと何が変わるのでしょうか。サポートが終了したOSをそのままの状態で使い続けた場合のリスクをご紹介します。

新たに発見された脆弱性を利用した攻撃からサーバを保護できない

サポートが終了したOSに対しては、マイクロソフトから更新プログラムが提供されなくなります。このため、サポート終了後に新たに脆弱性が発見された場合、その脆弱性を利用した攻撃からサーバを保護することが出来なくなります。

ミドルウェア・ソフトウェアの脆弱性対策が出来ない

Windows Server 2003にインストールされた、マイクロソフトから提供されているミドルウェア・ソフトウェアの動作もサポートされなくなり、最新バージョンに移行できなくなります。Windows Server 2003をそのままの状態で使い続けることで、ミドルウェア・ソフトウェアの脆弱性対策も出来なくなります。

例:Internet Explorerをバージョン11にアップデートするには、Windows Server 2008以降のOSが必要

トレンドマイクロが提案する、2通りのセキュリティ対策ソリューション

仮想パッチで脆弱性を保護してサーバを守る

Trend Micro Deep Security™(以下、Deep Security)の仮想パッチ機能により脆弱性を保護することで、サポート終了後もWindows Server 2003を延命利用する際のセキュリティリスクを低減します。

「仮想パッチ」とは、脆弱性を狙う攻撃コードをネットワークレベルでブロックする機能です。仮想パッチはサーバを停止、再起動せずに適用することができます。Webサーバなど、インターネットに繋がっているサーバのセキュリティ対策に推奨しています。

仮想パッチによる脆弱性対策は、マイクロソフトのOSサポート期間には依存しません。トレンドマイクロはDeep SecurityのWindows Server 2003上での動作を2017年12月31日までサポートします

システムを特定用途化(ロックダウン)して脆弱性攻撃・未知の脅威からサーバを多層的に守る

Trend Micro Safe Lock™(以下、Safe Lock)を導入し、システムを特定用途化(ロックダウン)することでWindows Server 2003を延命利用する際のセキュリティリスクを低減します。

Safe Lockはパターンファイルを必要としないため、特にパターンファイル更新の運用が困難なクローズド環境などで利用するサーバや、CPUやメモリなどの空きシステムリソースが少ないサーバへの導入に適しています。

トレンドマイクロはSafe Lock 2.0のWindows Server 2003上での動作を少なくとも2019年1月31日までサポートします

各製品のサポート期間

各製品における、Windows Server 2003のサポート対応状況については、以下のページをご確認ください。

また、Windows 2003 Serverでのご利用有無にかかわらず、各製品バージョンのサポート期間は以下のページでご案内している期間となります。

仮想パッチによる対策

仮想パッチによるWindows Server 2003の延命利用時の対策

仮想パッチで脆弱性を保護する

Trend Micro Deep Security(以下Deep Security)の仮想パッチで脆弱性を保護することでWindows Server 2003を延命利用する際のセキュリティリスクを低減します。
仮想パッチによる脆弱性対策は、マイクロソフトのOSのサポート期間には依存しません。トレンドマイクロはDeep SecurityのWindows Server 2003上での動作を2017年12月31日までサポートします

Deep Securityの仮想パッチとは

「仮想パッチ」とは、脆弱性を狙う攻撃コードをネットワークレベルでブロックする機能です。正規パッチが適用されているのと同じ状態を仮想的に作り出すことから「仮想パッチ」と呼ばれています。

例えるならば、傷口に貼る絆創膏(バンソウコウ)をイメージしてください。人は怪我をしたときに、バイ菌の侵入を防ぐために、傷口が治るまでは、絆創膏を貼ります。これをクライアントやサーバに置き換えると、傷口が脆弱性で、バイ菌の侵入が脆弱性への攻撃です。「仮想パッチ」(絆創膏)は、脆弱性(傷口)への攻撃(バイ菌の侵入)を防ぐことができます。
この仮想パッチはDeep Security の機能として提供され、Apache、BIND、Microsoft SQL、Oracle等100以上のアプリケーションに対応しています。

Deep SecurityのWindows Server 2003上での動作サポート期間

システムの特定用途化による対策

システムの特定用途化(ロックダウン)によるWindows Server 2003の延命利用時の対策

システムを特定用途化(ロックダウン)して脆弱性攻撃・未知の脅威からサーバを多層的に守る

Trend Micro Safe Lock™(以下、Safe Lock)を導入し、システムを特定用途化(ロックダウン)することでWindows Server 2003を延命利用する際のセキュリティリスクを低減します。

Safe Lockは、脆弱性を利用した攻撃を防ぐ機能により、不正侵入や不正実行を防止します。また、予め登録されていない実行ファイル(exe,dllなど)の起動を防止することで、脆弱性攻撃や未知の脅威※1からサーバを多層的に守ります。パターンファイルを利用しない※2ため、パターンファイル更新の運用が困難なクローズド環境などで利用するサーバへの導入に適しています。
また、大容量のパターンファイルの読み込みや負荷のかかるウイルス検索などを行わないため、CPUやメモリなどの空きシステムリソースが少ないサーバへの導入に適しています。

トレンドマイクロはSafe Lock 2.0のWindows Server 2003上での動作を少なくとも2019年1月31日までサポートします

  1. 全ての未知の脅威に対応するものではありません。
  2. ウイルス対策を行うためのパターンファイルは不要です。ただし、エージェントの事前検索や管理コンソールの代理ウイルス検索を利用する場合は、パターンファイルが必要となります。 なお、事前検索時に使用する検索エンジンやパターンファイルは、エージェントインストール後に削除されます。

Safe LockのWindows Server 2003上での動作サポート期間

ご注意:

  • 上記は2016年7月時点での最短のサポート継続期間であり、現時点ではSafe Lock 2.0のサポート終了日程は未定です。Safe Lock 2.0 に対する標準サポートは少なくとも2019年1月31日までとなり、製品やライセンス等に関するサポート窓口へのお問い合わせが可能な無償延長サポートは少なくとも2021年1月31日までとなります。
    各製品のサポート終了日程については、 製品・検索エンジンのサポート終了案内 に随時公開しています。

お問い合わせ

本ページに掲載されているソリューションに関しては下記よりお問い合わせください。