is702

2010/06/17

レガシーOSやセキュリティ対策が難しいシステムを守るには?

サポートが終了した古いOSを使用していたり、パッチの迅速な適用が困難なシステムを運用している場合、脆弱性を狙った攻撃を防御することが難しくなります。

今回は、事例やアンケート調査の結果も踏まえ、このようなシステムでのセキュリティ対策を考えてみましょう。

レガシーOSとは

時代遅れとなった古いOSのこと。レガシー(legacy)は英語で、「遺産・遺物」の意味。

パソコンは、技術の進歩が速く、OSも数年ごとに新しいものがOSベンダーから登場しています。それに伴い、古いOSは、新しいOSが登場して数年経つとアップデートなどOSベンダーによるサポートが終了してしまうため、脆弱性対策が難しくなります。

Windowsの場合、Windows 95、Windows 98、Windows Me、Windows NTがすでにサポートを終了。Windows 2000のサポートは2010年7月13日で終了します。

レガシーOSを使用している企業は4割以上

2010年3月に企業・団体の情報システム担当者412名を対象としてトレンドマイクロが実施したアンケート調査によると、「勤務先で使っているOSで、Windows NTなどのレガシーOSが1台でもある」との回答が、42.2%もありました(図1)。

また、そのうちの約半数にあたる50.6%が、「ウイルス感染の経験がある」と答えています。レガシーOSを使用していない企業のウイルス感染経験は24.7%で、レガシーOSを使用している企業はウイルス感染の危険性が2倍以上であることがわかりました(図2)。

図:レガシーOSに関するアンケート調査1

A社の事例:レガシーOSを使ったシステムがウイルス感染!大被害でシステムを再構築

数年前に、会社で独自のシステムを構築したA社。そのシステムは、自社内だけで運用しており、取引先の情報や業務関連のデータなどが入っている。インターネットには接続していない。

メインで使用しているデータベースサーバのOSは構築当時主流だったものだが、その後OSベンダーのサポートは終了してしまった。システムを最新のOSで構築し直すことも考えたが、なかなか難しい。業務に支障が出てしまうため、システム移行の際の一時的な停止が難しいのが第一の理由。さらに、費用もバカにならない。有効な解決策を講じられないまま運用を続けていた。

ある日、USBメモリを使ってデータを取り出そうとしたところ、ウイルスが侵入。社内システム全体にウイルス感染してしまった。ウイルス駆除・復旧に時間がかかり、結局システムを構築し直すことに。大きな費用がかかっただけでなく、再構築の期間中、業務がスムーズに進められず、取引先にも迷惑をかけてしまった。

ウイルス感染の要因は、レガシーOSを使っていたために、脆弱性の修正プログラムがなかったこと。また、その古いOSに入れていたセキュリティソフトもサービスを終了しており、新しいウイルスを防ぐことができなかった。

図:A社の被害事例/古いPCにUSB差し込んだらセキュリティが効かず感染。

家庭で使っているレガシーOSも要注意

家庭でも、すでにサポートが終了してしまった古いOSのパソコンを、インターネットにはつながず、データの蓄積や管理用などに利用されている方もいらっしゃることでしょう。大切なデータがたくさん入っているものの、十分なセキュリティ対策ができない危険性があります。

別のパソコンとのやり取りをUSBメモリなどで行っていれば、それらメディアを介してウイルスが侵入してくる可能性があります。また、レガシーOSのパソコンを含めて家庭内LANをつくっていた場合、インターネット接続している別のパソコンを通じて、レガシーOSがウイルスの危険にさらされていることになります。

セキュリティに不安があっても、レガシーOSを使う必要性がある場合も

「サポートが終了したレガシーOSは使わない」ようにすれば、今までに紹介してきたような問題はなくなります。しかし現実には、パソコンの買い替えやデータの入れ替え、システムの移行作業など、金銭的なことや手間や時間といったさまざまな理由から、レガシーOSを使い続ける必要性があることもあります(図3)。

図:レガシーOSに関するアンケート調査2

最終的にはサポート中のOSへの移行が必要

レガシーOSを使い続ける場合、セキュリティについて不安を感じながら使うことになります(図4)。最近では、そうした不安を軽減する、レガシーOSのセキュリティ対策が行える機器も登場しています。企業においてレガシーOSを使用するのであれば、ネットワーク全体で脆弱性攻撃の兆候や不審な通信などを把握できるセキュリティ対策機器の導入が必須といえるでしょう。

しかし、そのような対策は新OSへの移行までの場つなぎであるという認識を持つことが必要です。セキュリティを保ち健全な運営を続けるには、サポート中のOSへ移行する必要があります。特に、2010年7月13日をもって、Windows 2000 のサポートが終了となりますので、企業・個人を問わず対策を取ることが望まれます。

なお、2010年7月13日にはWindows XP Service Pack 2 (SP2)のサポートも終了します。こちらは、Windows UpdateなどでService Pack 3を適用する必要があります。

図:レガシーOSに関するアンケート調査3

  • セキュリティーレポート メルマガ会員募集中 is702の最新コンテンツを月2回まとめてお届けします。
  • トレンドマイクロ is702 パートナープログラム
  • トレントマイクロ セキュリティブログ
セキュリティーレポート メルマガ会員募集中 is702の最新コンテンツを月2回まとめてお届けします。
トレンドマイクロ is702 パートナープログラム
トレントマイクロ セキュリティブログ