2020年1月にWindows7のOSサポート終了、2020年11月にはCentOS6のサポート終了のニュースが話題となりましたが、OSの「サポート切れ」とはどのような状態を指すのかご存じでしょうか。OSのサポートが終了すると、製造元からのアップデートが受けられなくなり、製品の不具合の修正が受けられず、セキュリティリスクも高くなります。対処策はいくつか考えられますが、本記事では、OSのサポート切れとは何か、OSサポート切れによるリスクと、考えられる対処策について解説します。
目次
OSのサポート切れとは
OSのサポート切れとはどのような状態を指すのでしょうか。まず、OSのサポートによってもたらされるものと、サポート切れの考え方について解説します。
OSのサポートとは
OSのサポートとは、Windows/Mac/LinuxなどのOS(Operating System・基本ソフト)について、開発元が動作や不具合などの問い合わせを受け付け、OSの機能アップデートやバグ修正など、各種修正プログラムを無償提供する仕組みを指します。これらの仕組みは、基本的にOSサポート契約を結ぶことで受けられるようになり、主に下記の機能を持っています。
- 動作や不具合に関する問い合わせ窓口
- セキュリティ脆弱性に対する修正プログラムの提供
- 動作不具合・バグに対する修正プログラムの提供
OSのサポート切れとは
OSのサポート切れとは、OSのサポートが終了し、問い合わせや修正プログラムの提供が行われなくなることです。一般的に、OSのサポートにはサポート期限があり、サポート期限が終了するとサポートが受けられなくなります。例えば、Windows OSを提供するマイクロソフトでは、サポート期限を下記のように定めています。(※1)
- メインストリームサポート:製品発売後最低5年間
- 延長サポート:メインストリームサポート終了後最低5年間
このように、マイクロソフトでは製品発売後、最低10年間のサポートを実施しており、サポートが終了するとセキュリティ更新プログラムの提供や、仕様変更、新機能のリクエストなどがマイクロソフトより受けられなくなります。
※1参考:Microsoft Windows10 PORTAL ご注意、サポート終了
OSのサポートが切れた場合のリスク
OSのサポートが切れても、OS自体は利用し続けることが可能です。しかし、OSのサポートが切れた状態でパソコンやサーバーを使い続けると、下記のリスクが考えられます。
- セキュリティリスク
- 製品不具合によるリスク
セキュリティリスク
OSサポートが切れると、セキュリティ更新プログラムなど、OSの脆弱性に対するアップデートが受けられなくなります。その場合、下記のようなセキュリティリスクが考えられます。
- 古いOSのセキュリティホールがサイバー攻撃の突破口として狙われる可能性
- 脆弱性を突いた攻撃によって意図せぬサービスダウンなどが生じる可能性
- マルウェアへの感染・サイバー攻撃などによる情報漏洩の可能性
OSを安全に利用するためには、適宜セキュリティアップデートを受けて常に最新の状態にしておくことが必須と言えます。そのため、サポートが切れたまま利用することは非常に危険な状態です。
日本ネットワーク協会の調査(※2)では、2018年に発生した個人情報漏洩インシデントは443件あり、1件あたりの平均想定損害賠償額は6億3,767万円に及んでいます。セキュリティリスクを放置することにより多額の損害賠償が発生する可能性があります。また、損害賠償だけでなく、企業の信用低下や、再発防止に伴うコスト増や業務効率の低下など、企業経営に対する大きなリスクとなる可能性があると言えます。
※2参考:日本セキュリティネットワーク協会 2018年情報セキュリティインシデントに関する調査報告書
製品不具合やハード老朽化によるリスク
OSのサポート切れに伴う、製品不具合によるリスクも考えられます。OSサポートは、セキュリティ関連以外にも、OSの不具合に対する修正プログラムを提供しています。サポート終了により、これら修正プログラムのアップデートも受けられなくなり、OSの不具合によりパソコンやサーバーの利用に支障を来たし、業務が円滑に遂行できなくなる危険性も考えられます。また、古いOSを利用し続けるということは、ハードウェアも老朽化している可能性があります。ハードウェア老朽化により、故障や動作不良など、同様に業務に影響を与えるリスクが考えられます。
OSのサポート切れへの対策
OSのサポート切れに対しては、どのような対策が考えられるのでしょうか。OSのサポート切れに伴うリスクへの対策として、以下の対策が考えられます。
- OSのアップグレード
- 延長サポートを利用する
- ハードウェアだけ替える
- セキュリティ対策ソフトを導入する
OSのアップグレード
OSのアップグレードとは、サポート可能なバージョンへOSをアップグレード(バージョンアップ)することです。サポート切れに対してはOSのアップグレードを行うことが根本解決の方法となります。
ただし、アップグレードに伴うライセンスの購入や、多くの端末への導入作業など、工数や作業費用が高額となる場合があります。また、業務繁忙により対応期間が取れない可能性や、社内で利用している業務システムやソフトウェアが新バージョンのOSに対応しない可能性もあるため、社内での調整や影響調査などが必要となり、場合によってはアップグレード不可能という結論になる場合も考えられます。
延長サポート
OSサポートのライフサイクルとは別に、主に法人向けに、開発元や第三者が有償の延長サポートサービスを提供する場合があります。こうした有償の延長サポートを受けることで、サポート期限を延長することが可能です。ただし最終的にはサポートが切れてしまうことと、場合によっては年々費用が上昇する可能性もあるため、すぐにOSのアップグレードができない場合の時間稼ぎとしての利用が望ましいと言えます。
ハードウェアだけ替える
主にサーバーの場合などは、 OSをマイグレーションしハードウェアだけを新しいものに替えることで、ハードウェア老朽化に伴う故障・動作不良を防止することが可能です。OSのバックアップイメージを新しいハードウェアの上で、仮想マシン(Virtual Machine)として動作させる方法により実現可能です。ただし、こちらも根本対策とは言えないため、最終的にはOSのアップグレードを行うことが望ましいと考えられます。
セキュリティ対策ソフトを導入する
OSのアップグレードや延長サポートなどの方法を選択できないが、なんとか現行のOSを使い続けたい場合もあるかもしれません。そうした場合、WAFやIPS/IDSなど、外部のセキュリティ対策ソフト・サービスを利用する方法もあります。こうしたセキュリティ対策ソフト・サービスを利用することにより、マルウェアや脆弱性を狙ったサイバー攻撃から防御し、OSサポート切れに伴うセキュリティリスクを軽減できる可能性があります。
まとめ
OSのサポート切れに伴うセキュリティリスクや製品不具合によるリスクは、企業経営にまで影響を及ぼす大きなリスクです。しかし、企業の経営状況や業務状況によってはすぐにOSのアップグレードを採用することが難しい場合も考えられます。そこで、ベアケアではOSのサポート切れに伴う重大なセキュリティホールが発見された場合に、ベストエフォートで修正パッチを提供しています。オンプレミス・他社ベンダー(AWSなど)のクラウドサービスなどでご利用されているCentOS6へも提供可能ですので、お気軽にお問い合わせください。
