「サポート対象外プラットフォーム保護」の ソリューション概要

「サポート対象外プラットフォーム保護」の
ソリューション概要
ケーススタディ: Windows XP 延長サポートの終了
2014 年 4 月 8 日、Microsoft 社は Windows XP® と Office 2003 の延長サポートを終了しました。同日以降、Windows X
P と Office 2003 に関してはセキュリティパッチが公開されなくなります。過去 10 年間(2004 年から 2013 年)には、毎
年平均 65 件の脆弱性が新しく発見されており、今後も脆弱性は常に存在し続けるでしょう。
プラットフォームのサポート終了は何を意味しますか。
セキュリティパッチが提供されなくなるため、Windows XP を使い続ける企業は、マルウェアによってセキュリティリスクに
さらされるようになり、パッチがリリースされていない新しい脆弱性を悪用するマルウェアコーダーが出回ります。Windows
XP のサポート終了に伴って、保護されなくなったシステムに対するサイバー攻撃が集中し、マルウェア感染も広まるおそれが
あります。
Windows XP 利用状況は現在どうなっていますか。
Windows XP は現在も、デスクトップコンピュータのほか、特に ATM や 店頭販売管理(PoS)システム、医療機器、産業用
制御システムでも広く利用されています。Net Applications 社によると、Windows XP は 2014 年 3 月の時点でデスクトッ
プオペレーティングシステムの市場シェアのうち 28% を占めています。「95% of bank ATMs face end of securitysuppo
rt(銀行 ATM の 95% でセキュリティサポートが終了)」と題した 2014 年 3 月 4 日付の CNN Money の記事では、米国
の ATM のうち推定 95% で Windows XP が稼働していると推定されています。
すでにサポートが終了している、または終了予定のオペレーティングシステムは、ほかに何がありますか。
最近サポートが終了した、または今後 2 年間でサポートが終了するオペレーティングシステムは、以下のとおりです。
製品名
延長サポートの終了日
Windows 2000
2010 年 7 月 13 日
SQL Server 2000
2013 年 4 月 9 日
Windows Server 2003
2015 年 7 月 14 日
Windows XP Embedded
2016 年 1 月 12 日
SQL Server 2005、Windows Embedded for PoS 1.x
2016 年 4 月 12 日
どんな選択肢がありますか。
レガシーのオペレーティングシステムをご利用のお客様には、パッチの移行に対処する選択肢として、基本的に 3 つのアプ
ローチがあります。このセクションでは、それぞれのアプローチについて説明します。
1
「サポート対象外プラットフォーム保護」のソリューション概要
オプション 1 - 従来どおりのパッチ手法
このオプションでは、Microsoft 社のカスタムサポートに料金を支払い、オペレーティングシステムがサポートされていた期
間と同じ頻度で、引き続きパッチを利用できます。これは最もコストがかかり、マンパワーも必要になるオプションですが、
実際にパッチがリリースされた脆弱性に対する保護対策としては確実です。ただし、ゼロデイ脆弱性(パッチがリリースされ
ていないなど、システムが攻撃の「危険にさらされる期間」にある脆弱性)については対処されないという欠点もあります。
詳しくは、『Using Symantec Critical System Protection for Patch Mitigation and Securing Legacy Out-of-Support Pla
tforms(Symantec Critical System Protection によるパッチの移行と、サポートが終了したレガシープラットフォームの保
護)』(英語)のホワイトペーパーで、5 ページ目から 14 ページ目までを参照してください。
オプション 2 - 何も対策しない
Microsoft 社のカスタムサポートに料金を支払わないという選択です。サポート対象外のプラットフォームに関する脆弱性
パッチは利用できなくなりますが、セキュリティ関連のパッチ適用コストも発生しません。このオプションは、レガシーシス
テムが攻撃にさらされないという危険な前提に立っています。短期的に見れば最も低コストのオプションには違いありません
が、以下のように多くの欠陥とリスクを伴っています。
•
コンプライアンスや法令の規制対象となっている企業がそれに違反し、罰金または罰則を受けるおそれがある。
•
データ侵害を受け、企業やブランドが損害を被るおそれがあり、そのとき発生するコストは、保護対策を講じるコス
トをはるかに上回る。
•
実際に攻撃があった場合には、環境の修復に大量の人材投入が必要になる。
•
「何もしない」ことの影響は、さまざまな脆弱性にわたって累積していくため、攻撃が成功した場合には悪用の範囲
が広がり件数も増える。
システムや企業に対するダメージを想定してもなお、差し引きしてコスト削減効果のほうが大きいのかどうか、お客様は「リ
スクマネジメント」の観点から判断しなければなりません。
オプション 3 - ホスト型の侵入防止および検出システムを利用してシステムを強化
お客様がホスト型の侵入防止および検出システム(HIPS/HIDS)のセキュリティエージェントをエンドポイントに導入して、
オペレーティングシステムとアプリケーションを強化し、脆弱性を緩和して既知の脅威、未知の脅威を阻止します。実質的に、
ホストのセキュリティ態勢を全体的に改善して、パッチ配備の頻度やタイミングをお客様が任意に決めることができ、しかも
Microsoft 社のカスタムサポート料金が発生しない唯一のオプションです。パッチ適用コスト、サポート料金、停止時間、修
復の負担を総合しても、導入と配備に要する初期費用に見合う、最も費用対効果が高い方法と言えます。
最良の選択肢がオプション 3 であることは言うまでもありません。ホストのセキュリティが一貫して保たれ、全体的に低コス
トなうえに、レガシーシステムの置き換えという点でお客様の状況および要件にあわせることができるからです。おそらく、
お客様が最も懸念なさる点は、新しいエンドポイントセキュリティエージェントの導入と管理に伴う負担、そしてレガシーシ
ステム環境におけるそのエージェントの互換性でしょう。導入の容易さ、管理性、レガシーシステムとの互換性、セキュリ
ティ効果、そしてソリューション全体の価値を実証するには、概念実証(POC)を行うのが一番です。
2
「サポート対象外プラットフォーム保護」のソリューション概要
シマンテックは、保護するシステムのタイプに応じて、以下のソリューションをお勧めします。
プラットフォーム
オペレーティングシステム
セキュリティソリューション
ノートブック/デスクトップ/PoS
Windows
Symantec Endpoint Protection(SEP)
ノートブック/デスクトップ/PoS
Windows 以外
Symantec Critical System Protection
(CSP)Client Edition
サーバー
任意
Symantec Data Center Security
(DCS): Server Advanced
ATM、産業用制御システム
任意
Symantec Critical System Protection
(CSP)Client Edition
シマンテック製品でレガシーシステムを保護する方法について詳しくは、以下の文書を参照してください。
•
ホワイトペーパー、『Using Symantec Critical System Protection for Patch Mitigation and Securing Legacy
Out-of-Support Platforms(Symantec Critical System Protection によるパッチの移行と、サポートが終了したレ
ガシープラットフォームの保護)』(英語)
•
技術概要、『Best Practices for Running Symantec Endpoint Protection 12.1 on Point-of-Sale Devices(PoS
デバイスにおける Symantec Endpoint Protection 12.1 実行のベストプラクティス)』(英語)
3