「サポート対象外プラットフォーム保護」のソリューション概要ケーススタディ: Windows XP 延長サポートの終了 2014 年 4 月 8 日、Microsoft 社は Windows XP® と Office 2003 の延長サポートを終了しました。同日以降、Windows X P と Office 2003 に関してはセキュリティパッチが公開されなくなります。過去 10 年間（2004 年から 2013 年）には、毎年平均 65 件の脆弱性が新しく発見されており、今後も脆弱性は常に存在し続けるでしょう。プラットフォームのサポート終了は何を意味しますか。セキュリティパッチが提供されなくなるため、Windows XP を使い続ける企業は、マルウェアによってセキュリティリスクにさらされるようになり、パッチがリリースされていない新しい脆弱性を悪用するマルウェアコーダーが出回ります。Windows XP のサポート終了に伴って、保護されなくなったシステムに対するサイバー攻撃が集中し、マルウェア感染も広まるおそれがあります。 Windows XP 利用状況は現在どうなっていますか。 Windows XP は現在も、デスクトップコンピュータのほか、特に ATM や店頭販売管理（PoS）システム、医療機器、産業用制御システムでも広く利用されています。Net Applications 社によると、Windows XP は 2014 年 3 月の時点でデスクトップオペレーティングシステムの市場シェアのうち 28% を占めています。「95% of bank ATMs face end of securitysuppo rt（銀行 ATM の 95% でセキュリティサポートが終了）」と題した 2014 年 3 月 4 日付の CNN Money の記事では、米国の ATM のうち推定 95% で Windows XP が稼働していると推定されています。すでにサポートが終了している、または終了予定のオペレーティングシステムは、ほかに何がありますか。最近サポートが終了した、または今後 2 年間でサポートが終了するオペレーティングシステムは、以下のとおりです。製品名延長サポートの終了日 Windows 2000 2010 年 7 月 13 日 SQL Server 2000 2013 年 4 月 9 日 Windows Server 2003 2015 年 7 月 14 日 Windows XP Embedded 2016 年 1 月 12 日 SQL Server 2005、Windows Embedded for PoS 1.x 2016 年 4 月 12 日どんな選択肢がありますか。レガシーのオペレーティングシステムをご利用のお客様には、パッチの移行に対処する選択肢として、基本的に 3 つのアプローチがあります。このセクションでは、それぞれのアプローチについて説明します。 1 「サポート対象外プラットフォーム保護」のソリューション概要オプション 1 - 従来どおりのパッチ手法このオプションでは、Microsoft 社のカスタムサポートに料金を支払い、オペレーティングシステムがサポートされていた期間と同じ頻度で、引き続きパッチを利用できます。これは最もコストがかかり、マンパワーも必要になるオプションですが、実際にパッチがリリースされた脆弱性に対する保護対策としては確実です。ただし、ゼロデイ脆弱性（パッチがリリースされていないなど、システムが攻撃の「危険にさらされる期間」にある脆弱性）については対処されないという欠点もあります。詳しくは、『Using Symantec Critical System Protection for Patch Mitigation and Securing Legacy Out-of-Support Pla tforms（Symantec Critical System Protection によるパッチの移行と、サポートが終了したレガシープラットフォームの保護）』（英語）のホワイトペーパーで、5 ページ目から 14 ページ目までを参照してください。オプション 2 - 何も対策しない Microsoft 社のカスタムサポートに料金を支払わないという選択です。サポート対象外のプラットフォームに関する脆弱性パッチは利用できなくなりますが、セキュリティ関連のパッチ適用コストも発生しません。このオプションは、レガシーシステムが攻撃にさらされないという危険な前提に立っています。短期的に見れば最も低コストのオプションには違いありませんが、以下のように多くの欠陥とリスクを伴っています。 • コンプライアンスや法令の規制対象となっている企業がそれに違反し、罰金または罰則を受けるおそれがある。 • データ侵害を受け、企業やブランドが損害を被るおそれがあり、そのとき発生するコストは、保護対策を講じるコストをはるかに上回る。 • 実際に攻撃があった場合には、環境の修復に大量の人材投入が必要になる。 • 「何もしない」ことの影響は、さまざまな脆弱性にわたって累積していくため、攻撃が成功した場合には悪用の範囲が広がり件数も増える。システムや企業に対するダメージを想定してもなお、差し引きしてコスト削減効果のほうが大きいのかどうか、お客様は「リスクマネジメント」の観点から判断しなければなりません。オプション 3 - ホスト型の侵入防止および検出システムを利用してシステムを強化お客様がホスト型の侵入防止および検出システム（HIPS/HIDS）のセキュリティエージェントをエンドポイントに導入して、オペレーティングシステムとアプリケーションを強化し、脆弱性を緩和して既知の脅威、未知の脅威を阻止します。実質的に、ホストのセキュリティ態勢を全体的に改善して、パッチ配備の頻度やタイミングをお客様が任意に決めることができ、しかも Microsoft 社のカスタムサポート料金が発生しない唯一のオプションです。パッチ適用コスト、サポート料金、停止時間、修復の負担を総合しても、導入と配備に要する初期費用に見合う、最も費用対効果が高い方法と言えます。最良の選択肢がオプション 3 であることは言うまでもありません。ホストのセキュリティが一貫して保たれ、全体的に低コストなうえに、レガシーシステムの置き換えという点でお客様の状況および要件にあわせることができるからです。おそらく、お客様が最も懸念なさる点は、新しいエンドポイントセキュリティエージェントの導入と管理に伴う負担、そしてレガシーシステム環境におけるそのエージェントの互換性でしょう。導入の容易さ、管理性、レガシーシステムとの互換性、セキュリティ効果、そしてソリューション全体の価値を実証するには、概念実証（POC）を行うのが一番です。 2 「サポート対象外プラットフォーム保護」のソリューション概要シマンテックは、保護するシステムのタイプに応じて、以下のソリューションをお勧めします。プラットフォームオペレーティングシステムセキュリティソリューションノートブック/デスクトップ/PoS Windows Symantec Endpoint Protection（SEP）ノートブック/デスクトップ/PoS Windows 以外 Symantec Critical System Protection （CSP）Client Edition サーバー任意 Symantec Data Center Security （DCS）: Server Advanced ATM、産業用制御システム任意 Symantec Critical System Protection （CSP）Client Edition シマンテック製品でレガシーシステムを保護する方法について詳しくは、以下の文書を参照してください。 • ホワイトペーパー、『Using Symantec Critical System Protection for Patch Mitigation and Securing Legacy Out-of-Support Platforms（Symantec Critical System Protection によるパッチの移行と、サポートが終了したレガシープラットフォームの保護）』（英語） • 技術概要、『Best Practices for Running Symantec Endpoint Protection 12.1 on Point-of-Sale Devices（PoS デバイスにおける Symantec Endpoint Protection 12.1 実行のベストプラクティス）』（英語） 3