マイクロソフトは、ソフトウェアサポートサイクルというポリシーを設定し、OSのサポート期間をあらかじめ決めています。Windows Server 2003では、機能面を含めたアップデートを行う「メインストリームサポート」を、リリースより7年2カ月間提供。その後の５年間については、セキュリティ上の問題が発生した場合に更新プログラムや回避策をアナウンスする「延長サポート」の期間としました。その延長サポートの期間が、2015年7月14日（日本時間15日）で終了するのです。それ以降は、セキュリティ上重要な脆弱性が見つかったとしても更新プログラムが提供されなくなり、脆弱性を修正することが非常に難しくなります。

更新プログラムの提供など、脆弱性への対策が提示されなくなることの影響は、広範囲に及ぶと考えられています。理由の1つは、Windows Server 2003が多くの企業、自治体、教育・研究機関などで利用されているサーバーOSだからです。

本来ならば、マイクロソフトのライフサイクルポリシーに合わせて、導入している企業や自治体などが、きちんとシステムをリプレースしていれば、サポート終了の問題もそれほど注目を集めなかったでしょう。しかし、実際には、予算がなかったり、移行が間に合わなかったり、影響を過小評価しているといった理由から、今なおWindows Server 2003をベースとしたシステムを稼働させているのが実情です。調査会社のIDC Japanによると、2014年末の時点で国内では21万台のWindows Server 2003が稼働しているとされています。（※）

また、2014年のWindows XPの延長サポート終了とは異なり、「サーバーを動かすOS」であることも、その影響をより深刻なものにしています。

というのも、サーバーには、例えば企業が日々の業務で利用する重要なアプリケーションや顧客データなどが格納、管理されていることが多いからです。万が一、脆弱性を突かれて攻撃されてしまうと、日々の業務が停止してしまう、顧客データが漏えいしてしまうといったリスクがあります。さらにActive Directoryを利用していれば、管理する組織のアカウント情報が窃取されるおそれもあります。

それだけではなく、サーバー経由で組織内部に攻撃を仕掛ける、サーバーを乗っ取られて他社に対する攻撃の踏み台に利用される、マルウェアや迷惑メールの発信元になるなど、さまざまなリスク、サーバー悪用のシナリオが考えられるのです。

サーバーの移行に時間がかかる場合は延命策の検討を

マイクロソフトはこの問題に対して、2014年1月から主要パートナーと共に「最新サーバー環境への移行支援策」を展開していました。マイクロソフトは最新環境への移行を勧めていますが、今から新システム移行を開始するのはスケジュール的には難しい場合もあるでしょう。

完全移行までの延命策として、新しいサーバーの仮想環境でWindows Server 2003を稼働させ、IPSなどを活用して既知のセキュリティホールへの攻撃を防ぐ「仮想パッチ」といったソリューションも登場しています。ただし、あくまでも対処療法による延命策にすぎず、並行して次世代システム構築を行う必要があります。

また、情報漏えいに繋がらないようにWindows Server 2003の情報資産の棚卸しを行い、個人情報や開発情報などの機密情報だけでも、安全なサーバーに移行しておくといった対策を検討する必要があるでしょう。

※ 出典：IDC Japanプレスリリース「国内Windows Server 2003 サポート終了対応に関する調査結果を発表」(2014年12月4日)