【情報セキュリティ回#5】「WindowsServer OSのサポート期限が間近」と聞いて対応することは?
システム管理者の方を対象に、上記のメッセージを見たときの対応について過去の経験も交えプロセスをご紹介します。少し難しい単語が並びますが、あなたがもしシステム管理者でかつ経験が浅いなら、大まかな全体の流れを先に知るだけでもメリットになります。
1.背景
先日、IPA(独立行政法人 情報処理機構)のサイトで注意喚起として2023年10月にWindowsServer2012と2012 R2のサポート終了すると掲載されました。この記事を見て、システム管理者を担うあなたは、次のアクションをイメージできますでしょうか。今回は、上記WindowsServer2012と2012 R2を例にプロセスご紹介します。
2.WindowsServer2012と2012 R2のサポート終了の連絡をうけたら
以下に簡単なプロセスの全体を記します。
(1)管理範囲に、該当のサーバOSがあるかどうかを確認する
↓
(2)対象のサーバ毎に、動作しているアプリケーションが、新しいWindows OSでうごくかどうか確認する
↓
(3)上記(2)で動くなら、サーバOSのアップデートを計画する。動かないなら、アプリケーションのアップデートを一緒に検討開始する
↓
(4)お金が必要かどうかを確認する。お金がいるなら概算金額を確認して予算確保とOS更新のアップデートの投資を決裁者に報告・承認してもらう
↓
(5)更新前に現在のOSバックアップ
↓
(6)OSアップデート
↓
(7)アプリケーションのアップデートが必要なら、アップデート
↓
(8)動作確認。動作確認結果がOKなら終了。NGなら(5)で取得したバックアップを使ってリストア(復旧)する
↓
(9)上記(8)でリストアした場合は、動作確認する。動作確認OKなら終了。NGなら対処する
です。以降、上記の各ステップについて簡単に説明します。
3.各ステップの実施概要と注意点
(1)管理範囲に、該当のサーバOSがあるかどうかを確認する
WindowsServer2012または、WindowsServer2012 R2 というOSを使っている端末やサーバの有無?を確認しましょう。日頃より導入をサポートいただいているITベンダや企業あれば問合せたり、実際の機器を確認したり。手段はいくつかありますので確認して、対象機器をリストアップしましょう。
最近は、実際の機器はなくても仮想環境としてWindowsServer2012が動作している可能性があります。レンタルサーバで動いているかも。抜けもれなく確認しましょう。
(2)対象のサーバ毎に、動作しているアプリケーションが、新しいWindows OSで動くかどうか確認する
対象のサーバ毎に実施しないといけないので、このフェーズが事務作業や調整作業として手間かかります。聞いてわかるなら、聞きましょう。わからないなら動作確認してみるしかないです。「動作確認しないとわからない」のであれば、動くとは言い切れないので、"動かない"と分類しましょう。
(3)上記(2)で動くなら、サーバOSのアップデートを計画する。動かないなら、アプリケーションのアップデートを一緒に検討開始する
動かない場合、「本当にこのまま使い続けますか?」をあなた自身に/会社に問いましょう。もし使い続けない選択ができるのであれば、対応不要になりますので手間が減ります。対応不要にしてサーバを停止するのはそれはそれで調整などが難しいですが、今回はそれには触れないでおきます。
(4)お金が必要かどうかを確認する。お金がいるなら概算金額を確認して予算確保とOS更新のアップデートの投資を決裁者に報告・承認してもらう
すべてを社内のメンバだけで対応できることはないと思います。実際にいくらかかるのか。その金額を投資してまでOSバージョンアップが必要なのか?これは経営者判断が必要になる額となるケースもあります。後で追加の投資額が必要だ、と言わなくていいように対象機器とその概算の情報は可能な限り把握しましょう。
(5)更新前に現在のOSバックアップ
OSバージョンアップが100%成功するとは限りません。予期せぬ失敗が発生するものです。万が一失敗すると、そのアプリケーションが動かない可能性があるので、システムが使えなくなります。使えなくなるとシステムの種類によっては業務停止の影響が発生するかもしれません。
業務停止は避けたいもの。万が一失敗の際に短時間でバージョンアップの前に復元できるよう、Windows OSのバックアップは取得しましょう。取得方法は有償/無償のアプリケーションを使ったりなど複数の手段でバックアップが可能です。下記(8)記載のリストアも想定して、対応できるバックアップ手段を選択しましょう。
(6)OSアップデート
アップデートする実行ファイルを購入/ダウンロードして、ファイル実行しましょう。Windows OSであればあまり複雑な設定なくバージョンアップできると思います。どのバージョンにするか、は会社のポリシーであったり、実行するアプリケーションの動作保証の制約などで変動するでしょう。
バージョンを都度確認し誤りなきバージョンにアップデートしましょう。
(7)アプリケーションのアップデートが必要なら、アップデート
OSのアップデートが成功したら、アプリケーションのアップデートや改修をしましょう。アプリケーションのアップデートが不要なら本ステップは不要です
(8)動作確認。動作確認結果がOKなら終了。NGなら(5)で取得したバックアップを使ってリストアする
上記(6)(7)実施したら、動作確認しましょう。不安なら(6)と(7)の間にテストを行ってもOKです。確認ポイントは、事前に決めておきましょう。作業者がOK判断しても専門家目線ではNGだった。のようなことは常に発生します。いや、「あるある」です。事前に決めておきましょう。
もし、動作確認して期待通りに動かないなら、調査してリストアしましょう。調査して設定の誤りに気付いて設定することで正常に動作できるならいいのですが、理由が分からないのであれば、利用者への影響を考慮して、リストアにかかる時間を想定してリストアのステップに移行しましょう。
実際に過去に経験した事例ですが、調査に4時間かけましたが原因特定できず。リストア決断した時にはもう夕方を過ぎていたのでリストアが深夜に完了しました。調査の時間を30分で見切りをつけていれば、リストア終了は3時間半短縮できたはずです。
(9)上記(8)でリストアした場合は、動作確認する。動作確認OKなら終了。NGなら対処する
もしリストアしたのであれば、リストアした後(バージョンアップ前の状態になっているはずです)に動作確認しましょう。リストアが失敗したら、バージョンアップ前の状態に期待通りに戻っていないかもしれないからです。リストアも100%復元できる、とは限りません。心配ならば、バックアップやリストアの手順や動作確認を事前に実施しましょう。
4.まとめ
WindowsOSのサポートが切れると、脆弱性を改修してくれるセキュリティパッチが展開されないです。特にインターネットの接続や不特定多数が利用する機器のOSがサポート切となるのであれば、期限までにバージョンアップしましょう。
以上です