仮想化はレガシー OS を延命してくれない|仮想化|ブログ|Computerworld

2010 年 7 月 13 日をもって、Windows 2000 のプロダクト サポート ライフサイクルが終了しました。

マイクロソフトは、同社のビジネス、開発向け製品に対して、製品出荷後から最短 5 年のメイン サポート フェーズと、その後の最短 5 年の延長サポート フェーズ (セキュリティ更新プログラムの提供サポートと有償サポート) の合計、最短 10 年のサポートを提供しています。13 日という切の悪い日に終了日を迎えたのは、マイクロソフトが製品のサポート終了日を月例のセキュリティ情報リリース スケジュールに合わせているからです。ご存じのように、セキュリティ情報リリース スケジュールは、米国時間の毎月第 2 火曜日 (Patch Tuesday とも言われています)です。日本時間では翌日の水曜日になるので、7 月 14 日がサポート期間中の最後の更新機会と思っていましたが、この日、Windows 2000 を対象としたものはリリースされませんでした。

Windows 2000 と言えば、Windows 9x 系カーネルを廃止し、クライアントとサーバー、そしてコンシューマーのOS をすべて NT カーネルに統一すべく華々しく登場した OS です。実際には、Windows 2000 のあとに、Windows Millennium Edition (Me) が提供され、完全に NT カーネルに統合されるまでには Windows XP の登場を待たなければなりませんでした。私は、クライアントからサーバーまで、ほぼ同じ時期にリリースされ、Windows 2000 というブランド名で統一されたこのリリース (バージョン 5.0) が結構気に入っていました。あれから 10 年、時が経つのは早いものです。

7 月の Patch Tuesday にWindows 2000 関連の更新プログラムは提供されませんでした。Patch Tuesday と同じ日に更新され、Windows Update 経由で自動配布される「悪意のあるプログラムの削除ツール (KB890830)」も、7 月から Windows 2000 には自動配布されませんでした (Windows 2000 でも、引き続き、手動でツールをダウンロードして実行することはできます。いまのところは…) ｡

Windows 2000 は、Windows XP 以降の OS に比べると、必要なリソースが圧倒的に小さく、SP4 まで出て安定感もあり、企業のインフラや組み込み向けの OS として評価が以前として高いようです。しかし、今後、Windows に新たに重大な脆弱性が発見されたとしても、それが Windows 2000 に影響するかどうかさえ公表されなくなります (おそらく)。そして、次の Patch Tuesday (2010 年 8 月 10 日) 以降も、公表されないセキュリティ問題がどんどん蓄積していくことになります。7 月に Windows 2000 を対象とした更新プログラムはリリースされなかったので、2010 年 6 月 9 日にリリースされた更新プログラム MS10-032～MS10-041 (深刻度緊急が3、重要が7) が最後になりました。このうち、Windows 2000 に直接影響するものは 6 件! もあります。

Microsoft Security Response Center の 7 月 6 日の Tweet ( http://twitter.com/msftsecresponse ) によると、Windows 2000 と Windows XP に影響する mfc42.dll の新しい脆弱性について現在、調査中のようですが、その更新プログラムが Windows 2000 向けに開発されるかどうかは疑問です。

ちなみに、Windows 2000 の前の製品である Windows NT Server SP6a は、2004 年 12 月 31 日に延長サポート フェーズが終了しており、年末までに公開準備ができていた 2005 年 1 月 10 日の「カーソルおよびアイコンのフォーマットの処理の脆弱性により、リモートでコードが実行される (891711) (MS05-002)」 (http://www.microsoft.com/japan/technet/security/bulletin/MS05-002.mspx) が最後のセキュリティ更新プログラムとなりました。最近、昔に作った Windows NT の仮想マシンを起動して、Windows Update を実行してみましたが、更新プログラムは追加提供されていません。

MS05-002 の脆弱性は、Windows NT Workstation 4.0 SP6a にも確実に存在します。しかし、Windows NT Workstation 4.0 SP6a の延長サポート フェーズ終了日が 2004 年 6 月 30 日であったため、Windows NT Workstation 4.0 SP6a 向けに更新プログラムが提供されることはありませんでした。

現在、Windows 2000 を利用している場合、少なくとも、次の Patch Tuesday までは一応安心できます。しかし、もう時間はありません。OS の更新以外にも、マルウェア対策の問題があります。OS のサポートが切れれば、いずれマルウェア対策製品の対象からも外れます。Windows 2000 ベースのシステムについて、早急に何等かのアクションを開始する必要があるでしょう。例えば…

1. Windows 2000 ベースのシステムを、インターネットや社内 LAN から物理的に分離 (隔離) して利用を継続する
2. 何等かのセキュリティ ゲートウェイ製品の背後に設置し、ゲートウェイで脆弱性対策を実施する (ただし、Windows 2000 の脆弱性は調査、公表されることはないので、Windows 2000 以前の新しい脆弱性にまでには対応できなさそうです)

仮想化を レガシー システムの延命ソリューションと捉える見方があります。この飛びつきたくなるようなセールストークに簡単に飛びついてはいけません。仮想化は、レガシー システムのハードウェア部分の延命ソリューションにしかなり得ません。P2V (物理－仮想変換) によりレガシー システムを仮想マシンに変換してしまえば、ハードウェアの老朽化や保守契約の期限から開放されます。しかし、OS やその上で動くアプリケーションは、物理であろうが、仮想であろうが、何も変わりません。脆弱性のあるシステムを社内 LAN から隔離するために、仮想環境 (仮想ネットワーク) を活用することはできるかもしれませんが、隔離されたシステムとどうやって対話するのかが課題になるでしょう。なお、Hyper-V については、先日、オンライン ドキュメントに次のような記述が追加されました。

About Virtual Machines and Guest Operating Systems
http://technet.microsoft.com/en-us/library/cc794868(WS.10).aspx
————————————————————————————————————
Important
Support for Windows 2000 Server and Windows XP with Service Pack 2 ends on July 13, 2010. After this date, integration services for these operating systems will not be updated and support will not be available for any issues arising from using these operating systems in virtual machines.
————————————————————————————————————

2010 年 7 月 13 日には、Windows XP Professional/Home Edition SP2 (x86) のサポートも終了しました。これは、最新の Windows XP SP3 に更新することで、製品の延長サポート フェーズ終了日である 2014 年 4 月 8 日 までサポートが提供されます。Windows Vista RTM は、2010 年 4 月 13 日にサポート終了日を迎えましたが、Windows Vista SP2 の延長サポート フェーズは、2017 年 4 月 11 日まで提供されます。ここで注意点が 1 つあります。Windows Vista Home Basic、Home Premium、そして Ultimate には延長サポート フェーズが提供されません。なぜなら、これらはコンシューマー製品であり、ビジネス／開発製品とは異なるサポート ポリシーの対象だからです。Windows Vista Home Basic/Home Premium /Ultimate は2012 年 4 月 10 日のメイン ストリーム サポート終了日を持って、サポートが終了してしまいます。Windows XP Home Edition は特例措置で Professional Edition と同じサポート期間が提供されているに過ぎません。そのため、Windows XP Home Edition と Windows Vista Home Basic/Home Premium/Ultimate では、サポート終了日が逆転してしまっています。Windows Vista Home Basic/Home Premium/Ultimate についても、その時になれば延長措置が取られるという期待は持たないほうがよいでしょう。

このほか多くの企業に影響しそうなものとして、Microsoft Office 2000 の延長サポート フェーズが 1 年前の 2009 年 7 月 14 日に既に終了してしまっています。Microsoft Office XP は 2011 年 7 月 12 日までです。2011 年 1 月 11 日には、SQL Server 7.0 や Exchange 2000 Server など、企業の中核となっているかもしれないサーバー製品が延長サポート フェーズを終了します。その他の製品については、マイクロソフト プロダクト ライフサイクルの Web サイト (http://support.microsoft.com/gp/lifecycle/ja) で確認することをお勧めします。OS 以外の製品の場合、ニュースになることなく、ひっそりとサポート期間が終了していたりします。