サポート終了を迎えるWindowsプラットフォームの安全を確保

Wed, 30 Oct 2019 01:50:59 Z

絶えず進化を遂げているテクノロジーの世界において、Windowsプラットフォームはリリースされ、世界中で多くのユーザーによって導入され、カスタマイズされています。ビジネスはWindowsプラットフォームを中心に構築されますが、このプラットフォームはいずれサポート終了（EOL）の時期を迎えます。

私たちは2014年にWindows XPと2003がサポート終了を迎えた瞬間を目の当たりにしています。そして新しいものがやがて古くなるように、2020年1月にはWindows 7と2008がサポート終了を迎える予定になっています。

サポート終了と共に、サイバー犯罪者たちはサポート終了を迎えたプラットフォームを標的に攻撃を始めるでしょう。Windows XPがサポート終了を迎えた時と同じように、セキュリティメディアでは、攻撃者がすでにゼロデイ攻撃とマルウェアを準備しているという噂が盛んに取り上げられています。攻撃者は、自分たちが悪用できる脆弱性に対して企業がパッチを適用していない方に賭けた上で、Windows 7を標的にするでしょう。

サポート終了とは？

サポート終了とは、簡単に言えば次の3つの記述すべてに該当する状態です。

テクニカルサポートが提供されない
ソフトウェア更新プログラムが提供されない
セキュリティ更新プログラムが提供されない

セキュリティのリスクを回避するため、MicrosoftはWindows 10とServer 2016へのアップグレードをお客様に推奨しています。

「Windows 7 / Server 2008を使い続ける必要があります。どんな対策を取ればよいでしょうか？」

Windows 7 ProfessionalまたはEnterprise、もしくはWindows Server 2008のプラットフォームをお使いの場合は、2023年までMicrosoftより延長サポートを購入できます。

このサポートにより今後もセキュリティ更新プログラムを入手することはできますが、初年度はデバイス1台あたり25～50ドルのコストがかかり、以降は2023年まで初年度の2倍のコストがかかります。

パッチ適用に代わるソリューションがない

オペレーティングシステムへのパッチ適用に変わるソリューションがないというのが現実なのです。つまり、オーストラリアサイバーセキュリティセンター（ACSC）が推奨するサイバー脅威を軽減するための対策上位4つの対策に「パッチ適用」が含まれているのには理由があるということです。

サイバーセキュリティを専門としている方であれば、延長サポートと重要なセキュリティパッチの利用は推奨しますでしょう。一方で、一部の企業にとってはコスト面で現実的ではない場合があります。

延長サポートに代わるソリューション＆延長サポートに追加するソリューション

サポートが終了したプラットフォームは深刻なリスクをもたらし、攻撃者に狙われる絶好の標的となるため、多くの企業が対象となるデバイスのセキュリティを強化しようとするでしょう。

対象となるデバイスに一連の多層防御を提供することにより、企業はこれらのデバイスのセキュリティ体制を強化し、デバイスが社内の広範に影響を及ぼすリスクを軽減できます。

Ivantiは、この点に関してお客様をサポートする唯一無二の立場を確立しており、プラットフォーム「Security Controls」からACSCの推奨対策上位4つのうちOSへのパッチ適用以外の残り3つの対策を提供しています。

アプリケーションのホワイトリスティング

Ivanti® Application Controlは、IT部門が承認したソフトウェアとコンテンツのみ実行が許可される環境を実現することで企業がファイルベースの攻撃や多くのファイルレス攻撃を阻止できるようにするため、アプリケーションをホワイトリスティングする展開が簡単で管理コストが安価な方法を提供します。

Ivantiのみが採用しているアプリケーションをホワイトリスティングするための独自の方法であるTrusted Ownershipの機能です。

大前提として、ファイルのMicrosoft NTFSの所有者がランタイムで確認されます。ファイルが信頼できるユーザーによってディスクに置かれた場合、ファイルを実行できます。それ以外のユーザーによって置かれた場合、デフォルトでブロックされます。つまり、SOEビルド/ゴールドビルド（リリースビルド）の一部として提供されたソフトウェアやSCCM/Ivanti Endpoint Managerによって提供されたソフトウェアは、リストを管理することなく、デフォルトで実行できます。

この方法は、管理対象のエンドポイントが2,500台未満のお客様より、4分の1のFTE（フルタイム当量）時間で管理できると報告されているかなり低い所有コストを実現します。

サードパーティー製アプリケーションへのパッチ適用

すべてのエンドポイントに、それぞれの権限の範囲内で、ミドルウェアとして、もしくはアプリケーションとして、サードパーティー製アプリケーションがインストールされています。サードパーティー製アプリケーションの多くにソフトウェアで発見された脆弱性のほとんどが含まれています。レポートでは、その割合が最大86%であることが示されています。

Ivantiのパッチ適用は、市場をリードする成熟したソリューションです。

このソリューションには、100社を超えるベンダーのパッチを網羅する最大規模のカタログが含まれており、どのパッチも当社のエージェントレスパッチプラットフォームからクリックするだけで展開できます。マシンがネットワーク上にあるか、ネットワーク外にあるかを問わずパッチを展開します。

ACSCが指定しているガイドラインである48時間以内にクリティカルなパッチの展開と報告を自動実行します。

管理者権限の削除

ユーザーに管理者権限が付与されている理由は様々です。多くの企業が、どうしても必要なマシンのみを残し、サポート終了を迎えたプラットフォームの使用を停止する傾向にあります。これらのデバイス上でユーザーに必要最低限の権限のみを付与し、それ以上の権限を付与しないことが重要となります。

Application Controlを使用することで、IT部門は必要に応じてアプリケーション、コントロールパネルのアプレット、サービス別に権限を昇格できます。ログオンセッションを標準ユーザーとして実行しておくことで、マシンが侵害されたとしても、エクスプロイトには最低レベルの権限しか利用できない状態となります。

Ivantiがお客様の成功を支援する方法

Ivantiはこれまで、サポートが終了したプラットフォームの管理が必要な難しい立場にあった多くのお客様をサポートしてきました。

例えば、当社のオーストラリア・ニュージーランド地域のお客様の中に、Windows XPのみで極秘のアプリケーションを実行していた大規模な政府機関のお客様がいらっしゃいました。

サポート終了前にXPからアプリケーションを移行させる方法がなかっただけでなく、このお客様は当時延長サポートにコストを割くことができない状況にありました。

Ivanti Application Controlを使用することで、このお客様は、外部のサポートを借りずに数日でデバイスにホワイトリストを展開できただけでなく、ユーザーがプラットフォームに置かれている業務専用のアプリケーション以外のソフトウェアを一切実行できないという確信を持ってデバイスの安全を確保することができました。

このプロジェクト終了後、このお客様は当社ソリューションの価値とシンプルさを強く実感し、サポート対象の製品の安全性とACSC遵守を強化するため、これらの製品にもソリューションを展開しました。

Windows Servers向けのIvanti Application Controlに関するデータシートをご確認ください。また、デモのご依頼も受け付けておりますので、ぜひ当社のアプリケーション管理の機能/性能をご確認ください。

Ivantiブログ: 投稿者