サポート終了（EOL）ソフトウェアを使うことがなぜ問題なのか

エンタープライズグレードのコンピューターのハードウェアとソフトウェアは、永遠に使い続けることはできません。

あらゆる規模の企業にとって、プロバイダーが必要と判断したために、何百台、何千台ものマシンをアップグレードするというのは、厳しい考えです。さらに悪いことに、多くの企業は、アプリケーションを更新する際の単純な見落としが、ビジネスに致命的な影響を与えるエラーにつながることを知りません。

しかし、サポート終了（EOL）を過ぎたプログラムを維持することは、さらに危険なことです。企業ネットワーク上でサポート終了のソフトウェアを稼働させることは、組織のデータ漏洩リスクを高める最も一般的な脆弱性の1つです。例えば、Microsoft社はWindows 7が2020年1月に終了すると警告していましたが、最近の調査では、2021年6月の時点で17％のデスクトップがまだこのOSを実行していることがわかっています。Windows 7は多くの人に支持されているOSなので、企業が手放したくないと思うのは当然のことでしょう。しかし、Windows 7は後継OSほど安全ではありません。2017年に発生したランサムウェア「WannaCry」の攻撃を受けたコンピューターの98％がWindows 7を使用していたことからも、適応できなかった企業はその代償を払うことになります。

そのため、企業はサポート終了のソフトウェアがもたらすセキュリティリスクを軽減する方法を理解し、サポート終了の期限が近いソリューションをアップグレードする準備をする必要があります。ここでは、ソフトウェアの使用期限を過ぎたままにしておくべきではない理由と、今後のサポート終了の発表に備えるためのベストプラクティスについて詳しく見ていきましょう。

サポート終了（EOL）とは？

サポート終了（EOL）とは、メーカーが自社のハードウェアやソフトウェアの販売、サポート、パッチの提供を終了することです。機能的には、メーカーはそのソフトウェアやデバイスを「役に立つ」とは考えておらず、おそらく新しいモデルの発売を予定しているのでしょう。メーカーは「ポストサポート」と称して何らかの保証を提供することもありますが、多くの場合、それには高額な費用がかかります。お客様がプレミアムを支払わない限り、メーカーはファームウェアのアップデート、パッチ、またはアップグレードを提供しません。

「サポート終了」には「サービス終了（EOS）」も含まれますが、両者は同じではありません。メーカーは、ある期日を過ぎると保守サービスやアップデートを提供しないことで、お客様に新製品の購入を促そうとします。あるソリューションがサービス終了の期限を過ぎてしまった場合、メーカーはまだ製品を販売するかもしれませんが、サービスやサポートは提供しません。そして、サポート終了の期日が発表されるのは、通常、時間の問題です。

最近のサポート終了(EOL)・サービス終了(EOS)ソフトウェアの例としては、以下のようなものがあります。

• Skype for Business Online (サポート終了 2021年7月31日) - Microsoft社は先日、Skype for Businessとサードパーティの音声会議プロバイダーとの統合に関するサポート終了プログラムの開始を発表しました。
• Windows 10（サポート終了 2025年10月14日） - Microsoft社は、Windows 10のサポートを終了することを発表しました。
• Skype for Business Server (サービス終了 2025年10月14日) - 「Skype for Business Online」は早ければ2021年に終了しますが、「Skype for Business Server」は2025年まで延長されます。
• Adobe Flash Player (EOL January 2021) - At this time, Adobe does not support Flash Player (ended December 31, 2020) and blocked Flash content from running in Flash Player starting January 12, 2021.

ソフトウェアのサポート終了が重大なセキュリティリスクである理由

サポート終了の日付が発表されたとき、対策を講じる必要があるまでに時間があると思うかもしれませんが、すぐに計画を立てることを強くお勧めします。例えば、Microsoft社がWindows 7のサポートを終了すると発表したとき、多くの組織がWindows 10へのアップグレードに苦労しました。その結果、アップグレードを優先しなかった人たちには複雑な問題が発生しました。というのも、サポート終了のソフトウェアは、放っておくと様々な重大なセキュリティ上の脅威となるからです。特定のソフトウェアがリタイアすると、メーカーはパッチやバグフィックス、セキュリティアップグレードを提供しなくなります。組織を家に例えると、サポート終了のソフトウェアは、10年前に導入した、簡単に回避できる古いセキュリティシステムのようなものです。

2020年のパンデミックの際には、デジタルトランスフォーメーションが必須でした。あらゆる組織が変革戦略の軸足をどのように変えるかを考えなければならず、その結果、サポート終了のソフトウェアはTo Doリストから外れることが多くありました。しかし、サポート終了またはサービス終了のすべてのインスタンスを特定して削除することは、サイバー犯罪者が退職したソフトウェアの脆弱性を利用しないようにする唯一の方法です。ハッカーはこれまで以上に巧妙になっており、使用済みソフトウェアの弱点を見つけるのは思ったよりも簡単です。だからこそ、企業はサポート終了のソフトウェアの使用を中止することで、脅威となる人物に最初の機会を与えないようにすべきなのです。

最新でないソフトウェアを使用することで生じるリスク

セキュリティ上のリスクだけでなく、サポート終了のソフトウェアの運用には、企業が考慮すべきいくつかの重大な問題があります。ソフトウェアやハードウェアは、動作しなくなるまで使い続けるのが最も便利に思えるかもしれませんが、そうすることで生じる潜在的なリスクをすべて理解しておくことは、費用対効果を分析する際に役立ちます。企業が注意しなければならないリスクには次のようなものがあります。

• コンプライアンス：ほとんどの規制や業界標準では、パッチのマネジメントはコンプライアンス要件として組み込まれています。規制されている業界では、サポートされている最新のソフトウェア/ハードウェアのみを維持・運用することが義務付けられています。
• ソフトウェアの互換性：古いOSでは、新しいソフトウェアを実行できない場合があります。
• パフォーマンスと信頼性：古いテクノロジーは動作が遅くなったり、完全に動作しなくなったりする可能性が高く、生産性の低下につながります。
• コスト：ITチームは、新規に購入した場合よりも、古いテクノロジーの修理、セキュリティ、メンテナンスに多くの費用と時間を費やします。

このようなリスクがあるにもかかわらず、企業は期限切れのハードウェアやソフトウェアの更新をぎりぎりまで待っているのが一般的です。さらに、脅威となる人物は、旧式のソフトウェアやデバイスが持つセキュリティ上の脆弱性を知っており、今後もそれを利用した攻撃を仕掛けてくるでしょう。メーカーがセキュリティパッチを提供しない日が続くと、悪意のある人物が新たな脆弱性を発見する日が続くことになります。

メーカーが自社の製品やサービスの寿命が近づいていることを発表した場合、企業はすぐにその技術を代替するための計画を立てなければなりません。一般的に、これは次のことを意味します。

• 現在の状態を確認する：アセットインベントリ分析を行い、すべてのシステムの依存関係を把握する。
• オプションの調査：さまざまなサブスクリプションモデルと交換の選択肢を比較します。
• 戦略を立てる：最初に何を交換する必要があるかを決定し、必要な追加アップグレードを見つけます。

テクノロジーがすでにサポート終了を過ぎている場合、どのようにしてセキュリティを強化するか？

メーカーが特定のソフトウェアやハードウェアのサポートや販売を終了すると、全体的なセキュリティリスクは日増しに高まっていきます。そのため、計画を急ぐ必要があります。しかし、ソリューションのアップグレードにはまだ時間がかかるため、計画が完了するまでは大きなリスクを抱えることになります。

SoftwareOneがお手伝いできること

SoftwareOneでは、成熟したソフトウェア ライフサイクル管理（SLM）戦略を構築・育成することで、契約やコストの管理、リスクの軽減、ガバナンス・プロセスの微調整などの最適な方法を直感的に理解できるようになると考えています。これにより、サポート終了が発表された瞬間に素早く行動することができ、さらには事前に予測することも可能になります。