サポート終了ソフトウェア: リスク、危険性と次に取るべき行動
ソフトウェアがEOL(End of Life)を迎えたときに何をすべきかを理解することは、組織のセキュリティにとって非常に重要です。では、システムがEOLに達したときに何が起こるのでしょうか。
ソフトウェアがEOLに達すると、そのプログラムは開発者によってサポートされなくなり、更新が行われなくなります。 更新やバグ修正がないと、このソフトウェアはハッカーやサイバー犯罪者に対して脆弱になります。
永遠に続くものはありません。これはソフトウェアやインフラにも当てはまります。レガシーソリューションやアプリケーションは、中小企業からエンタープライズ企業まで、多くの組織にとって現実です。クラウドイニシアティブに投資する企業にとって、EOLはさらに複雑になります。
End of Life(EOL)とは何ですか?
私たちが使用するすべてのものは、いずれかの時点で限界点と技術的な有効期限に達します。End of Life(EOL)とは、メーカーが製品の開発とサービスを停止することを指します。 これには、技術サポート、アップグレード、バグ修正、そして最も重要なセキュリティ修正の中止が含まれます。
ビジネスがEOLソフトウェアを使用している場合に注意すべきリスクは次のとおりです:
ソフトウェアがEnd of Lifeに近づいているかどうかを知るにはどうすればよいですか?
ソフトウェアがEnd of Lifeに近づいているかどうかを判断する最良の方法は、ソフトウェアベンダーや開発者に直接相談することです。彼らは、使用しているソフトウェアのバージョンのEnd of Lifeの日付や、他のバージョンや製品への移行のための利用可能なオプションについて正確な情報を提供できます。さらに、通常、ベンダーのウェブサイトを通じてこの情報をオンラインで見つけることができます。
まだ広く使用されているEOLソフトウェアの例
EOLソフトウェアは、元の開発者によってもはや維持またはサポートされていませんが、世界中の組織で使用されています。ここでは、今日でも使用されている人気のあるソフトウェアソリューションの一部を紹介します:
- Microsoft Windows XP: 15年以上前にリリースされたにもかかわらず、Windows XPはそのシンプルさと低いハードウェア要件のために広く使用されています。多くの人々にとって、これまでにリリースされた最も信頼性が高く安定したオペレーティングシステムの一つと考えられています。
- Mozilla Firefox: Mozilla Firefoxは2004年にリリースされたクロスプラットフォームのウェブブラウザです。2017年に公式にサポートが終了しましたが、そのカスタマイズ性と機能のためにウェブユーザーの間で人気があります。
- Adobe Flash: Adobe Flashはインタラクティブなウェブコンテンツを作成するためのマルチメディアプラットフォームでした。2020年にサポートが終了しましたが、古いFlashベースのゲームやビデオを再生するために広く使用されています。
- Java 6: Java 6は2006年にリリースされ、ビジネスアプリケーションで広く使用されました。2018年に公式にサポートが終了しましたが、多くの企業環境で依然として広く使用されています。
- Microsoft Office 2003: Microsoft Office 2003は、リボンインターフェースが導入される前の最後のバージョンの人気のある生産性スイートでした。2013年に公式にサポートが終了しましたが、その馴染みのあるインターフェースのために広く使用されています。
Kiteworksは、コンプライアンスと認証の実績を誇っています。
運用リスクがビジネスの中断を引き起こす可能性があります
ビジネスの利害関係者とEOLについて話し合う際、レガシーシステムやアプリケーションがビジネスにとって非常に重要であり、何年も問題なく運用されてきたという主張をよく耳にします。現在信頼性があり、運用中のシステムをなぜ変更する必要があるのでしょうか。
これらの利害関係者は、最終的にEOLコンポーネントが時間とともに信頼性が低下し、故障しやすくなることを理解します。彼らは、何かが本当にうまくいかなくなるまで、これらの条件を許容します。
EOLに近づいているソフトウェアは、使いやすさにも影響を与えます。私たちは、新しい標準が登場し、古いものを時代遅れにする急速に発展する世界に生きています。人々は突然、重要なウェブアプリケーションがまだ動作しているが、ウェブブラウザがもはやそのウェブアプリケーションで使用されている古い暗号化方法をサポートしていない状況に直面します。これらのリスクが現実化すると、ビジネスの中断を引き起こし、コストを増加させ、顧客の不満を生む可能性があります。
セキュリティリスクが評判を損なう可能性があります
サイバー攻撃やデータ侵害が毎日報道されていることから、サイバーセキュリティリスクは広く理解されています。これが、すべての人がそれに対処するための適切な是正措置を講じていることを意味するわけではありません。
前述のように、EOL技術はセキュリティ更新、バグ修正、またはパッチを受け取らず、メーカーの目には死んでいると見なされます。つまり、EOLのシステムやソフトウェアだけでなく、それに接続されている他のシステムやソフトウェアもセキュリティが完全に侵害される可能性があります。
最悪の場合、EOLのシステムやソフトウェアがハッキングされ、データが盗まれる可能性があります。このようなサイバーセキュリティインシデントは恥ずかしいものであり、評判や顧客の信頼を危険にさらします。
WannaCryがWindowsのEnd of Lifeの脆弱性をどのように悪用したか
これを現実の例で考えてみましょう。WannaCryは、Windows XPのEnd of Lifeを悪用し、XPオペレーティングシステムの脆弱性を利用しました。攻撃者はEternalBlueというファイルを使用し、ユーザーの操作なしにシステムからシステムへとマルウェアを拡散させました。その後、マルウェアはユーザーのデータを暗号化し、ビットコインでの身代金を要求しました。この脆弱性は、より新しいWindowsオペレーティングシステムではパッチが適用されましたが、Windows XPのサポートが2014年に終了したため、悪用され続けました。
コンプライアンスリスクが高額な罰金を招く可能性があります
規制の監視が強化されているため、規制要件へのコンプライアンスはもはや選択肢ではありません。GDPR、PCI、SOX、HIPAAはその代表例であり、使用されるすべての技術がサポートされていることを要求します。
EOLシステムのコンプライアンスリスクは、サイバーセキュリティリスクに似ています。レガシーシステムやソフトウェアでコンプライアンス要件を満たさない場合、特にデータ侵害が発生した場合には、高額な罰金を科される可能性があります。
サポートリスクがメンテナンスコストを増加させる可能性があります
EOL技術がサポートされるライフサイクルを超えて維持されるほど、それを稼働させ続けるためのコストが増加します。時間が経つにつれて、レガシー技術に精通した人が減少し、それをサポートできなくなります。サポートの需要が供給を超えると、メンテナンスコストはセキュリティやコンプライアンスイベントのリスクとともに増加します。
End of Life技術のリスクを軽減する方法
組織は、ベンダーのベンダーリスク管理プログラムを通じて、End of Life技術に関連するリスクを軽減することができます。たとえば、技術の変化を把握し、技術が時代遅れになる前に計画を立てることが重要です。これには、新しい技術や既存技術の新バージョンの調査、新技術やバージョンへの移行のためのタイムラインの作成、新機能や能力に関するスタッフのトレーニング、移行のための予算計画の作成が含まれます。さらに、アップグレードをサポートできる長寿命の技術を購入することを検討することも重要です。これにより、技術の寿命を延ばすことができます。最後に、移行に問題や遅延が発生した場合に備えて、バックアップシステムや冗長システムへの投資を検討することも重要です。
End of Lifeシステムやソフトウェアを運用することは魅力的かもしれませんが、財務的、セキュリティ的、コンプライアンス的なリスクは利益をはるかに上回ります。すべての真剣な技術プロバイダーは、時代遅れの技術を廃止する前に十分な事前通知を提供します。これらの発表に従い、レガシー技術から移行する企業は、投資資金以上のものを節約します。彼らはまた、評判や顧客の忠誠心を守ることができるかもしれません。EOL技術に依存することは、リスクに見合うものではありません。