ESUはサポート切れOSの保護に最適？

公開日：2023.11.06｜

更新日：2024.01.09｜

執筆者：岩本遥｜

Morphisecライターチームの岩本です。

サポートが終了したOSは、一部の企業で使われていますが、脆弱性が修正されないため、時間の経過とともにセキュリティリスクが増加していくという重大な課題を抱えています。

この課題に対処すべく、マイクロソフト社の場合はサポートの切れたWindows OSを安全に継続利用するための選択肢として、セキュリティリスクを軽減するためのESU（Extended Security Updates, エクステンデッド・セキュリティ・アップデート）という拡張セキュリティ更新プログラムを用意しています。

ESUは、サポート切れのWindows OSにおいてもセキュリティパッチが適用されるオプションです。サポートが切れたOSを利用せざるを得ない企業にとっては有効なセキュリティ対策となり得るでしょう。しかし、ESUの活用にも注意が必要になります。

本記事では、お客様から受けた相談内容なども踏まえ、サポート切れOSをESUで保護することによる効果や活用するうえでの注意点について解説します。

サポート切れOSのセキュリティ対策

Morphisecの製品ページから資料請求する

ESUとは

ESUとは、マイクロソフト社が提供するセキュリティ更新プログラムのことであり、サポートが終了したWindows OSをやむを得ず継続利用する際の延命措置として提供されます。マイクロソフト社の公式ウェブサイトによれば、ESUは「サポート期間を過ぎたWindows OSを保護するための最後の手段」と表現されています※1。

Windows Updateが提供される期間をサポート期間と呼びますが、ESUが導入可能になるのは、OSのサポート期間が終了した後です。

Windows Updateとは、OSのサポート期間内にマイクロソフト社から定期的に提供されるOSの更新プログラムであり、提供する内容にはセキュリティの維持に不可欠な、脆弱性を修正するためのセキュリティパッチが含まれます。

ESUを利用するための条件

ESUはサポート期間を延長するソリューションだと捉えている方も少なくありませんが、ESUを実際に利用するためにはいくつかの条件を満たしている必要があります。

条件は、次の項目のように厳密に規定されています※1。

オンプレミスまたはホスト環境で ESU の資格を得るには、サーバーまたはオペレーティングシステムが次の前提条件のいずれかを満たしている必要があります。

・Enterprise Agreement (EA)、Enterprise Agreement サブスクリプション (EAS)、サーバーおよびクラウド加入契約 (SCE)、または教育ソリューション加入契約 (EES) などのプログラムを通じて取得したアクティブなソフトウェア アシュアランス (SA) プランの対象となる。

・クラウドソリューションプロバイダー (CSP) を含む任意のプログラムを通じて取得したアクティブなサブスクリプションライセンスがある。

・サービスプロバイダーライセンス契約 (SPLA) パートナーを通じて「ライセンス込み」サービスとして取得している。

これらの条件を満たしている場合に限り、ESUを利用してサポート終了後もセキュリティ更新を受けることが可能です。

ただし、ESUはあくまで一時的な対策であり、長期的にはサポート中の製品に移行することが推奨されます。

このように適用条件が厳しく、条件を満たすことができないためにESUの利用を断念されたお客様の声を耳にすることもあります。

このことから、単なるサポート期間を延長するための対策として利用することは難しいことが分かります。

ESUでサポートできないケースも

ESUは通常のWindows Updateとは異なること、またESUが保護できる脆弱性は限定的であることを理解しておく必要があるでしょう。

ESUのサポート内容について紹介する前に、マイクロソフト社が提供するWindowsのサポート期間について説明します。

Windowsのサポート期間は、大きく分けて2種類に分けられます。

メインストリームサポート：OS発売後、最低5年間のサポート

延長サポート：メインストリームサポートの終了後、最低5年間のサポート

OS発売後の最低5年間はメインストリームサポート期間で、テクニカルサポートやセキュリティ更新プログラム、新機能の追加、セキュリティパッチが提供されます。

メインストリームサポートの期間終了後は延長サポート期間に移行します。延長サポート期間になると新機能の追加が行われなくなり、セキュリティ更新プログラムのみが提供されるようになります。

なお、延長サポートも終了するとESUの適応期間になりますが、下の図で示しているとおりESUにもサポート期限があります。

Windows OSのサポート

Windows8/8.1にはESUが提供されていない

ESUでサポートできないケースの一つとして、Windows 8/8.1を利用している場合が挙げられます。ESU は2019 年より、Windows 7とWindows Server 2008 R2に対して初めて提供されて以来、後続のWindows OSおよびWindows Serverに提供されていたものの、Windows 8/8.1には提供がされませんでした※2。

Windows 8/8.1に対してESUが提供されなかった理由は明示されていないため、今後も必ずESUが提供されるとは言い切れないのではないでしょうか。

ESUで保護できるのは、緊急性の高い脆弱性のみ

ESUでは、マイクロソフトによるSecurity Update Severity Rating System※3にて「緊急」または「重要」に分類される脆弱性に対してのみ、脆弱性を修正するための修正プログラムが提供されます。

したがって、「中」「低」と評価される脆弱性にはESUによる更新プログラムが提供されません。

次の表は、脆弱性の緊急度を評価するためのSecurity Update Severity Rating Systemの定義を日本語訳して引用したものです。

評価	説明
緊急	悪用されると、ユーザーの介入なしでコードが実行される可能性がある脆弱性。これらのシナリオには、自己増殖するマルウェア (ネットワークワームなど)、または警告やプロンプトなしでコードが実行される避けられない一般的な使用シナリオが含まれます。これは、Web ページを閲覧したり、電子メールを開いたりすることを意味します。 Microsoft では、お客様に重要な更新プログラムを直ちに適用することをお勧めします。
重要	悪用されると、ユーザーデータの機密性、完全性、可用性、あるいは処理リソースの完全性や可用性が侵害される可能性がある脆弱性。これらのシナリオには、プロンプトの出所、品質、使いやすさに関係なく、クライアントが警告やプロンプトによって侵害される一般的な使用シナリオが含まれます。プロンプトや警告を生成しないユーザーアクションのシーケンスについても説明します。 Microsoft では、お客様が重要な更新プログラムをできるだけ早く適用することをお勧めします。
中	この脆弱性の影響は、認証要件やデフォルト以外の構成への適用性などの要因により、大幅に軽減されます。 Microsoft は、お客様にセキュリティ更新プログラムの適用を検討することをお勧めします。
低	脆弱性の影響は、影響を受けるコンポーネントの特性によって包括的に軽減されます。Microsoft では、影響を受けるシステムにセキュリティ更新プログラムを適用するかどうかを評価することをお勧めします。

図で示されているように、ESUの保護対象外である「中」「低」の脆弱性も、攻撃者の侵入口となるリスクを抱えているため、マイクロソフト社は修正プログラムの適用を推奨しています。

つまり、ESUを適用した場合もすべてのセキュリティリスクが解消されるわけではなく、セキュリティインシデントの発生リスクをOSのサポート期間と同等に抑えることは難しくなるのです。

サポート切れOSの保護に有効な「Morphisec」

サポート切れOSの保護に適したMorphisecは、攻撃を無効化するセキュリティソリューションです。

Morphisecの防御はファイルやアプリケーションのふるまいを監視および解析する手法ではなく、メモリのリソース構造を常に変化させることで攻撃者の戦略を破綻させるMoving Target Defense(MTD)を採用しています。

特許を取得しているこの技術を採用した保護手法により、シグネチャ・パターンマッチングに頼ることなく、脆弱性を抱えたままのOSおよびアプリケーションの保護が可能です。その機能のシンプルさゆえに、Morphisecのエージェントはわずか約4MBと軽量であり、導入後の影響がほとんどないことも、特長の一つです。

また、シグネチャに依存しないため頻繁な更新が必要ないので、クローズドネットワーク環境下にあるサポート切れOSの保護にも適しています。

サポート切れOSのセキュリティ対策