●緊急速報、プロセッサの脆弱性(Meltdown/Spectre)に関するWindowsの対応状況

今回のテーマとは少し話がずれますが、2018年の年明け早々、プロセッサに存在する脆弱(ぜいじゃく)性が公表され、騒がしくなっています。当初、Intelのx86プロセッサの問題で、Windowsだけでなく、Linux、Android、Chrome、iOS、macOSと広範囲に影響するものと伝えられましたが、AMDやArmにも同様の脆弱性が存在することが明らかになっています。

Microsoftは、この問題を軽減するセキュリティ更新を含む累積的な更新プログラムを、サポート期間中のWindows 10、Windows Server 2016、Windows Server バージョン1709向けに、セキュリティのみの品質更新プログラムまたはセキュリティマンスリー品質ロールアップをWindows 7 Service Pack1(SP1)、Windows 8.1、Windows Server 2008 R2、Windows Server 2012 R2向けに、Windows Update/Microsoft Update Catalogを通じて提供しました。

これらの更新プログラムは「Windows security updates released on January 3, 2018」と呼ばれていますが、今後の累積的な更新プログラムにも含まれることになるでしょう(Windows OSに関しては、今回の累積的な更新プログラムが2018年1月10日の定例更新の前倒し提供になるようです)。

更新プログラムのインストールだけでなく、OEMメーカーが提供するファームウェアの更新が必要なこと、Windows Serverの場合はサーバの役割やソフトウェア(SQL Server)、実行環境(物理、仮想、Azure、他社クラウド)によっては追加の対策が必要なこと(レジストリ設定による軽減策の有効化)、悪影響を及ぼさないためにWindows Updateで配布されない場合があること、そして状況は刻々とアップデートされていることに注意が必要です。

今回の脆弱性問題は、更新プログラムの適用で安心できるものではありません。根本的な解決ではなく、あくまで軽減策であり、場合によっては追加の設定が必要です。軽減策は、パフォーマンスを低下させる可能性もあります。OEMメーカー各社による更新されたファームウェアの提供には、しばらく時間がかかるかもしれません(既に対策済みのものもあります)。古いモデルでは提供されないかもしれません。

マルウェア対策ソフトウェアとの互換性問題により、ブルースクリーン(Blue Screen of Death:BSoD)が発生する可能性もあります。それが、Windows Updateで更新プログラムが配布されない(かもしれない)理由の1つです。もし手動でダウンロードしてインストールするなら、その前に使用中のマルウェア対策ソフトウェアの提供元に確認するべきです。「Windows Defender」は既に対応済みです。筆者が利用している「ESET NOD32 AntiVirus」は、「ウイルス・スパイウェア対策検査機能:1533.3(20180104)」で対応しました(それ以前の場合はBSoDが発生するようです)。

この件に関しては、もう少し情報が出そろったところで、あらためて取り上げる予定です。以下の記事も参考にしてください。

●「最低でも10年(5+5)」だけではない、さまざまなサポートポリシー

本題に戻ります。Microsoftの製品サポートといえば「最低5年間のメインストリームサポートと最低5年間の延長サポート」の最低10年であり、延長サポートが終了するまではセキュリティ更新プログラムが無料で提供されるものと認識している人は多いと思います。

最新のサポートポリシーでもこの基本は変わっていませんが、これは「ビジネス、開発者、デスクトップオペレーティングシステム」向けのサポートポリシーです。コンシューマー向け製品(OSを除く)やデバイスについては、別のポリシーがあります。これらのサポート終了日が明確に定義された従来のサポートポリシーは、現在は「固定ライフサイクルポリシー」と呼ばれています。

さらに今は、クラウドサービス向けの「モダンライフサイクルポリシー」というものもあります。また、Windows 10のサポートは「サービスとしてのWindows(WaaS)のライフサイクル」に従います。これは、2017年10月から提供が開始された「半期チャネル(Semi-Annual Channel)」のWindows Server(バージョン1709/1803……)も同様です。

なお、従来のWindows Serverは、半期チャネルに対して「Long Term Servicing Channel(LTSC)」と呼ばれます。2018年にサポートが終了するWindows ServerとSQL Serverのバージョンはありませんが、企業のIT担当者さんは覚えておくとよいでしょう。ちなみに、Windows Server 2008 Service Pack(SP)2/2008 R2は2020年1月に、SQL Server 2008 SP4/2008 R2 SP3は2019年7月に延長サポートが終了します。

以上を踏まえて、2018年に固定ライフサイクルポリシーの延長サポートが終了する製品の中から、筆者が注目する製品を見ていきましょう。

2017年は4月にWindows Vista、10月にMicrosoft Office 2007(およびMicrosoft Office 2010 for Mac)のサポートが終了しましたが、2018年はどんな製品が対象になるのでしょうか。懐かしいものが出てきました。なお、日付は米国時間である場合があります。

●7月10日終了──StorSimple5000/7000シリーズ

筆者がまず注目したのは、アプライアンス製品(ハードウェア)である「StorSimple 5000/7000シリーズ」のサポートが2018年7月10日に終了することです。この製品は、Microsoftが2012年にStorSimple社を買収し、既存製品を引き継ぐ形で販売していたクラウド統合型の階層化ストレージ製品です(もともとはMicrosoft Azureではない、他社クラウドと統合する製品だったと思います)。


サポートは製造元のXyratex社(現在はSeagate社)から提供されており、そのサポート(メインストリームサポートのみで延長サポートはなし)が7月に終了します。ハードウェアなのでサポートが終了しても全く機能しなくなるわけではありませんが、Azureサービスとの関係で、クラウド対応機能が利用できなくなる可能性があります。また、ハードウェア製品であるため、サポート終了について考えたことがない、あるいは利用しているにもかかわらず、この製品であるという認識がないこともありますので、ご注意ください。

もし、この製品を利用中の場合は、後継のStorSimple 8000シリーズやソフトウェアベースの「StorSimple Virtual Array」に移行する必要があるでしょう。あるいは使用を中止するという選択もあります。移行する場合は、Microsoftサポートの支援が必要ということです。詳しくは、以下のドキュメントで確認してください。

●7月31日終了──EMET 5.x

「Enhanced Mitigation Experience Toolkit(EMET)」は、Windowsやアプリケーションの脆弱性を緩和(軽減)するツールであり、公表されていない脆弱性を悪用するゼロデイ攻撃や、セキュリティ更新プログラムが提供されるまでの回避策として利用されてきました。アプリケーションの互換性問題があるため、一般ユーザー向けのツールではありませんが、重大なセキュリティ問題が話題になると、有効な回避策の1つとして示されてきました。

EMETの開発は既に終了しており、2018年7月いっぱいで提供とサポートが終了します。EMETの最新バージョンは「EMET 5.52」で、Windows VistaからWindows 10まで、セキュリティ補助ツールとして利用できます。ただし、Windows 10の正式サポートはWindows 10 Anniversary Update(バージョン1607)までで、Windows 10 Creators Update(バージョン1703)は非サポート(ただしインストールと動作は可能)となります。

Windows 10 Fall Creators Update(バージョン1709)にはEMETをインストールすることもできませんが、代わりにEMETとよく似た構成と緩和策の適用または除外が可能な「Exploit Protection」という機能が標準搭載されました。Windows 10ユーザーは最新バージョンにアップグレードすることで、EMETと同等(他の機能も含めるとEMET以上)のセキュリティ機能をOSの標準機能として利用できます。また、事前にEMETの設定をXMLファイルにエクスポートしておけば、Exploit Protectionにインポートして引き継ぐこともできます。

Windows 7やWindows 8.1でEMETを利用している場合、EMETによほど精通していない限り、サポートが終了したらアンインストールすることをお勧めします。EMETは定義ファイルベースではないため、サポートが終了しても機能しなくなるわけではありませんが、解決できないアプリケーションの互換性問題が出てきたとしても、誰も助けてくれません。また、「証明書信頼」機能の期限切れの問題は必ず生じるでしょう。

現在、EMETを既定の設定のまま使用しているのなら、すぐにアンインストールすることをお勧めします。恐らく、そのEMETはセキュリティに関してあまり役に立っていません。単に、アプリケーションの互換性問題を増やしているだけかもしれません。

●10月9日終了──MED-V 1.0/1.0 SP1

2018年10月9日にサポートが終了する「Microsoft Enterprise Desktop Virtualization(MED-V)」がありますが、正しくはMED-V 1.0/1.0 SP1のことです。MED-Vは、仮想化技術を利用してレガシーOS上で古いバージョンの「Internet Explorer(IE)」や新しいOSをサポートしないレガシーアプリケーションを実行し、アプリケーションウィンドウをローカルデスクトップに表示するという、アプリケーション互換性テクノロジーです。

MED-Vは、Windowsの「ソフトウェアアシュアランス(SA、現在のWindows Enterprise E3/E5など)」に契約者に無料(もともとは有償)提供される「Microsoft Desktop Optimization Pack(MDOP)」に含まれるコンポーネントの1つです。

Windows 7では、Windows Virtual PCでWindows XP環境を提供する「Windows XP Mode」が利用できました。MED-Vは、このWindows XP Modeの集中管理および展開が可能な企業版のようなものです。MED-V 1.0/1.0 SP1は、Virtual PC 2007 SP1に基づいており、ホストOSとしてWindows XP/Vista/7を、ゲストOSとしてWindows 2000/XPをサポートしています。MED-V 2.0は、Windows 7のWindows Virtual PCのみで利用でき、ゲストOSとしてはWindows XPのみをサポートしています。こちらは、2021年4月までサポートが続きます。

MED-V 1.0/1.0 SP1が前提とするVirtual PC 2007 SP1は、既に2017年7月にサポートが終了しました。MED-V 1.0/1.0 SP1/2.0がサポートするゲストOSもまた、既にサポートが終了してから数年が経過しています。MED-V 1.0/1.0 SP1のサポートは2018年10月まで、MED-V 2.0のサポートはさらに数年続きますが、事実上、安全に利用できる環境ではありません。そもそも、MED-Vは移行期間を支援するために提供されたツールであり、永続的な利用が想定されたものではありませんでした。そして、移行期間ははるか昔に過ぎ去ってしまいました。

万が一、現在でもMED-V(2.0を含めて)を利用しているというのであれば、それは非常に残念な状況ですし、それで大丈夫なのかと心配にもなります。きっとそんな企業は存在しないでしょう。つまり、MED-Vのサポート終了が問題になる企業はないはずです(まだ使っている企業は、サポート終了なんて気にしていないのでしょうから)。

●3月ごろ終了──WaaSでサポートが終了するWindows 10

最初に指摘したように、Windows 10はWaaS(サービスとしてのWindows)のライフサイクルに基づいてサポートされます。WaaSでは、年に2回、3月ごろと9月ごろに新バージョンがリリースされます。2018年はバージョン1803(仮)とバージョン1809(仮)のリリースが予定されています。一方、新バージョンのリリースと入れ替わるようにサポートが終了するバージョンがあります。

Windows 10 Anniversary Update(バージョン1607)とWindows 10 Creators Update(バージョン1703)は、それぞれ3月ごろと9月ごろにサポートが終了する予定です。実際には新バージョンと入れ替わるわけではなく、各バージョンはリリース後、原則として18カ月でサポートが終了します。その時期がちょうど3月ごろと9月ごろになるわけです。Windows 10 Fall Creators Update(バージョン1709)が出たばかりで、現在、バージョン1607やバージョン1703を利用中のユーザーは多いでしょう。しかし、どちらも2018年中に姿を消します。

この忙しいサイクルが永遠に続くのか、どこかで途切れるのか(ポリシーが変更されるのか)分かりませんが、現時点では永遠に続くことを前提に進むしかありません。

企業の場合、「Windows Update for Business」をうまく活用して(最大で半期チャネルの4カ月+365日延期可能)、1年に1回のアップグレード(つまり、間の1バージョンをスキップ)で運用するなどで、業務への影響をできるだけ少なくする必要があるでしょう。確かに、Windows 10の新バージョンには企業向けの新機能が搭載され、改善されてきています。しかし、安定性が増しているかというとどうでしょうか。新バージョンが出るたびに、安定性がリセットされるような気がするのは筆者だけではないと思います。

なお、Windows 10 November Update(バージョン1511)のサポートは2017年10月に終了しました。ただし、その翌月、Windows 10 EnterpriseおよびEducationエディションに限り、半年間(2018年4月まで)、セキュリティ更新のサポートが延長されることが発表されています。

場合によっては、バージョン1511よりも先にバージョン1607のサポートが終了するかもしれません。あるいは、バージョン1511と同様に、エディション限定で一定期間延長されるかもしれません。Windows 10 バージョン1607はLTSCのWindows Server 2016と同じビルドであるため、親和性の高さから企業ユーザーの多くがWindows Server 2016とともに導入していると思います。そのため、個人的には延長されてほしいのですが、期待するのは止めましょう。

●3月ごろ終了──初代Nano Serverもサポートが終了する(はず)

Windows Server 2016では「Server Core」と「デスクトップエクスペリエンス」(以前は「GUI使用サーバー」と呼ばれていたもの)の2つのインストールオプションに加えて、「Nano Server」と呼ばれる新しい最小インストールオプションが追加されました。

Nano Serverはデスクトップと対話型のコンソールを持たず(主に情報表示のためのRecovery Consoleのみ提供)、コマンドラインや管理ツールからリモート管理することを前提にしたものです。このWindows Server 2016ベースのNano Server(便宜上、初代Nano Serverと呼びます)は、物理マシンや仮想マシンにインストールするか、WindowsコンテナのベースOSイメージ(microsoft/nanoserver)として提供されます。

初代Nano ServerがWindows Server 2016のインストールオプションの1つであるというのは、ある意味間違いではありませんが、その登場時からWindows Server 2016とNano Serverはライセンス上、大きな違いがありました。Windows Server 2016はLTSC(その当時はその呼び方はありませんでしたが)ですが、Nano ServerはWindows Serverのソフトウェアアシュアランス(SA)で提供されるものです。

また、Nano Serverは1年に数バージョンが提供され、古いバージョンはサポートが終了していくという、WaaSと同様のポリシーでした。結局、初代Nano Serverの次のバージョンが提供されないまま、Nano Serverは半期チャネルのWindows Serverに統合されました(2代目Nano Server)。そして、2代目Nano Serverからは、物理サーバや仮想マシンにインストールして使用するというシナリオはサポートされず、WindowsコンテナのベースOSイメージとしての提供だけになります。

2代目Nano Serverからは、半期チャネルのポリシーに基づいて、年に2回、3月ごろと9月ごろに新バージョンがリリースされ、各リリースは18カ月間サポートされます。初代Nano ServerはWindows 10 バージョン1607と同時期にサポートが終了するはずです。

初代Nano Serverが物理サーバや仮想マシンで動いている場合、アップグレード先はありません。2代目Nano Serverはそのシナリオをサポートしていないからです(WindowsコンテナはベースOSイメージの入れ替えなので、アップグレードという考え方はありません)。初代Nano Serverの物理サーバまたは仮想マシンの運用を続ける必要があるなら、何らかの方法で、LTSCのWindows Server 2016または半期チャネルのWindows Server バージョン1709以降に移行する必要があります。

 

 

 

【関連記事】

Windows MRヘッドセット利用者が4%に Steamが発表

Mozilla、「Firefox」v57.0.4を公開 ~CPU脆弱性“Meltdown”“Spectre”へ対策