EOL(End of Life)は重要!

みなさま『EOL』という言葉をご存知でしょうか?
(英語を読むとドキッとしますが笑)
近年コンピューター関係で耳にするようになった略語です。
じつは知らないでは済まされない重要なキーワードなのです!

 
アクシスではWebサーバ関係を中心として対応を進めているのですが、
お客様から

“今まで聞いたこともなかったのになぜ対応が必要なのか”
“対応しないとどういった事態になるのか”

などのご質問をいただくことがあるので、この機会にブログの記事にしようと思います。

<EOL(End of Life)とは>
主に特定の製品の生産や販売の終了、ベンダーからのサポート終了、修正・更新プログラムの提供終了のこと。
該当モデルの修理や保守部品の購入もできなくなるため、それ以上継続してその製品を使用すべきでない期限のことを意味する。

対象となるのは、
・OS
・ミドルウエア
・アプリケーション(パッケージ)
が主な物となり、特定のバージョンを対象としています。
サイトの内容が静的でも動的でも、個人情報が全くないサイトでもあるサイトでも、全てが対象となります。

これらの提供ベンダーから、

OS xxxxxのVer.x.xxは、yyyy/mm/dd に、EOLになります

というようなインフォメーションがあります。

EOLになると何が起きるのか

何も起こりません。
その日を境にいきなり使えなくなるとか、使用に制限が掛かるとかはありません。

では何が問題なのか

EOL以降、ベンダーは重大な脆弱性や障害があった場合でも、パッチ(修正プログラム)を提供しません。
このため重大な脆弱性や障害の情報が世界中に知れ渡っているにもかかわらず、何も対応ができないこととなります。

EOLを放置するとどうなのか

世界中に知れ渡っている脆弱性や障害が放置されますので、

 1)サーバ内の重要情報を盗まれる、壊される
 2)Webページを改ざんされてブランドイメージが棄損する
 3)サーバを仲介して社内のネットワークに入り込まれ、重要情報を盗まれる
 4)攻撃者によりサービスが停止される
 5)サーバの改ざんによりウイルスを媒介して第三者に被害を与える
 6)サーバを踏み台にされて第三者を攻撃して被害を与える

などが発生します。

EOL対策をしないと...?!
 

1)~4)については、多くの人の認識にあると思いますが、重要なのは 5)・6)です。
つまり『意識せず“加害者”になってしまう』ということがあるのです!
EOLを放置した結果として重大な損害を第三者に与えた場合、善管注意義務違反として損害賠償等が発生する可能性もあります。

ある日突然脆弱性が公表されると、重大性によっては被害防止のためサービス自体を停止せざるを得なくなり、そのうえ再開にはEOL対応が必要でかなりの時間を要することとなります。

EOL対応のもう一つの問題

では、最新バージョンにアップデートすれば解決するかと言えば、これも簡単にはできない場合がほとんどです。

なぜ簡単に最新バージョンにアップデートできないかというと、システムはOSという土台の上にミドルウエアという台座を置いて、台座の上にアプリケーションが乗って、サービスを構成しています。
例えとして土台と台座は、現在のバージョンでは4本の柱でつながっているのですが、OSの最新バージョンは柱の受け口が6つになっていたりします(機能やセキュリティの向上のための仕様が変わることがあります)。
6つの受け口に4本の柱を刺すことは難しいので、台座の柱の受け口も6つにする必要が発生します。

最新VerにUPDateすれば解決するとも限らない

この修正が簡単に終わる場合と、台座ごと交換する必要がある場合とがあり、台座を交換してしまうと今度はアプリケーションで同様の問題が発生します。

このため、OS・ミドルウエア・アプリケーションをどのバージョンにアップデートすべきかは、組み合わせてみないとどの程度の修正作業量になるか判断が難しい部分となり、予測=見積の難しい作業となります。

さらに困ったことに・・・

これらの安全対策(=EOL対応)を施しても、基本的にサービスの内容が変わるわけではありません。
何も変わらないのにかなりの予算を割かざるを得ないというのは、費用を負担する運営側からすると、決済権者に理解してもらうことが難しい案件なのです。

対策をやらなければいつサービスを止めざるを得なくなるかわからず、やってもサービス向上にならないという、頭の痛い問題です。

実際アクシスではどのような対応を行っているのか、近いうちにWordPressのアップデートの事例をご紹介したいと思います。