技術営業部の大原です。

2024.6.30 をもって「CentOS 7」のコミュニティサポートが終了（EOL）するため、多くのユーザーにとって大きな課題となっています。

もちろん、CentOS 7 のサポート終了後も、CentOS 7 がインストールされた利用中のサーバー環境は、引き続き利用することはできますが、コミュニティから最新のセキュリティパッチやアップデートが提供されないなどの、様々なセキュリティリスクが伴います。

今回の記事では、そのセキュリティリスク・一時的にセキュリティを保つ方法を交えてご紹介します。

※ 2024年1月時点の情報です。

セキュリティリスクの増大と情報セキュリティガバナンス

今後は CentOS の脆弱性に対するパッチやセキュリティ更新が、コミュニティから提供されなくなるため、脆弱性を突いたサイバー攻撃の標的になりやすく、セキュリティリスクが高まります。

OS のアップデートやメンテナンスが実施されなくことにより、システムの安定性が低下し、予期せぬ障害が発生するリスクが高まり、その対処方法も難しくなります。

また、企業によっては、情報セキュリティガバナンスとして、特定のシステムに対してセキュリティ強化の実施が定められている場合があります。

考えられるセキュリティリスク

○ 未知の脆弱性（ゼロデイ）による攻撃を受ける
○ 既知の脆弱性に対する攻撃を受ける
○ マルウェアやランサムウェアの感染が発生する
○ サービス停止やシステム障害が発生する
○ 顧客や取引先の信頼を失う

セキュリティリスクを解消する方法

CentOS 7 のサポート終了に伴う、セキュリティリスクを確実に回避する方法としては、AlmaLinux や Red Hat Enterprise Linux（RHEL）などの「別の代替 Linux ディストリビューションへ移行する」しかありません。

CentOS 7 から別のLinux ディストリビューションへの移行作業は、知識や技術力・難易度が伴いますが、今後のセキュリティパッチも継続して提供され、サポートも充実しています。

しかし、CentOS 7 から別のLinux ディストリビューションへの移行作業には、以下の点に注意する必要があります。

システムの構成や利用状況の確認

まず、移行対象のシステムの構成や利用状況を確認します。主に以下の点を確認し、システムの構成や利用状況を把握することで、移行に必要な作業やリスクを把握することができます。

○ 使用しているソフトウェアやミドルウェア・モジュールのバージョン
○ アプリケーションの設定やカスタマイズの有無
○ それぞれのシステムとの依存関係

移行スケジュール・方法・予算の検討

移行方法は、システムの構成や利用状況によって、移行のスケジュールや方法・予算が変わってきます。

○ 移行のスケジュールを早めに立てる
移行作業には、一定のスケジュールが必要で、すぐに対応するには困難を極めます。早めに余裕を持ったスケジュールを立案することで、無理のない移行作業を実施することができます。

○ 移行の方法を選定する
移行作業に伴うシステム停止やデータ移行などのリスクを十分に検討し、リスク評価をおこなう必要があります。これには、システムの依存性などの下調べを慎重におこなったとしても、「実際の移行作業では何が起こるか分からない」「予期せぬシステムのトラブル」に見舞われる可能性もあります。

○ 移行の予算を計画する
移行作業には、それなりの労力もコストも掛かります。自社内での移行作業が難しい場合、外部のITベンダーへ相談することを検討しましょう。外部のITベンダーへ移行作業をアウトソースすることで、移行作業を安全かつ効率的に進めることができます。

【応急処置】セキュリティを保ったまま延命する方法

先述のとおり、一番最適な方法は「別の代替 Linux ディストリビューションへ移行する」ですが、企業や組織の都合により、速やかに対処できない場合があるかと思います。

例えば、別のLinux ディストリビューションへの移行に伴う、Apache や MySQL・PHP などのミドルウェアバージョンとの依存関係による動作不良や、カスタマイズされたアプリケーション・ソフトウェアのコード改変が必要だが、コードの改変作業ができる担当やITベンダーがすでに居ないなど、様々なケースが考えられます。

ここでは、あくまで一時的な応急処置的な方法ですが、CentOS 7 がサポート切れの状態のまま、セキュリティを維持する方法を挙げていきます。

※ ただし、これらの方法は、セキュリティリスクをある程度軽減することができますが、あくまで一時的・応急処置的な方法として捉えていただけると幸いです。

IPS / IDS のセキュリティサービスを導入する

サーバー環境へ IPS / IDS を導入することで、サーバー内における不正なアクセスや動作を通知したり、またはブロック・隔離する効果が期待できます。

弊社ビヨンドでも提供している、IPS / IDS サービスの「Trend Micro Cloud One（C1WS）」には「仮想パッチ」という概念の機能が存在するため、セキュリティの脆弱性を保護する役割を担います。また自動でシグネチャを適応させることができるので、最小限の運用負荷で最適な保護を受けることが可能です。

WAF のセキュリティサービスを導入する

WAF（Web Application Firewall）は、http（80番）/ https（443番）のインターネット接続に用いられるプロトコルを保護する、主にWebサイトやアプリケーションの保護に特化して定義されたセキュリティサービスです。

弊社ビヨンドでも提供している、クラウド型 WAFサービス「Scutum」では、リクエストに応じて動的なページを生成したりするタイプのWebサイトやアプリケーションを、SQLインジェクションやクロスサイトスクリプティングなどの様々な攻撃から防御することができます。

MSP の専門サービスに依頼する

MSP（マネージドサービスプロバイダー）に、サーバーやインフラの運用をアウトソースする方法です。

MSP では、企業や組織のITインフラ（サーバーやネットワーク・データベースなど）やアプリケーションに対して、専門的な観点からシステム構築や運用保守・監視の代行をおこない、システム更新やセキュリティ管理・データバックアップ・システム障害時の復旧対応など、継続的な技術サポートを提供します。

なお、MSP はベンダーによって、サポート体制や範囲・得意分野・料金体系が異なるので、自社にマッチするMSPベンダーを選定することをオススメします。

まとめ

以上、CentOS 7 をそのまま放置する場合のセキュリティリスク・一時的にセキュリティを保つ方法をご紹介しました。

新しい Linux ディストリビューションへのサーバー環境の移行、またはサーバー環境のセキュリティ維持・延命の、どちらのパターンであっても、専門的な知識や技術・経験が必要です。自社で対応が難しい場合には、ITベンダーなどの専門家に相談することも検討しましょう。

▼ ビヨンド の「サーバー移行ソリューション」はコチラ ▼

● クラウド / サーバー移行・マイグレーション
● CentOS サーバー移行ソリューション
● AlmaLinux OS サーバー構築・移行サービス