Webサイトのセキュリティ対策というと、WAFの導入や改ざん検知など、追加の対策機能に目が向きやすいものです。
一方で、企業サイトの運用で実際に問題になりやすいのは、CMSやインフラのEOL/EOS(サポート終了)を見落とし、ある日突然「サポートが切れている」と指摘されることではないでしょうか。
近年は、社内のセキュリティ部門や監査、グループ企業の統制強化などをきっかけに、脆弱性診断で「サポートが終了している」「脆弱性が残っている」と指摘されるケースも増えています。
こうしたリスクに備えるには、EOL/EOSを気合いや属人的な管理に頼るのではなく、仕組みとして管理することが重要です。
EOL/EOSとは、簡単に言えばベンダーが製品や特定バージョンのサポートを終了することです。
注意したいのは、「古いから何となく危ない」という話ではなく、サポート終了によって(原則として)セキュリティ更新が提供されなくなる点にあります。
企業のWebサイトでEOL/EOSが問題になりやすいのは、次のような理由があるためです。
-
Webサイトは外部に公開されている
攻撃者から見える環境にあるため、放置されたリスクが狙われやすくなります。 -
バージョンや構成要素が多い
CMS、プラグイン、OS、PHP、Webサーバーなど、管理すべき対象が複数あります。 -
構成情報が社内に残りにくい
制作会社や外部ベンダーに依存していると、現在のバージョンや構成を社内で把握しにくくなります。 -
更新が後回しになりやすい
サイトを止めにくいこともあり、アップデートが先送りされ、運用負荷やリスクが蓄積しやすくなります。
※EOL(End of Life):製品やソフトウェアのライフサイクル終了を指します。
※EOS(End of Support):製品やソフトウェアのサポート終了を指します。
EOL/EOSは、CMS本体だけの問題ではありません。
実際には、Webサイトを支える周辺の要素でも起こります。よくあるのは、次のようなケースです。
-
OSのEOL/EOS
サーバー更改が必要になり、関係部署やベンダーとの調整に時間がかかります。 -
PHPなどランタイムのEOL/EOS
動作互換の問題が出やすく、改修が必要になるケースがあります。 -
ミドルウェアのEOL/EOS
Webサーバーやデータベースなど、関連するシステムの更新が連鎖的に発生します。 -
プラグインやライブラリの放置
依存関係が複雑になり、結果として更新そのものが止まりやすくなります。
たとえばPHPは、各リリースブランチについて「2年間のアクティブサポート」と「2年間のセキュリティサポート」を設け、合計4年でEOLとなる方針を示しています。
このように、WebサイトはCMS本体だけでなく、土台となる環境にも明確な期限があります。
EOL/EOS対応の第一歩は、難しい技術の話ではなく、まず棚卸し表を作ることです。
下の表を埋めるだけでも現状が整理され、社内の意思決定を進めやすくなります。
|
区分 |
例 |
今すぐ把握したい項目 |
担当(責任者) |
次回確認日 |
|
CMS本体 |
WordPress/商用CMS |
製品名・バージョン・保守契約 |
Web担当 |
20XX/XX |
|
プラグイン/拡張 |
フォーム等 |
数・更新頻度・代替可否 |
Web担当+制作会社 |
20XX/XX |
|
OS |
Linux/Windows等 |
版数・延長サポート有無 |
情シス |
20XX/XX |
|
ランタイム |
PHP等 |
版数・サポート期限 |
情シス |
20XX/XX |
|
Webサーバー |
Apache/Nginx等 |
版数・設定管理者 |
情シス |
20XX/XX |
|
証明書/TLS |
HTTPS |
期限・更新手順 |
情シス |
20XX/XX |
|
セキュリティ |
WAF/CDN等 |
有無・責任分界点 |
情シス |
20XX/XX |
ポイントは、「誰が責任者なのか(最終判断者なのか)」を必ず明記することです。
担当が曖昧な項目ほど、EOL/EOSを迎えたときに対応が遅れやすくなります。
棚卸し表を作成したら、次はEOL/EOSの期限をカレンダーで管理します。
おすすめの最小ルールは、次のとおりです。
-
四半期に1回:棚卸し表を見直す
30分程度でも、定期的に確認することが大切です。 -
12か月前:対応方針を決める
アップグレード、移行、SaaS化など、進め方を整理します。 -
6か月前:実行計画を立てる
見積もり、検証環境、切替日などを具体化します。 -
1か月前:最終確認を行う
ロールバック手順や緊急連絡網を確認します。
EOL/EOS当日に対応するのは現実的ではありません。
期限前に動けるよう、あらかじめスケジュールを置いておくことが重要です。
EOL/EOSへの対応は、大きく3つに分けられます。
1)同一基盤でアップグレードする
既存の環境を維持したまま、バージョンアップで対応する方法です。
- メリット:移行範囲を比較的小さく抑えられる
- デメリット:プラグインなどの依存関係で対応が難航しやすく、検証負荷も大きくなりがちです
2)基盤ごと移行する
リプレイスやリホストによって、環境全体を見直す方法です。
- メリット:既存の負債を整理しやすく、中長期で安定した運用につなげやすい
- デメリット:要件整理や設計など、移行前の準備が必要になります
3)SaaS/クラウドCMSへ移行し、保守範囲を縮小する
自社で抱える保守対象を減らし、運用負荷を軽くする考え方です。
- メリット:インフラ運用やセキュリティ運用の負担を抑えやすい
- デメリット:運用ルールや権限設計の見直しが必要になります
ShareWithでは、監視、保守メンテナンス、障害復旧対応、無償バージョンアップまで含めて提供しています。
EOL/EOS対応をその都度自社の工数だけで抱え込むのではなく、運用負荷そのものを見直す方法としてご活用いただけます。
本件は、CMSやインフラのEOL/EOS(サポート終了)により、今後セキュリティ更新が提供されない領域が発生するリスクがあります。
その結果、監査対応や脆弱性指摘への対応負荷が高まるおそれがあります。
こうしたリスクを避けるためには、期限前にアップグレードや移行を計画的に進めることが重要です。
あらかじめ対応を進めておくことで、緊急外注や夜間作業といった突発対応を避けやすくなり、事業継続リスクと総コストの抑制にもつながります。
説明時は、「EOL/EOS=セキュリティ更新を受けられなくなる状態」という定義を軸にすると、社内でも理解を得やすくなります。
EOL/EOSは、いずれ必ず訪れます。だからこそ、属人的な対応に頼るのではなく、棚卸し・カレンダー・判断基準・証跡といった“型”で管理することが現実的です。
また、セキュリティ対策も機能を追加するだけでは十分ではありません。監視、保守メンテナンス、障害復旧対応、(可能なら)バージョンアップまで含めて、継続できる運用の仕組みとして整えることが重要です。
-
EOLとEOSは違いますか?
呼び方はベンダーによって異なりますが、実務上はどちらもサポート終了と考えて問題ありません。
重要なのは、更新が止まりリスクが高まることです。 -
CMSだけ更新すれば大丈夫ですか?
不十分です。
OS、PHP、Webサーバーなど周辺要素のEOL/EOSも確認が必要です。 -
いつから準備すべきですか?
目安は12か月前です。
調整や検証に時間がかかるため、早めの判断が重要です。 -
EOL/EOS対応で多い失敗は?
棚卸し不足で、何が動いているか分からない状態になることです。
CMSセキュリティの課題解決を
ShareWithが支援
