2005年に提供が開始された「Microsoft SQL Server 2005(SQL Server 2005)」だが、5年間の「メインストリームサポート期間」、その後の「延長サポート期間」を経て、2カ月後の2016年4月12日にすべてのサポートを終了する。

サポートが受けられなくなると、どんな問題が発生するのだろうか。最も困るのは、脆弱性が発見されても、セキュリティ更新プログラムが提供されないため、ウイルスやスパイウェア、不正な攻撃などにさらされるリスクが高くなることだろう。

さらに、「まだ動いているから大丈夫」と思っていたシステムも、サポート終了後は、データ消失や情報漏洩、システムの不具合などが生じても、もう公式サポートに頼れなくなる。安全にシステムを運用するためには、製品のライフサイクルをきちんと把握し、ソフトウェアの更新を計画していく必要があると言える。

日本マイクロソフト サーバープラットフォームビジネス本部 クラウドアプリケーションビジネス部 エグゼクティブプロダクトマネージャー 北川剛氏

そこで今回、SQL Server 2005の移行に関して、日本マイクロソフト サーバープラットフォームビジネス本部 クラウドアプリケーションビジネス部 エグゼクティブプロダクトマネージャーの北川剛氏に話を伺った。

--まずは、SQL Server 2005の国内での稼働状況について教えてください。--

北川氏: 2015年12月時点で約12万台のSQL Server 2005が国内で稼働していました。その後、パートナー企業との連携により大部分の乗り換えが進みましたが、いまだ移行が進んでいない部分もあります。残るSQL Server 2005の多くを占めるのは、パッケージソフトなどの裏側で動く無償版(Express Edition)ですね。

--業務の中核を成すデータベースサーバではなく、会社の片隅でひっそりと稼働する小規模なサーバなどが危ないということでしょうか。--

北川氏: 普段使っている会計ソフトや給料計算ソフト、宛名管理ソフトや販売管理ソフトのデータベースの裏でSQL Server 2005が使用されているかもしれない、ということです。つまり、自分のPCにインストールしているソフトウェアがSQL Server 2005を使用しており、うっかりサポート切れになっていた、というケースも起きるかもしれません。

--仮に、SQL Server 2005を乗り換えないで使い続けた場合、どのようなデメリットが生じるのでしょうか。--

北川氏: 1番の大きなデメリットはセキュリティの問題です。仮に重大な脆弱性が発見されたとしても、一切対策がされなくなります。また、「システムが止まった」「データが壊れた」といったトラブルが生じても、われわれとしてはもうサポートしようがないのです。その点も含め、情報漏洩などの万が一のリスクと影響範囲を考慮しながら移行を検討していただきたいです。

--情報漏洩などのセキュリティの問題は企業のコンプライアンスにも関わるため、サポートが提供されたバージョンを使うべきだと思うのですが、具体的に乗り換えるメリットとはどのようなものがあるのでしょうか?--

北川氏: 良いことがあるからSQL Server 2005をアップグレードするのではなく、「リスクが起きないために乗り換える」必要があると考えています。つまり、脅威にさらされるリスクを減らすこと自体がメリットです。

独立行政法人情報処理推進機構(IPA)が提供している脆弱性対策情報データベース「JVN iPedia」利用動向のレポートによると、Windows SQL Server 2005に関する脆弱性対策情報は20件登録されている。これらのうち、深刻度が最も高い「レベルIII 危険」と分類された脆弱性対策情報は85%(17件)となっており、JVN iPedia全体における40.3%という割合と比較して、倍以上の開きがある。これに対し、IPAも「システムの運用・管理者はサポートが終了する前に、移行計画を策定するなどして、対処してください」と強く呼びかけている(1月28日発表)。

Windows SQL Server 2005とJVN iPedia全体の脆弱性レベルの割合(IPA資料)

北川氏: SQL Server 2005からの移行先としては、SQL Server 2014以降を案内しています。SQL Server 2014以降のバージョンは従来バージョンと比べ、暗号化や監査機能などのセキュリティ機能が大幅に強化されているほか、オンプレミスとクラウドの相互を組み合わせたハイブリッド環境での運用に対応するなど、柔軟な導入が可能となり、かなり進化しています。

また、暗号モジュールに関するセキュリティ要件の米国標準「FIPS 140-2」や、クレジットカード取引情報を保護するための国際標準「PCI DSS」など、各種のコンプライアンス基準を満たしており、最新版に移行することでよりセキュリティが強固になるのは間違いないだろう。処理能力の向上やリソース管理など大規模な機能向上を図っており、このような観点からも同社は最新版への早急な移行を勧めている。また、今春ローンチ予定のSQL Server 2016のパブリック プレビュー版の公開も行っている。

--実際に移行するにあたり、注意すべき点があれば教えてください。--

北川氏: SQL Serverには、互換レベルというものが存在します。同じレベルに対応するバージョン同士であれば、そのまま移行できますが、互換レベルが異なると直接移行できない事象もあります。例えば、SQL Server 2005 の互換性レベルは90ですので、SQL Server 2016へ移行すると、対応する100にデータが書き換えられるため、100%の互換ではなくなってしまいます。さらに、SQL Server 2000はSQL Server 2016に直接移行ができないため、一度SQL Server 2005/2008/2008 R2に移行後、SQL Server 2016に移行するなど、ひと手間加える必要があります。

移行パスと互換性レベル

これらの移行時に発生する問題を把握できる「アップグレード アドバイザー」を無償で配布しています。また、「Microsoft Assessment and Planning Toolkit(MAPツール)」という診断ツールも提供しています。こちらは、マイクロソフトの各製品のアセスメントツールを1つにまとめたもので、SQL Serverを含めた現状環境の棚卸しを行えます。

SQL Server 2016 アップグレード アドバイザーによるアセスメント

--SQL Serverの見直しが、ITシステム全体を見直すチャンスにもなるかもしれませんね。--

日本マイクロソフトは、SQL Server 2005のサポート終了に伴い、移行に関する情報サイトを開設。「今お使いのシステムの裏で、まだSQL Server 2005 動いていませんか?」というメッセージでユーザーに移行を訴える。サイトでは、パートナー企業紹介や導入事例のコンテンツ、移行に関する相談窓口も設けている。

IT部門ではSQL Server 2005を利用していないとしても、人事部や総務部、経理部のPCで人知れずSQL Server 2005が動いているかもしれない。サポートが終了する4月を前に、もう一度「隠れSQL探し」を敢行してはいかがだろうか。