SBテクノロジー、CentOSのメンテナンス終了後のセキュリティ対策「CentOS延長パッケージ」を提供開始

本サービスは、SBTの子会社でLinuxOSの開発を手掛けるサイバートラスト社が提供するCentOSのセキュリティパッケージを、最短3ヵ月からお客様のニーズに合わせた契約期間で利用できるサービスです。コミュニティによるメンテナンスが既に終了しているCentOS 6, 8 及びこれから終了を迎えるCentOS 7について、それぞれの終了日から4年間セキュリティパッケージを提供します。本サービス内で提供するセキュリティパッチは、米CloudLinux社が開発を行います(※1)。CVSS v3(※2)の深刻度が「重要」以上の脆弱性(※3)、および「重要」未満だが対策の必要性があると判断された脆弱性に対してパッチを提供します。また、米国土安全保障省（DHS）のサイバーセキュリティ・社会基盤安全保障庁（CISA : Cybersecurity and Infrastructure Security Agency）が公開している実際に悪用が確認された脆弱性のリスト（KEV Catalog）に掲載され、かつパッチが未開発のものがあった場合はSBTから個別に開発リクエストを行います。これにより、コミュニティによるメンテナンスが終了した後も、セキュリティパッケージの提供期間中ユーザーは安心してCentOSを使い続ける事が可能となります。

なお、2024年6月30日にメンテナンス終了を迎えるCentOS 7について、本日から2024年3月31日までに「CentOS 7 延長パッケージ 12か月版」をご購入いただいた方は、早期購入特典として先着1,000契約限定で10%Offクーポンをご利用いただけます。

CentOS 7 延長パッケージ 12か月版：https://noz-shop.jp/category/CO_CENT_OS7/COS7_12M_AR.html

CentOS延長パッケージ：https://noz-shop.jp/sc/co_lp.html

■背景 

CentOSは、Red Hat社が提供する有償LinuxディストリビューションのRed Hat Enterprise Linux (RHEL)を基に、RHELのソースコードから完全互換を目指して開発された無償のLinuxディストリビューションです。国内の組織においては、2000年代よりWebサーバ等で多く利用されていることを確認しています。

2020年12月、Red Hat社およびCentOS Projectは、2029年5月31日まで予定されていたCentOS 8のコミュニティによるメンテナンスを2021年12 月31日で終了し、CentOS 7については予定通り2024年6月30日でメンテナンス終了することを発表しました。CentOSの直接的な後継OSはリリースされないため、ユーザーは移行対応を強いられることとなりました。

コミュニティによるメンテナンス終了後は、重大な脆弱性が発見されたとしてもセキュリティの修正パッケージが提供されないため、サイバー攻撃に対して無防備な状態となります。しかし、CentOS 6や8など既にメンテナンスが終了しているOSであっても、すぐに他OSへの移行対応が難しいなどの理由から継続利用を望む声も少なくありません。

例えば、CloudLinux社の公開している情報をもとにSBTが集計した結果では、CentOS 8(※4)においてメンテナンス終了後から2023年末までに見つかった脆弱性は687件、その中で深刻度が「重要」（CVSS 7.0）以上とされるものは182件ありました。やむを得ず継続利用する場合は、こうしたメンテナンス終了後に発見される脆弱性を対策した上で利用することが求められます。

これまでSBTは、エンタープライズ企業向けにメンテナンス終了後のCentOSのセキュリティ対策支援をサイバートラスト社と共に提供してきました。今回、大手企業だけでなく中小規模のお客様に対しても手軽にご利用いただけるよう、自社ECサイトにて本サービスの提供を開始しました。

■サービス概要

本サービスは、コミュニティによるメンテナンスが既に終了しているCentOS 6, 8 及びこれから終了を迎えるCentOS 7について、それぞれの終了日から4年間セキュリティ対策のためのパッケージを提供します。セキュリティパッケージは、SBTが管理するリポジトリサーバーにお客様システムから接続して取得いただきます。

ECサイトでの購入から利用開始までオンラインで完結でき、最短15分で使い始めることが可能です。また、契約は1台単位から対応しており、最短3ヵ月からお客様のニーズに合わせた契約が可能です。

・延長パッケージの提供期間

CentOS 6延長パッケージ(※5)

2024年1月25日～2024年11月30日

CentOS 7延長パッケージ(※6)

2024年7月1日～2028年6月30日

CentOS 8延長パッケージ

2024年1月25日～2026年1月31日

・価格（税込み）

契約期間	CentOS 6 延長パッケージ	CentOS 7 延長パッケージ	CentOS 8 延長パッケージ
3か月	19,800円	19,800円	19,800円
6か月	39,600円	39,600円	39,600円
12か月	―	79,200円	79,200円

「CentOS延長パッケージ」の詳細は、こちらをご覧ください。

https://noz-shop.jp/sc/co_lp.html

■今後の展望

今後は、CentOS 6の再延長パッケージを2024年12月1日から2026年11月30日まで2年間の提供を予定しています。また、LinuxディストリビューションのひとつであるUbuntuの16.04 LTSおよび18.04 LTSの延長パッケージについても、年内を目途に提供を予定しています。

SBTは、お客様が安全にCentOSなどのLinuxを使い続けられるよう、サービスの拡充に取り組んでまいります。

※1 サイバートラスト社は2023年5月に米CloudLinux社と協業を発表しており、CentOSのセキュリティパッケージについても連携しています。

https://www.cybertrust.co.jp/pressrelease/2023/0522-cloudlinux-ctj.html　

※2 CVSS v3とは、ソフトウェアやシステム上の脆弱性に対する深刻度を評価するオープンかつ汎用的な指標です。CVSS v3では、深刻度レベル分けを次のように設定しています。

・深刻度レベル分け

深刻度	スコア
緊急	9.0～10.0
重要	7.0～8.9
警告	4.0～6.9
注意	0.1～3.9
なし	0

出典：IPA（独立行政法人 情報処理推進機構 セキュリティセンター）「共通脆弱性評価システムCVSS v3について～脆弱性の深刻度を評価するための指標～」2020年3月

https://www.ipa.go.jp/security/guide/vuln/ug65p90000019bum-att/000081020.pdf　

※3 深刻度が「重要」以上の脆弱性の例。

・2023年7月19日公開CVE-2023-38408（OpenSSHの forwarded ssh-agent の脆弱性、基本スコア9.8（深刻度「緊急」））

・2023年10月3日公開CVE-2023-4911（GNU C Library の脆弱性、基本スコア7.8（深刻度「重要」））

※4 CentOS 8の最終バージョンである8.5を対象としています。

※5 CentOS 6については、2026年11月30日まで再延長を予定しています。

※6 CentOS 7延長パッケージは、1月25日からご購入いただけますが、延長パッケージの提供は2024年7月1日以降となります。2024年6月30日まではパッケージを配布するリポジトリサーバー環境へのアクセス情報のみの提供となります。

※ 本リリースに記載されている会社名、製品名、サービス名は、各社の登録商標または商標です。