採用情報 お問い合わせ

BLOG

  1. HOME
  2. BLOG
  3. OSS セキュリティ BLOG
  4. サポート終了は OS だけじゃない!ソフトウェアの EOL(End of Life) も意識していますか?

OSS セキュリティ BLOG

OSS セキュリティ BLOG

2025 年 10 月 15 日

サポート終了は OS だけじゃない!ソフトウェアの EOL(End of Life) も意識していますか?

~サポートが終了した PHP の運用のヒント~

はじめに

本記事では、Web サーバーの運用・保守を担当している方に向けて、多くの Web サイトで利用されるオープンソースのスクリプト言語「PHP」のサポート期間と、サポート切れの PHP を使い続けるセキュリティリスクやビジネスリスク、それらのリスクを低減する対応策を解説します。

オープンソースのサポート終了というと、Linux ベースのプロジェクトのひとつである CentOS 8 以前のコミュニティサポート終了のニュースが世間に衝撃を与えました。※1

サポート期間を過ぎた CentOS を利用しているユーザーは、それ以降の CentOS のアップデートパッケージが提供されない、というものです。これにより、CentOS を利用している多くのユーザーは、新たなプロジェクトに移行したり、独自の修正パッチを用意したりするなどして対策を用意しなければなりませんでした。サイバートラストでは、サポート終了に伴って問題を抱えるユーザーに対して、CentOS の延長サポートのサービスを提供しています。

このようなサポート期間の問題は、OS だけでなく多くのソフトウェアにもバージョンごとにサポート終了期間が定められており、PHP についても同様です。

PHPは、多くの Web サイトで利用されるオープンソースのスクリプト言語です。PHP の開発と運営は、特定の企業ではなく、世界中の開発者からなる大規模なコミュニティによって行われます。PHP には、開発元による公式サポート期間が定められており、この期間を過ぎることを EOL (End of Life) と呼びます。

PHP のサポート期間は?

PHP のサポート期間は、PHP の公式ページにて公開されています。PHP の各リリースブランチは、最初の安定版のリリースから 2 年間、完全なサポート対象となります。この期間中において、報告されたバグやセキュリティ問題は修正され、定期的なポイントリリースで提供されます。

この 2 年間の完全なサポート期間終了後、各ブランチはさらに 2 年間、重大なセキュリティ問題に限定してサポートされます。この期間中のリリースはコミュニティの判断によって必要に応じて行われます(報告件数に応じて、複数のポイントリリースが行われる場合もあれば、全く行われない場合もあります)。

4 年間のサポート期間が終了すると、そのブランチはサポート終了(End of Life)となり、サポート対象外となります。10 月 10 日時点の PHP のサポート期間は以下のようになっています。

10 月 10 日時点の PHP のサポート期間の図

緑のバージョンは完全なサポートが対象のバージョン、オレンジのバージョンは重大なセキュリティ問題のみのサポートが対象のバージョン、赤いバージョンは、すでに EOL を迎えたバージョンを指します。現在、バージョン 7.4、8.0 では EOL となっており、8.1 は 2026 年 1 月に、8.2 は 2027 年 1 月に EOL を迎える予定です。

サポート終了する PHP をそのまま使い続けるリスク

サポート切れの PHP を使い続けることは、セキュリティ上の問題を自ら放置している状態に等しいといわれています。新たに脆弱性※2 が発見されたとしても、誰も修正を行ってくれない状況となるため、当該の脆弱性は事実上、無制限に悪用可能な状態に置かれます。

セキュリティのリスク

EOL を迎えたバージョンは、攻撃者にとっては労せず侵入できる「格好の標的」となります。攻撃者は放置された脆弱性を悪用し、サイトを改ざんしたり、マルウェアを埋め込んだり、サーバーを乗っ取ったりします。例えば EC サイトや会員サイトの場合、顧客の個人情報やクレジットカード情報が漏洩するという、企業の信頼を失墜させかねない重大なリスクに直結します。

さらに、脆弱性の放置によってサーバー自体が完全に攻撃者に乗っ取られた場合、そのサーバーは攻撃の「踏み台」として利用されます。攻撃者は、乗っ取ったサーバーを踏み台にして、他のネットワークやシステムへの攻撃を試みます。これは、単一の EOL PHP サーバーに存在する欠陥が、会社全体のシステム、ひいては取引先を含むサプライチェーン全体へと被害を波及させる起点となり得るということです。

また、PHP は内部ツール(内製ツールの管理画面 /GUI)に利用されることも少なくありません。内部ネットワークにある EOL を迎えている PHP を利用するサーバーは、内部犯行や、手の込んだ攻撃手法による特定拠点への不法侵入(物理的アクセスを含む)といったオフライン攻撃の標的になり得ます。外部からのリモートアクセス防御策が通用しない攻撃経路が存在するため、内部システムの EOL PHP も、外部公開サーバーと同等、あるいはより深刻な情報セキュリティリスクになります。

セキュリティだけではない、ビジネス上のリスク

PHP の EOL を放置することで生じる、セキュリティ以外のビジネス上のリスクはセキュリティだけではありません。最も顕著なのは、事業継続性の問題です。古い PHP バージョンでは最新の OS や外部サービスとの互換性が失われ、機能連携やシステムアップデートが行えなくなり、ビジネスの成長を阻害します。

また、古いシステムは一般的に処理速度が遅いため、Web サイトのレスポンスが悪化し、ユーザー体験の低下や EC サイトでの購入離脱といった機会損失に直結します。さらに、脆弱なシステムはコンプライアンス(情報セキュリティ基準)を満たせなくなり、監査や取引に支障をきたす可能性もあります。最終的に、古い環境を維持するために必要な技術者の確保が困難になるという運用面のリスクも高まります。

EOL を迎えたバージョンへの対応策

一つ目の対応策が、PHP のバージョンを最新のメジャーバージョン(例:7.x から 8.x へ)にアップグレードすることです。最新バージョンはセキュリティパッチが継続的に提供されるだけでなく、新しい機能やパフォーマンスの改善も期待できます。しかし、メジャーバージョンアップは、既存のアプリケーションが新しい PHP 環境で適切に動作するかどうかを確認し、必要なコード改修と広範なテストを行う必要があります。これは、アプリケーションの規模や複雑性に応じて、多大な時間とコストが発生するという課題を伴います。

二つ目の対応策が、サーバーのリプレイスのタイミングや、CentOS のサポート終了といった OS 自体の移行タイミングに合わせて、システム全体を刷新することです。OS のバージョンが上がると、多くの場合、自動的に PHP のバージョンも最新化されるため、タイミングが合致すれば、システム全体の近代化を効率的に進める現実的な選択肢となり得ます。ただし、この方法は、PHP のバージョンアップのみを行う場合よりも、OS を含めたシステム全体に関わるため、発生するコストは最も高額になる傾向があります。

三つ目の対応策が、即座の全面改修が困難な場合に、最も柔軟性を持つ延長サポートの利用です。これは、PHP コミュニティが提供を終えた EOL バージョンに対して、セキュリティ上の修正プログラムを外部サービスとして継続的に取得・適用し、脆弱性リスクを軽減する方法です。
このアプローチの最大の利点は、既存のアプリケーション環境をそのまま利用できるため、コード改修や広範なテストにかかる時間的・金銭的なコストを大幅に抑えつつ、セキュリティ問題を解決できる点にあります。延長サポートは、メジャーバージョンアップやシステム刷新への舵を切るまでの「移行期間」または「バッファ期間」として戦略的に活用することで、リスクに追われることなく計画的な移行を可能にします。

サイバートラストでは、三つ目の PHP の延長サポートを提供しています。

セキュリティリスク低減のためのソリューション「PHP 延長サポート」

サイバートラストでは、PHP の公式サポートが終了したバージョンを対象に、セキュリティ修正のための独自パッチを提供するサービスがあります。このサポートサービスの活用により、アプリケーションの土台となっている PHP のバージョンや OS を不用意に変更することなく、既存の環境をより長く、かつ安全に使い続けることが可能となります。

提供される延長サポートの対象バージョンは多岐にわたり、非常に古いバージョン(例:PHP 5.2.17)から、7 系(例:7.2.34)まで、広範な過去バージョンを網羅しています。今後 EOL を迎えるバージョンについても、公式サポート終了次第、順次提供開始される予定です。

また、本サービスは、利用しているディストリビューション(Linux 環境)を基本的に問わず対応できます。ただし、Ubuntu や Debian 環境においては、対応できる範囲に一部制限が存在する場合があるためご相談ください。

さいごに

CentOS などの OS だけでなく、利用するソフトウェアも同様にサポート終了を意識する必要があります。まずは、利用しているソフトウェアのバージョンとサポート期間を棚卸しし、リスクにさらされていないか確認しましょう!

EOL の対策としての延長サポートは、企業が既存環境のアプリケーション改修やシステム刷新を即座に行うことができない場合、セキュリティリスクに晒されることなく安全な状態の維持につながります。
この移行期間を利用することで、焦って対応に追われることなく、現実的な予算とスケジュールを確保した上で、メジャーバージョンアップやシステム全体の刷新といった恒久対策へと計画的に舵を切る準備が可能となります。特に、近年のセキュリティに対する世の中の目が厳しくなる中で、この延長サポートは、企業がセキュリティ対応を後回しにすることなく、事業継続性を維持するための重要な役割になります。

OS や PHP のバージョンのアップデートのための改修に不安がある、コストが気になる、という方は一度当社へご相談ください。

この解説は、2025 年 7 月 16 日にオンラインにて開催されたウェビナー「PHP のバージョンアップどうする?サイトの安全な運用のために Web サーバー管理者が確認すべきポイントとは」での内容をまとめたものです。ウェビナーは現在オンデマンド配信と講演資料の提供を行っていますので、合わせてご覧ください。

※1
現在 CentOS プロジェクトは、CentOS Stream プロジェクトに形態を変えています。
CentOS 7 メンテナンス終了と、従来型 CentOS 完全終了の注意喚起
※2
脆弱性:ソフトウェア上の欠陥や攻撃に悪用されてしまう弱い認証情報などのセキュリティの穴のことを指します。
< 前の記事へ
Interop25 に出展しました ~OSSインフラの未来:セミナー編~
最新 BLOG 記事
サポート終了は OS だけじゃない!ソフトウェアの EOL(End of Life) も意識していますか?
サポート終了は OS だけじゃない!ソフトウェアの EOL(End of Life) も意識していますか?
2025 年 10 月 15 日
Interop25 に出展しました ~OSSインフラの未来:セミナー編~
Interop25 に出展しました ~OSSインフラの未来:セミナー編~
2025 年 09 月 17 日
OpenSSF Community Day Japan / North America 2025 が開催されました!
OpenSSF Community Day Japan / North America 2025 が開催されました!
2025 年 07 月 07 日
Interop Tokyo 2025 に出展しました〜ブース編〜
Interop Tokyo 2025 に出展しました〜ブース編〜
2025 年 07 月 02 日
OSCAL(Open Security Controls Assessment Language)について
OSCAL(Open Security Controls Assessment Language)について
2025 年 02 月 06 日
SBOM(Software Bill of Materials)とは(後編) ~SBOMの基礎知識から詳しく解説~
SBOM(Software Bill of Materials)とは(後編) ~SBOMの基礎知識から詳しく解説~
2024 年 08 月 06 日
カテゴリ
CentOS 7 延長サポートサービス
デジタルトランスフォーメーションのための電子認証基盤 iTrust
iTrust SSL/TLS サーバー証明書