2025 年の崖は終わっていない：Linux OS の EOL 問題が示す日本企業の DX 課題の現在地【前編】

「2025 年の崖」という言葉を聞いたことがあるでしょうか。経済産業省が 2018 年に警告したこの問題は、2025 年を過ぎた今も現在進行形です。その象徴的な事例が、Linux OS のサポート終了（EOL）の問題です。

崖は超えられていない

経済産業省、デジタル庁、IPA が合同で設置した「レガシーシステムモダン化委員会」は、2025 年 5 月に『DX の現在地とレガシーシステム脱却に向けて　レガシーシステムモダン化委員会総括レポート』を公表しました。約 4,000 社を対象にした市場動向調査を踏まえたこのレポートは、「2018 年に経済産業省が公開した DX レポートにおいて警鐘を鳴らした「2025 年の崖※」を迎える中、産業界の DX およびレガシーシステム脱却の進捗は依然としてスピード感に欠ける」と総括しています。

また、この中長期的な影響として「企業が先送りにしている既存のレガシーシステムの保守切れ対応やシステム移行のタイミングで各所で問題が続発」することをあげています。

さらに、レガシーシステムが足かせとなり、生成 AI など最新デジタル技術の導入・連携がスムーズに進められない問題が発生していると指摘しています。IT 上流人材（ビジネスアーキテクトや IT アーキテクトなど）の充足率は、2025 年度時点で 66% にとどまる見通しも示されており、人材面でも DX の推進の壁は厚いままです。

※2025 年の崖：「既存システムの問題が足枷となり日本企業が DX を推進できずに経営改革が遅れると、デジタル競争の敗者となり経済損失が発生」（レガシーシステムモダン化委員会『DX の現在地とレガシーシステム脱却に向けて　レガシーシステムモダン化委員会総括レポート』p.5 より引用）

レガシーシステムのなにが問題か

『DX の現在地とレガシーシステム脱却に向けて　レガシーシステムモダン化委員会総括レポート』では、レガシーシステムを、「以下の要因により、運用維持保守や機能改良が困難な状態に陥り、経営・事業戦略上の足枷、高コスト構造の原因となっているシステム」と定義しています。

レガシーシステムの要因

技術の老朽化

システムの肥大化・複雑化

システムのブラックボックス化

IT 投資がされていない

古い制度としがらみ

出典：レガシーシステムモダン化委員会『DX の現在地とレガシーシステム脱却に向けて　レガシーシステムモダン化委員会総括レポート』p.7

「運用維持保守や機能改良が困難な状態」のうち、OS に関する象徴的な事例が、Linux ディストリビューションである CentOS のサポート終了です。CentOS は長年、国内企業のサーバー基盤として広く使われてきた OS ですが、すでにサポートが終了しています。問題は、終了後も使い続けている企業が少なくないことです。サイバートラストが 2025 年 11 月に実施した『Linux サーバ OS 利用実態調査 2025』によると、CentOS の利用は急速に減少しつつあるものの、継続して使われているケースも一定の割合で存在すると報告されています。

なぜサポート切れ OS の利用が危険なのか

1. 脆弱性は次々と発見され続けている―AI によって、そのスピードはさらに加速

IPA『脆弱性対策情報データベース JVN iPedia の登録状況 [2025 年第 4 四半期（10 月〜12 月）]』によると、脆弱性対策情報データベース「JVN iPedia」において、Linux カーネルは 2025 年を通じて四半期ごとの製品別脆弱性登録ランキングで常に上位に位置し、2025 年第 4 四半期（10 月〜12 月）では 1 位となりました。

さらに見過ごせないのが、AI による脆弱性発見の加速です。英国国家サイバーセキュリティセンター（NCSC）が 2026 年 3 月に公表した報告書『Impact of AI on cyber threat from now to 2027』は、「AI は 2027 年にかけてサイバー侵入の脅威を頻度、強度ともに増大させることがほぼ確実である」と述べています。同報告書はさらに「AI が既知の脆弱性の悪用を強化し、脆弱性の開示から悪用までの時間がすでに数日まで短縮しているが、AI によってさらに短縮されることがほぼ確実である」と警告しています。この NCSC の見解は、IPA が公表した『情報セキュリティ 10 大脅威 2026 解説書［組織編］』でも取り上げられています。

日本政府もこの問題を深刻に受けとめています。内閣官房国家サイバー統括室、内閣府政策統括官（経済安全保障担当）警察庁、金融庁、総務省、厚生労働省、経済産業省、国土交通省、防衛省が連名で 2026 年 5 月に公表した『AI 性能の高度化を踏まえたサイバーセキュリティ対策の強化について（重要インフラ事業者等に対する注意喚起）』では、「高性能 AI が攻撃者に悪用されることにより、脆弱性の発見から悪用までの時間が極めて短くなるとともに、多数の脆弱性への対応が必要」と明記しています。そのうえで、既知の未処理脆弱性のリスクを改めて検証し対応を行うとともに、脆弱性情報を積極的に収集し、発見された脆弱性のリスク評価および対応（修正プログラムの適用やリスク緩和措置など）を速やかに行うことを求めています。

2. パッチ適用の不備がサイバー攻撃の入り口になっている

IPA は、2024 年に一般企業の経営層および情報システム／情報セキュリティの担当マネージャを対象にしたアンケート調査を実施しており、『2024 年度中小企業における情報セキュリティ対策に関する実態調査報告書』で中小企業などにおけるサイバーセキュリティ対策の実態および課題などについての分析・整理などを目的として結果をまとめています。その中で、「不正アクセスを受けたケースの手口としては、脆弱性 (201 件 )48.0% が最も多く、5 割近くがセキュリティパッチの未適用などに起因する脆弱性を突かれたものであることが読み取れる」と指摘しています。

一方、同報告書で、セキュリティパッチの適用状況については「サーバ等にセキュリティパッチを適用している (689 件 )31.3% と、全体の 3 割に留まっており、パッチの適用が一般的な運用として浸透していないことが読み取れます。パッチを適用しない理由としては、パッチの評価や運用に多大なコストがかかる (552 件 )25.1%、パッチを適用しなくても問題ないと判断した (534 件 )24.2% が高く、コスト上の課題と、リスク認識の甘さがあることが読み取れる」と報告しており、サイバー攻撃の実態と現場の認識の間にギャップがあることがうかがえます。

3. EOL 後はセキュリティパッチが提供されない

サポートが終了した OS にはセキュリティパッチが提供されません。つまり、上述したように脆弱性が AI によって加速度的に発見され、悪用されるようになっても、リスクを解消する手段であるセキュリティパッチがそもそも存在しない状態に陥ります。これこそが、レガシーシステムが単なる古いシステムではなく、危険なシステムになる理由と言えるでしょう。

また、サポート期間内の OS であっても、長年気づかれずに潜伏していた脆弱性が表面化することもあります。2026 年に公表された Linux カーネルの脆弱性「Copy fail」は、2017 年のコードに起因し、長年修正されないまま多くのディストリビューションに影響を与えていたことが判明しました。今後はこのような発見されていなかった脆弱性が次々と見つかると言われています。脆弱性が残存する環境は、攻撃者にとっては格好のターゲットとなるため、危険な状態と言えます。

参考：2026 年 4 月〜5 月の重大な脆弱性に対する AlmaLinux の迅速な対応と現場の対策

後編では具体的な対処法と経営課題としての位置づけを取り上げます。