Windows Server 2012/R2のESUが2026年10月13日に完全終了——もう延命手段はない。最後の移行警告
Windows Server 2012/R2の延長サポートが終了したのは2023年10月。そこからESU(拡張セキュリティ更新プログラム)で3年間延命してきたサーバーの最終期限が、2026年10月13日に訪れます。
Windows 10のESUやOffice 2021のサポート終了と同じ日ですが、決定的に違う点が1つあります。Windows Server 2012/R2には、この先の延命オプションが一切存在しません。 ESUの4年目はなく、Azure上での無償ESUも同日に終了します。
「ESUがあるからまだ大丈夫」と先送りしてきたサーバーにとって、これが本当に最後の期限です。
2026年10月13日に何が終わるのか
| 利用形態 | 〜2026年10月13日 | それ以降 |
|---|---|---|
| オンプレミス+ESU購入(Azure Arc経由含む) | セキュリティ更新あり | 更新手段なし |
| Azure VM上の2012/R2(無償ESU) | セキュリティ更新あり | 更新手段なし |
| ESU未購入の2012/R2 | すでに更新なし(2023年〜) | 変わらず更新なし |
リリースは2012年。終了時点で14年物のOSです。以降に発見される脆弱性は永久に修正されず、攻撃者にとっては「パッチが絶対に当たらないことが保証された標的」になります。
参考: Windows Server 2012 および 2012 R2 のサポート終了 - Microsoft Learn
なぜ「動いているサーバー」を止めてでも移行すべきか
ESU終了後も2012/R2サーバーは動き続けます。だからこそ放置されやすいのですが、リスクはOSの脆弱性だけではありません。
- ランサムウェアの初期侵入・横展開の足場になる。 国内のランサムウェア被害では、パッチ未適用の古いサーバーやVPN機器が侵入経路の定番。社内に1台でも無防備なサーバーがあれば、そこからドメイン全体が侵害される
- サイバー保険・取引先監査で説明できない。 サポート切れOSの放置は、保険の支払い査定やセキュリティチェックシートで「重大な不備」として扱われる
- ハードウェアも限界。 2012/R2が載る物理サーバーの多くは保守部品が枯渇しており、故障=即業務停止になりかねない
- TLSや認証の互換性が崩れていく。 古い暗号スイートしか話せないサーバーは、クラウドサービスや最新クライアントとの接続が順次切れていく
特に2012/R2がActive Directoryドメインコントローラーやファイルサーバーとして残っているケースは、組織の認証基盤そのものが無防備になるため最優先で対処が必要です。
移行先の選択肢
選択肢1:Windows Server 2025/2022へのリプレース
オンプレミス継続が必要な場合の正攻法です。今から新規に立てるなら、サポート期間を最大化できるWindows Server 2025(2034年10月までサポート)を推奨します。
注意点は2012/R2からの「ジャンプ幅」です。インプレースアップグレードは段階を踏む必要があり実務的でないため、新サーバーを構築して役割とデータを移す方式が基本になります。ADドメインコントローラーであれば、新OSのDCを追加→FSMO移転→旧DC降格、という定石の手順です。
選択肢2:Azureへのリフト(IaaS移行)
ハードウェア更改をやめてAzure VMに移行する選択肢です。すでにESUをAzure Arc経由で利用してきた企業は、Arcで資産が可視化されているはずなので移行計画が立てやすい状態にあります。ただしAzureに移してもOSが2012/R2のままでは10月13日以降は同じく無防備です。移行と同時にOSも2025/2022へ上げてください。
選択肢3:サーバーの役割ごと廃止(SaaS化)——中小企業の本命
2012/R2世代のサーバーが担っている役割は、今ではほとんどがクラウドサービスで代替できます。
| 2012/R2サーバーの役割 | 移行先 |
|---|---|
| ファイルサーバー | SharePoint Online / OneDrive / Google ドライブ |
| メールサーバー(Exchange 2013等) | Exchange Online / Gmail |
| 社内グループウェア | Microsoft 365 / Google Workspace |
| 基幹システム・会計 | 各業務SaaS(クラウド会計等) |
| Active Directory | Entra ID(クラウドID基盤)へ段階移行 |
「サーバーを買い替える」のではなく「サーバーを持たない」方向に倒すのが、中小企業にとって最も維持コストとセキュリティリスクを減らせる選択です。サーバーOSの世代別の移行戦略は「Windows ServerのEOLと移行ガイド」で詳しく解説しています。
どうしても移行できないシステムが残る場合
製造ラインの制御系など、ベンダー都合で移行不能なシステムが残る場合は、せめて以下の封じ込めを実施してください。
- ネットワーク分離(専用VLAN/ファイアウォールでインターネットおよび社内LANから隔離)
- インターネットへのアウトバウンド通信遮断
- アクセス元端末の限定とログ取得
- 資産台帳への「期限付き例外」としての登録と、経営層への報告
「例外として認める代わりに、隔離と期限を文書化する」ことがポイントです。無条件の放置とは区別しましょう。
残り4ヶ月の現実的な進め方
| 時期 | やること |
|---|---|
| 6月(今すぐ) | 2012/R2サーバーの棚卸し(台数・役割・依存アプリ・利用者) |
| 6〜7月 | 役割ごとに移行方針を決定(リプレース/Azure/SaaS化/廃止) |
| 7〜9月 | 新環境構築・データ移行・並行稼働 |
| 9〜10月 | 切り替え・旧サーバー停止 |
| 10月13日 | ESU完全終了(ここまでに撤去完了) |
ファイルサーバーのSharePoint移行やADの移行は、データ量・検証期間によっては2〜3ヶ月かかります。「夏に着手」では間に合わない可能性があるため、棚卸しだけでも今週中に始めることをおすすめします。
なお同日の2026年10月13日にはWindows 10 ESU 1年目とOffice 2021のサポートも終了します。サーバー・クライアント・Officeの期限が重なる企業は、別々に対応するのではなく1つのIT更改プロジェクトとして予算と体制を組むのが効率的です。
まとめ
- Windows Server 2012/R2のESUは2026年10月13日に完全終了。4年目は存在せず、Azure上の無償ESUも同日終了
- 以降に見つかる脆弱性は永久に修正されない。ランサムウェアの足場・保険や監査での重大不備・ハード保守の枯渇という三重のリスク
- 移行先はWindows Server 2025へのリプレース、Azure移行(OS更新とセット)、そして中小企業の本命は役割ごとのSaaS化
- 移行不能なシステムは「隔離+期限の文書化」で封じ込める
- データ移行の期間を考えると、棚卸しと方針決定は6〜7月が限界
情シス365では、老朽サーバーの棚卸しから移行方式の選定、ファイルサーバーのクラウド移行、AD/Entra ID移行までを一貫して支援しています。「何のサーバーが残っているか正確に把握できていない」という状態からでも対応しますので、お早めにご相談ください。