無償の「Virtual Server 2005 R2」は，セキュリティ設定に“要注意”

ITpro

2006.04.05

　マイクロソフトは2006年4月4日，仮想マシン・ソフト「Virtual Server 2005 R2」の無償公開を開始した。「せっかくタダなのだから，早速ダウンロードして使ってみたい」と思っている読者の方も多いことだろう。しかしVirtual Server 2005 R2は，単純なクライアント・アプリケーションではない。セキュリティやライセンスなど，いろいろと面倒な点も多い。もし「よく分からないけど使ってみたい」と思っているのであれば，以下に示す注意点をよく読んでからVirtual Server 2005 R2を利用して頂きたい。

　まずVirtual Server 2005 R2では，管理ツールはWebアプリケーションであって，デスクトップ・アプリケーションではない。そのためVirtual Server 2005 R2を利用するためには，あらかじめコンピュータにInternet Information Services（IIS）をセットアップする必要がある。ここで注意が必要なのは，Windows XP ProfessionalでIISを使う場合である。

　Virtual Server 2005 R2は実運用ではない場合に限り，Windows XP Professionalでの利用（Windows XP ProfessionalをホストOSにすること）が認められている。しかしWindows XPにはIISが標準でインストールされていないので，Virtual Server 2005 R2を使うためには，［コントロールパネル］−［プログラムの追加と削除］−［Windows］からIISを追加インストールする必要がある。しかし，こうやってインストールしたIISは，デフォルトで危険な状態になっているのだ。

　IISのセキュリティ状態は「Microsoft Baseline Security Analyzer（MBSA） 2.0」で簡単に確認できる。デフォルト状態のIISが稼働するマシンをスキャンすると，「IIS Lockdownツール」「サンプルアプリケーション」「親パス」という項目が「×（セキュリティ上危険な状態）」になっていることが分かる（図）。

Microsoft Baseline Security Analyzer 2.0のレポート画面。
[画像のクリックで拡大表示]

IISの設定を安全にしてからVirtual Serverを使うこと

　Windows XPのIIS 5.1では，「C:\Inetpub\iissamples」フォルダに学習用のアプリケーションがインストールされている。また「C:\Windows\help\iishelp」フォルダにASP形式で作成されたIISのオンライン・ヘルプが，「C:\Program Files\common files\system\msadc」フォルダにデータ・アクセス用のコンポーネントがインストールされている。いずれも基本的に不要な存在なので削除しておくのが望ましい。

　またIIS 5.1では，デフォルトで「親のパス（親パス）」へのアクセスが有効になっている。親パスとは，あるディレクトリの上位にあるディレクトリ（パス）のことだ。IISで親パスへのアクセスが有効になっていると，アプリケーションは「../」という表記によって，本来公開するつもりのなかった親パスにもアクセスできるようになる。アプリケーションが外部に公開されていると，公開するつもりのないディレクトリにまで，外部からアクセスされる危険性が生じる。

　しかも，公開ディレクトリがルート・パーティションに存在する場合，「..//Windows/system32/xxxxx.exe」といった表記でパスを指定されると，OSのシステム・ファイルにまでアクセスされてしまう。前述の手順でWindows XPにIIS 5.1をインストールすると，公開ディレクトリはルート・パーティションに設定されているので，非常に危険であるといえる。

　サンプル・アプリケーションの削除方法や親パスを無効にする方法については，前述のMBSA 2.0のレポートで［修正方法］をクリックすると，ドキュメントを参照できる。このドキュメントにあるIISの管理ツールが［スタート］−［プログラム］−［管理］で見つからない場合は，以下の手順を踏む。

　まず，［スタート］−［ファイル名を指定して実行］で「MMC」と入力して「マイクロソフト管理コンソール」を起動し，［ファイル］−［スナップインの追加と削除］で「スナップインの追加と削除」の画面を呼び出す。ここで［追加］のボタンをクリックして，「スタンドアロンスナップインの追加」の画面を呼び出し，［インターネットインフォメーションサービス］を選択して［追加］のボタンをクリックする。続いて［閉じる］をクリックして「スナップインの追加と削除」の画面に戻り，［OK］をクリックすると，IISの管理ツールを呼び出せる。

　なお，マイクロソフトのWebサイトにある「IIS Lockdownツール」を使えば，サーバーの役割に適したIISの設定をウィザード・ベースで施せる。ただし編集部で「Static Web Server」や「Dynamic Web Server（ASP enabled）」といったオプションを選択してIISをロックダウンしたところ，Virtual Server 2005 R2の管理ツールが使えなくなってしまった。IIS Lockdownツールの使用は，今回はお勧めできない。

ゲストOSのライセンスに注意

　ライセンスに関しても注意して頂きたい。前述の通り，Windows XP ProfessionalをホストOSにして，ゲストOSとしてWindows Serverを運用するといったことは，ライセンス上認められていない。また，ゲストOSにもそれぞれライセンスが必要である。今回からVirtual Server 2005 R2上でサポートされるようになったLinuxを運用する場合は特に問題が無いだろうが，ゲストOSにWindowsを使用する場合は，ゲストOS用にもWindowsのライセンスが必要である。

　なお，2006年2月に発売されたWindows Server 2003 R2 Enterprise Editionの場合，OSのライセンスに4つの仮想マシン用OSのライセンスが含まれる。最大4個のゲストOSを，追加ライセンス不要でVirtual Server 2005 R2上で運用できる。