■Windows Server 2003を利用してインターネット・サーバーを構築するには,まずセキュリティを強化する必要がある。それには,Windows Updateや自動更新で修正パッチを適用するだけでなく,管理者自身の意識の持ち方も重要だ。
■インターネット・サーバーを構築するに当たり,その第一歩となるサーバーのセキュリティを強化する方法を説明する。
サーバーOSとして出荷が始まった2003年から約2年が経過し,現在はService Pack 1(SP1)がリリースされているWindows Server 2003。今後もR2(アール・ツー)と呼ぶアップデート版の出荷が予定されている。ご存知の方も多いと思うが,Windows Server 2003は,前バージョンのWindows 2000 Serverから各機能の設計自体が見直された。性能はもちろん,セキュリティの面でも大幅に強化されている。
本連載は,Windows Server 2003が標準で備えているサーバー機能を利用して,安全なインターネット・サーバーの構築方法を解説する。連載は全6回の予定で,インターネットのドメインの設定方法や,メール,Web,データベースなど各サーバー機能の設定方法,運用方法について順を追って解説する。ASP.NETによるWebアプリケーションについても触れる予定だ。連載終了時にはWindows Server 2003を安全にインターネットへ公開して,運用できるようにする。本連載のサーバー環境を構成するための前提条件は下記の通りである。
(1)OSにWindows Server 2003 Standard Editionを使用し,セットアップはデフォルト設定のまま
(2)インターネットにアクセスできる回線がある
(3)IPアドレスが割り当てられている
(4)ドメイン名の登録が済んでいる(連載中のドメイン名は「TryWindows.com」とする)
(5)インターネットにアクセス可能なPCが,サーバーのほかにもう1台ある
では早速,Windows Server 2003をインターネットに公開できるよう,セキュアに設定していこう。
メール購読を利用して情報収集
△ 図をクリックすると拡大されます
|
|
図1●セキュリティ情報の収集に役立つマイクロソフトのWebサイト
|
△ 図をクリックすると拡大されます
|
|
図2●用意されている5種類の情報
|
実際に登録サイトにアクセスすると分かるが,5種類の情報が提供されている(図2)。このうち,「マイクロソフトセキュリティニュースレター」と「Microsoftプロダクトセキュリティ警告サービス」の2つは必ず選択してほしい。そのほかについては,必要に応じて選択しよう。
この購読を申し込むことで,定期的にセキュリティ情報が入手できる。セキュリティに対する意識を高くする効果も期待できる。
MBSAを使ってぜい弱性を発見
システムを安全に保つには,Windows Updateや自動更新が欠かせない。だが,Windows Updateや自動更新によって最新のパッチを当てていても,それだけで安全だとはいえない。インターネットにサーバーを公開するには,より厳重に安全を確保したい。
そのようなときに,マイクロソフトが無償提供しているツール「Microsoft Baseline Security Analyzer(MBSA)」が便利だ。MBSAを使うと,OSであるWindows Server 2003だけでなく,Internet Information Services(IIS)やSQL Serverといった各種サーバー・アプリケーションについて,構成上の誤りがないかどうかを調べられる。MBSAは,これらの製品にまだ適用されていない修正プログラムも検出する。WindowsやIISの修正プログラムはWindows Updateでも見つけられるが,SQL Serverなどほかのサーバー製品の修正プログラムは発見できないので,MBSAはシステムを最新の状態に保つのに役立つ。
新しいプログラムをインストールしたときだけでなく,定期的にMBSAを実行することで,システムを最新かつ適切な設定の状態に保てる。MBSAには,システムをチェックした結果だけでなく,チェックした内容や対処方法が明記されており,各サーバー・アプリケーションのセキュリティ項目を把握できる。なぜそれをチェックする必要があるかを認識することで,ユーザー自身のセキュリティに対する意識レベルの向上にも役立つ。
2005年10月現在,MBSAの最新版はバージョン2.0で,マイクロソフトのWebサイトからダウンロードできる。MBSAには,日本語を含めた4カ国語版が用意されている。使用するWindowsの言語に合わせて,MBSAの言語を選択する。もちろん,今回は日本語を選ぶ。ダウンロード後,「MBSASetup-JA.msi」をダブル・クリックすると,セットアップ・ウィザードが起動する。
MBSAで実際にスキャン
△ 図をクリックすると拡大されます
|
|
図3●MBSAでローカル・マシンをスキャンする
|
△ 図をクリックすると拡大されます
|
|
図4●スキャン対象を指定する
|
次にスキャンするマシンを特定し,オプションを設定しよう(図4)。調べる対象マシンは,コンピュータ名またはIPアドレスで指定する。[コンピュータ名]欄には,デフォルトでローカル・マシンが表示されている。今回はローカル・マシンが対象なので,オプションもデフォルトのまま,[スキャンを開始する]をクリックする。
スキャンが終わると,結果が表示される(図5)。それぞれのチェック項目に対して,図6のような評価が付く。基本的に,すべての項目が図6の上3つのどれかに該当する状態がセキュアな状態といえる。すべてのチェック項目には[スキャンされた内容]があり,これをクリックすることでチェックした内容を確認できる。
△ 図をクリックすると拡大されます
|
|
図5●MBSAでのスキャン結果
|
△ 図をクリックすると拡大されます
|
|
図6●MBSAのスキャン結果に表示される評価
|
MBSAの主な使い方は上記の通りだ。このような手順で,見つかった問題を解決する。今後,本連載ではメール・サーバーやWebサーバー,データベース・サーバーなどを構築していく。そのつどMBSAを実行し,問題が発見されたらそれを解決してほしい。
サーバー強化の基準
サーバーの強化とは,サーバーの潜在的なぜい弱性を評価し,悪意のあるユーザーから攻撃されるリスクを減らすためのプロセスを指す。ここで説明するサーバー強化プロセスでそのセキュリティの目標を確実に達成するには,満たすべき重要な要件が下記のようにいくつかある。
(1)インストール・アプリケーションのインストール・モジュールは,信頼できる提供元から入手する。これはソフトウエアを正しく扱う上で重要なほか,意識すること自体が重要だと考えてほしい。
(2)アプリケーションのインストールおよび強化プロセスの実行中は,サーバーを完全に信頼されたネットワークだけに接続する。より安全にプロセスを実行するために,可能な限り実施してほしい。
(3)最新のサービス・パックがインストールされ,サービス・パック以降の更新を適切にインストールする。さらにWindows UpdateやMBSAで行ったのと同じことを,各アプリケーションに対しても実施する。アプリケーションのバージョン管理は,セキュリティを強化する上でとても重要である。
