2005/11/29

連載目次へ >>

■Windows Server 2003を利用してインターネット・サーバーを構築するには，まずセキュリティを強化する必要がある。それには，Windows Updateや自動更新で修正パッチを適用するだけでなく，管理者自身の意識の持ち方も重要だ。
■インターネット・サーバーを構築するに当たり，その第一歩となるサーバーのセキュリティを強化する方法を説明する。

---

　サーバーOSとして出荷が始まった2003年から約2年が経過し，現在はService Pack 1（SP1）がリリースされているWindows Server 2003。今後もR2（アール・ツー）と呼ぶアップデート版の出荷が予定されている。ご存知の方も多いと思うが，Windows Server 2003は，前バージョンのWindows 2000 Serverから各機能の設計自体が見直された。性能はもちろん，セキュリティの面でも大幅に強化されている。

　本連載は，Windows Server 2003が標準で備えているサーバー機能を利用して，安全なインターネット・サーバーの構築方法を解説する。連載は全6回の予定で，インターネットのドメインの設定方法や，メール，Web，データベースなど各サーバー機能の設定方法，運用方法について順を追って解説する。ASP.NETによるWebアプリケーションについても触れる予定だ。連載終了時にはWindows Server 2003を安全にインターネットへ公開して，運用できるようにする。本連載のサーバー環境を構成するための前提条件は下記の通りである。

（1）OSにWindows Server 2003 Standard Editionを使用し，セットアップはデフォルト設定のまま
（2）インターネットにアクセスできる回線がある
（3）IPアドレスが割り当てられている
（4）ドメイン名の登録が済んでいる（連載中のドメイン名は「TryWindows.com」とする）
（5）インターネットにアクセス可能なPCが，サーバーのほかにもう1台ある

　では早速，Windows Server 2003をインターネットに公開できるよう，セキュアに設定していこう。

メール購読を利用して情報収集

△　図をクリックすると拡大されます

図1●セキュリティ情報の収集に役立つマイクロソフトのWebサイト

△　図をクリックすると拡大されます

図2●用意されている5種類の情報

　Windows Server 2003をセキュアな状態に保つには，マイクロソフトが提供しているセキュリティ情報が欠かせない。これは，マイクロソフト・プロダクト・セキュリティ警告サービスの購読を申し込むことにより，電子メールで自動的に受信できる。申し込みはマイクロソフトのWebサイトから可能だ（図1）。サイトには操作手順が記述されているので，簡単に登録できるだろう。登録するにはMicrosoft Passportアカウントが必要である。

　実際に登録サイトにアクセスすると分かるが，5種類の情報が提供されている（図2）。このうち，「マイクロソフトセキュリティニュースレター」と「Microsoftプロダクトセキュリティ警告サービス」の2つは必ず選択してほしい。そのほかについては，必要に応じて選択しよう。

　この購読を申し込むことで，定期的にセキュリティ情報が入手できる。セキュリティに対する意識を高くする効果も期待できる。

MBSAを使ってぜい弱性を発見
　システムを安全に保つには，Windows Updateや自動更新が欠かせない。だが，Windows Updateや自動更新によって最新のパッチを当てていても，それだけで安全だとはいえない。インターネットにサーバーを公開するには，より厳重に安全を確保したい。

　そのようなときに，マイクロソフトが無償提供しているツール「Microsoft Baseline Security Analyzer（MBSA）」が便利だ。MBSAを使うと，OSであるWindows Server 2003だけでなく，Internet Information Services（IIS）やSQL Serverといった各種サーバー・アプリケーションについて，構成上の誤りがないかどうかを調べられる。MBSAは，これらの製品にまだ適用されていない修正プログラムも検出する。WindowsやIISの修正プログラムはWindows Updateでも見つけられるが，SQL Serverなどほかのサーバー製品の修正プログラムは発見できないので，MBSAはシステムを最新の状態に保つのに役立つ。

　新しいプログラムをインストールしたときだけでなく，定期的にMBSAを実行することで，システムを最新かつ適切な設定の状態に保てる。MBSAには，システムをチェックした結果だけでなく，チェックした内容や対処方法が明記されており，各サーバー・アプリケーションのセキュリティ項目を把握できる。なぜそれをチェックする必要があるかを認識することで，ユーザー自身のセキュリティに対する意識レベルの向上にも役立つ。

　2005年10月現在，MBSAの最新版はバージョン2.0で，マイクロソフトのWebサイトからダウンロードできる。MBSAには，日本語を含めた4カ国語版が用意されている。使用するWindowsの言語に合わせて，MBSAの言語を選択する。もちろん，今回は日本語を選ぶ。ダウンロード後，「MBSASetup-JA.msi」をダブル・クリックすると，セットアップ・ウィザードが起動する。

MBSAで実際にスキャン

△　図をクリックすると拡大されます

図3●MBSAでローカル・マシンをスキャンする

△　図をクリックすると拡大されます

図4●スキャン対象を指定する

　MBSAは，ローカル・マシンだけでなく，ネットワークにつながっているリモート・マシンも調べられる。ここでは，スキャン対象マシンをローカル・マシンにする。MBSAの画面に表示されている［単一のコンピュータをスキャンする］を選択する（図3）。

　次にスキャンするマシンを特定し，オプションを設定しよう（図4）。調べる対象マシンは，コンピュータ名またはIPアドレスで指定する。［コンピュータ名］欄には，デフォルトでローカル・マシンが表示されている。今回はローカル・マシンが対象なので，オプションもデフォルトのまま，［スキャンを開始する］をクリックする。

　スキャンが終わると，結果が表示される（図5）。それぞれのチェック項目に対して，図6のような評価が付く。基本的に，すべての項目が図6の上3つのどれかに該当する状態がセキュアな状態といえる。すべてのチェック項目には［スキャンされた内容］があり，これをクリックすることでチェックした内容を確認できる。

△　図をクリックすると拡大されます

図5●MBSAでのスキャン結果

△　図をクリックすると拡大されます

図6●MBSAのスキャン結果に表示される評価

　また改善が必要な項目には［修正方法］が表示されている。これをクリックすることで具体的な解決方法が確認できる。例えばパスワードの有効期限ならば，その問題点，注意事項，解決方法，手順がそれぞれ示される。さらに詳細な情報は［結果の詳細情報］をクリックすると確認できる。

　MBSAの主な使い方は上記の通りだ。このような手順で，見つかった問題を解決する。今後，本連載ではメール・サーバーやWebサーバー，データベース・サーバーなどを構築していく。そのつどMBSAを実行し，問題が発見されたらそれを解決してほしい。

サーバー強化の基準
　サーバーの強化とは，サーバーの潜在的なぜい弱性を評価し，悪意のあるユーザーから攻撃されるリスクを減らすためのプロセスを指す。ここで説明するサーバー強化プロセスでそのセキュリティの目標を確実に達成するには，満たすべき重要な要件が下記のようにいくつかある。

（1）インストール・アプリケーションのインストール・モジュールは，信頼できる提供元から入手する。これはソフトウエアを正しく扱う上で重要なほか，意識すること自体が重要だと考えてほしい。
（2）アプリケーションのインストールおよび強化プロセスの実行中は，サーバーを完全に信頼されたネットワークだけに接続する。より安全にプロセスを実行するために，可能な限り実施してほしい。
（3）最新のサービス・パックがインストールされ，サービス・パック以降の更新を適切にインストールする。さらにWindows UpdateやMBSAで行ったのと同じことを，各アプリケーションに対しても実施する。アプリケーションのバージョン管理は，セキュリティを強化する上でとても重要である。