必要なパッチを当てきれない

 セキュリティ・ホールにパッチを適用すれば,その後の被害は起きない。マイクロソフトは,米Microsoftが公開したセキュリティ情報やWindows 2000用パッチの日本語版を,24時間以内に提供しているという*4。そのため,「セキュリティ問題が発生した際に“後手”に回ったことはない。Code Redの時も,被害が広がる前にパッチは用意していた」(小貫氏)と主張する。

 対応が後手に回ったかどうかは別にしても,管理者はパッチを適用しきれないのが現状である。原因は2つある。一つは,適用すべきパッチの数が多く,デフォルト設定がその数を更に増やしていること*5。多くの拡張機能が暗黙的に有効になっているため,適用しなければならないパッチの数が多くなってしまうのだ。 

 もう一つの原因は,どのパッチを適用すべきかが分かりにくいこと。ここでも,デフォルト設定の存在が,適用すべきパッチの特定を更に難しくしている。自分が使用していない機能に対しても注意を払わなければならないからだ。

 例えば,Code Redが突いた「Index Server ISAPI エクステンションの未チェックのバッファによりWeb サーバーが攻撃される」のセキュリティ・ホールは,タイトルに「IIS」の文字が無いばかりでなく,「マイクロソフトセキュリティ情報一覧」において「Internet Information Server」で検索しても表示されない。実際にはすべてのIISが影響を受けるにもかかわらず,「Index Serverを使用していないから大丈夫」と考えた管理者がいても不思議ではない。

 どのパッチを適用すべきかは,管理者にすれば,マイクロソフトの公開情報に頼るしかない。しかし,「Windowsのサービスパックを欠かさず適用し,書籍やマイクロソフトの公開情報で一生懸命勉強していても,Code Redワームの被害に遭った管理者もいた」(富士通南九州システムエンジニアリング第二ソリューション事業部 システムサービス部プロジェクト課長山下眞一郎氏)。

 原因は,この管理者が参考にしていたマイクロソフトの公開情報に,ワームを防ぐために必要なパッチ情報が記載されていなかったためである*6。確かにパッチの適用は管理者の仕事である。しかし,このような状況では,「パッチを当てきれなかったといって,一概に,管理者の怠慢とは責められない」(山下氏)。

まずは使わない機能を無効にする

 では,IISの管理者はどうすればセキュリティを強化できるのか。先に述べたようにデフォルト設定が多くの問題を引き起こしているのだから,まずは使わない機能を無効にすべきだ。これにより,システムに顕在化するセキュリティ・ホールを最少限に抑え,管理作業の負荷を軽減できる。

 実際,デフォルト設定を変更することで影響を回避できるセキュリティ・ホールの数は多い(表2[拡大表示])。例えば,不要なスクリプト・マッピングを削除しておけば,Code Redワームの影響を回避できた。

表2●設定の変更で対応できるセキュリティ・ホールの例
表3●マイクロソフトが公開する,IISのセキュリティに関するドキュメント

 また,マイクロソフトは,セキュリティを強化するための具体的な設定方法を公開しているため,活用したい(表3[拡大表示])。「公開されている情報に基づいて設定を変更していれば,ほとんどの被害を防げたはずだ」(伊原氏)。

 さらに,米Microsoftが公開する,IISのセキュリティを強化するためのツールも,将来的には利用できそうだ(表4[拡大表示])。例えば,IISの初期設定値を容易に変更するためのツール「IIS Lockdown Tool」を使えば,ボタン1つで,表2で挙げたような設定の変更作業が行える(写真1[拡大表示])。ただし,日本語環境での動作は保証されていない。マイクロソフトでは公開時期を未定としながらも,日本語対応版の開発を検討中であるという。

表4●米Microsoftが公開した,IIS関連のセキュリティ強化ツール
写真1●米Microsoftが公開した「IIS Lockdown Tool」
英語版は日本語環境での動作が保証されていないため,マイクロソフトが日本語版の提供を検討している

パッチ適用の重要度は変わらない

 設定を変更してセキュリティを強化したとしても,パッチの適用作業は不可欠である。必要があって有効にしている機能にセキュリティ・ホールが見つかった場合は,当然適用する必要があるからだ。

 また,無効にしている機能に対しても,念のためパッチは適用しておきたい。例えば,不要なスクリプト・マッピングを削除しておいても,その後システム構成などを変更すると,勝手に元の状態に戻る場合がある。ただし,無効にしている機能はすぐには影響を受けないので,時間的に余裕を持ってパッチの適用作業にあたれる。

 「パッチを適用した後に検証することなどを考えれば,1週間から2週間必要な場合もありうる。サーバーを安全に運用するには,この“余裕”は不可欠である」(伊原氏)

 パッチの適用作業がユーザーの負担になっていることは,マイクロソフトも認識している。米Microsoftは既に,作業負荷を軽減するためのツール「Network Security Hotfix Checker」を公開している(表4)。適用済みのパッチをチェックした上で,適用すべきパッチを提示してくれるため,管理者はそれに従って作業すればよい。ただし,このツールも日本語環境には対応していないため,日本語版の提供が待たれるところだ。

 IISは,仕様や機能だけを見ると手軽に使えそうだが,実用上はそうはいかない。適切に設定し,パッチを適用するといった“運用”が無ければ,企業システムでは使えない。しかし,このことはIISだけに限らない。そのため,「IISを安全に運用できないユーザーが他の製品に乗り換えたとしても,どの程度リスクを減らせるのかは疑問だ」(伊原氏)。どのような製品を使っていようとも,運用する覚悟が無いのであれば,今すぐにでも公開サーバーを停止すべきだろう。

(勝村 幸博=katsumur@nikkeibp.co.jp,IT Pro)