• BPnet
  • ビジネス
  • IT
  • テクノロジー
  • 医療
  • 建設・不動産
  • TRENDY
  • WOMAN
  • ショッピング
  • 転職
  • ナショジオ
  • 日経電子版
  • PR

  • PR

  • PR

  • PR

  • PR

ITレポート(動向/解説)

Windows.NET Serverの世界---第2回 信頼性向上とセキュリティ強化を図るIIS 6.0(上)

小野亮 2002/11/26 ITpro

●来年早々にも国内出荷が見込まれる次期サーバーOS「Windows .NET Server 2003」の世界を,日本語製品候補版(RC1)で検証しながらいち早く紹介する。
●第2回で取り上げるテーマは,WebサーバーのIIS 6.0。管理ツールのインターフェースや基本操作は従来のIIS 5.0とあまり変わっていないが,セキュリティや信頼性などの見えない部分で数多くの改善がなされている。
●セキュリティ設定はデフォルトの状態が一番厳しいので,拡張機能を使わないユーザーは外部からの攻撃を受けにくくなるだろう。プロセス・モデルが改良され,各アプリケーションは他のアプリケーションの障害による影響を受けなくなった。

 Windows .NET Server 2003(以下.NET Server)はWindows 2000と同様に,WebサーバーのIIS(Internet Information Services)を標準搭載している。.NET Serverに搭載されたIIS 6.0は管理ツールのインターフェースや基本操作こそ従来とあまり変わっていないが,セキュリティ強化や信頼性向上などの見えない部分を中心に多数の改善が施されている。

図1●IIS 6.0はOSのインストールと共にインストールされない
IIS 5.0はWindows 2000 Serverをインストールすると一緒にインストールされたが,IIS 6.0は導入されない。導入はコントロール・パネルの[アプリケーションの追加と削除]から行うはずだが,開発途中のためかRC1ではコントロール・パネルが開かなかった。インストール・メディアを使ってインストールすることはできる。

 昨年大流行したコンピュータ・ワームのCode Red以来,IISはセキュリティのぜい弱性を指摘されることが多かった。その後もIISのセキュリティ・ホールを狙った被害が続出し,ユーザーからの信用をすっかり失ってしまった感があった。

 しかし,インターネットを次世代のプラットフォームと位置付けるマイクロソフトにとって,どうしてもWebサーバーのイメージの悪化は避けなくてはならない。IISの安全性に対する懸念を払拭するため,マイクロソフトはセキュリティを中心とした大幅な見直しを図ってきた。

 それを象徴する典型例が,.NET Serverのインストールと共にIIS 6.0が導入されなくなったことだ。IISをオプションにした理由は,「IISが動作していることに気付いていない,あるいは適切なパッチを当てる必要があることを知らない人は少なくない。こうした管理者に対して,セキュリティを強化するために,本人が入れたいと思わない限りIISをセットアップしないようにしたこと」(マイクロソフト)。

 IISは,コントロール・パネルの[アプリケーションの追加と削除]からインストールする。ただし,RC1では開発途中のためか,コントロール・パネルが開かなかった。RC1のインストール・メディアを再生してインストールすることは可能だ(図1[拡大表示])。

2つのセキュリティ問題を解決

 これまでIISがたびたびセキュリティの弱さを指摘されてきたのは,2つの問題を抱えていたからだ。

 1つはデフォルト設定で拡張機能の多くが有効になっていること。動作するモジュールの数が多く,セキュリティ・ホールを突かれる危険が高かった。

 もう1つは,修正モジュールが分かりにくく多すぎたため管理者が対応しきれなかったことだ。その証拠に,数十万台に被害を与えたとされるCode Redが悪用するセキュリティ・ホールは既知の欠陥だった。修正モジュールが既に提供されているにもかかわらず被害が大きくなったのは,管理者の多くが修正モジュールの適用など,細かな対策に取り掛かれないでいたことが原因だった。

 IIS 6.0では,これら2つの問題を解消するための強化が図られた。

 まずIIS 6.0をインストールしただけでは,ASP(Active Server Pages)やCGI(Common Gateway Interface)などの動的なWebページを生成するサービスは起動しなくなった。既定では,HTMLや画像ファイルなどの静的なコンテンツしか発行できない。例えばASPを有効にするには,[インターネットインフォメーションサービス]の管理ツールを起動して,[Active Server Pages]を[許可]に変更する必要がある(図2[拡大表示])。

 Windows Updateを使った修正モジュールの自動更新も可能になった。曜日(あるいは毎日)と時刻を指定すれば,設定した日時に修正モジュールをダウンロードして自動的に適用してくれる(図3[拡大表示])。これにより管理者は煩わしい数多くの修正モジュールの適用作業から解放される。

図2●IISをインストールしただけでは動的なWebページは発行されない
悪意のあるユーザーから攻撃されやすい個所を減らすために,IIS 6.0のデフォルト設定では,ASPやCGIなどの動的なWebページを生成するサービスは起動せず,HTMLや画像ファイルなど静的なコンテンツしか使えない。ASPを有効にするには,管理ツールの[インターネットインフォメーションサービス]を起動して,利用したい[Active Server Pages]の[禁止]を[許可]に変更する必要がある。
 
図3●Windows Updateを使った修正モジュールの自動更新
IIS 6.0では,Windows 2000 SP3やWindows XPと同様に,Windows Updateを使った修正モジュールの自動更新が可能になった。曜日(あるいは毎日)と時刻を指定すれば,修正モジュールを自動的に適用してくれる。
(小野 亮=akono@nikkeibp.co.jp)

あなたにお薦め

連載新着

連載目次を見る

今のおすすめ記事

ITpro SPECIALPR

What’s New!

経営

アプリケーション/DB/ミドルウエア

クラウド

運用管理

設計/開発

サーバー/ストレージ

クライアント/OA機器

ネットワーク/通信サービス

セキュリティ

もっと見る