エンタープライズ:ニュース 2002/07/05 12:42:00 更新


IISのセキュリティ確保は情報収集と慎重な設計が基本

パシフィコ横浜で開催されている「Microsoft Tech・Ed Yokohama 2002」だが、気温31度を超える猛暑の中にもかかわらず、今日も多数の参加者が集まっていた。2日目の7月4日には、「Internet Information Services5.0および6.0のセキュリティ対策」をテーマとしたセッションが開催された。

パシフィコ横浜で開催されている「Microsoft Tech・Ed Yokohama 2002」だが、気温31度を超える猛暑の中にもかかわらず、今日も多数の参加者が集まっていた。2日目の7月4日には、「Internet Information Services5.0および6.0のセキュリティ対策」をテーマとしたセッションが開催された。

 昨年発生したCodeRedやNimdaは未だ蔓延しており、対策が取られていないIISサーバも多く、IISに関してのセキュリティ対策は急務とも言える。マイクロソフト アジア リミテッド、プロフェッショナルサポート本部の小山圭介氏は「マイクロソフトとしては、『信頼できるコンピューティング』(Trustworthy Computing)をテーマに、セキュリティに関わる対策は、できる限りのことはすべて行う」のだという。このセッションは「セキュリティ対策」という実践面での方策を目的としているためか、デモを数多く取り入れた分かりやすい講演となっていた。

photo01.jpg
小山圭介氏

 IISにおけるセキュリティ対策は、さまざまな問題を抱えている。ファイル名の標準化(Canonicalization)ひとつを考えても、「C:\MyProframs\MyDir\Test.asp」と「C:\MyProg~1\MyDir\Test.asp」、「..\MyDir\Test.asp」など、「Test.asp」というファイルを示すための方法は数種類におよぶ。小山氏はこのファイル名の多様性のために起こる、UTF-8エンコーディングの脆弱性を突いた攻撃により、Webページが改ざんされる場合もあることをデモで示しながら、「どの修正プログラムを適用すべきなのか、セキュアなアプリケーションを開発するためには、どこに気をつけたらよいのかを考えなければならない」と述べた。

 マイクロソフトの具体的なセキュリティ対策としては、まずはセキュリティを向上するために、IISの不要な機能をロックダウンする「IIS Lockdown Wizard2.1」や、「URLScanセキュリティツール」といった、不正なURLを拒否するISAPIフィルターをはじめとして、サービスパックより短い期間でリリースされるWindows2000の「セキュリティロールアップパッケージ」(SRP)などを提供することで、ユーザーがセキュリティを確保できるようにしているとのこと。小山氏はほかにも、「プロダクトセキュリティ警告サービス」といったニュースレターを購読することや、Windows Updateによる修正プログラムの適用以外にも、その適用状況を確認できる「Network Security Hotfix Checker」により、セキュリティを維持していくことの重要性を強調。IISのイベントログの監査やアクセスログのモニタリングだけでなく、新たなセキュリティ情報が公開されたときには、セキュアな環境を維持するための計画を立案することが大事だと述べた。

 

 また、次期バージョンであるIIS6.0は、ユーザビリティよりもセキュリティを重視した設計になっているとのこと。Windows .NET Serverを導入しても、デフォルトではIISはインストールされないほか、先ほど挙げたファイルの標準表記の見直しが行われている。また、IIS5.0ではシステムのローカルアカウントでIISが実行できていたが、「ネットワークサービスアカウント」という、より低い実行権限での動作が図られているようだ。

 小山氏はこのほかにも、クロスサイトスクリプティング(CSS)やSQLインジェクション、バッファオーバーフローなどの例を挙げながら「セキュアなアプリケーション開発」についても述べた。CSSについては、未だ対策が立てられていないサイトが数多く見受けられる。この問題は最新バージョンのサービス(OS)が利用されていないことだけでなく、設計段階でのミスにより、脆弱性が引き起こされている例が多いと思う。小山氏は実際の攻撃例をデモで示しながら、「常にクラックの危険にさらされていることを自覚してほしい。すべての入力を疑うことや、スクリプトによるセキュリティホールに注意したり、最小限度の権限でアプリケーションを実行するほうがよい。危険な関数の使用を避けるほかにも、『/GS』などのコンパイラオプションを利用することが大事だ」と述べた。

関連リンク
▼TechNetセキュリティセンター
▼TechNet ツールとチェックリスト
▼Tips for Windows「どのセキュリティパッチが適用されているか調べたい」
▼エンタープライズ ヘルプデスク

[今藤弘一,ITmedia]