| エンタープライズ:コラム | 2002/09/03 23:17:00 更新 |
Opinion:施錠されたマイクロソフトのIIS 6.0
IISに腹を立てている人にとって、IIS 6.0は苛立ちを解消するものとなるだろうか? セキュリティの脆弱性を指摘されることの多かったIISだが、最近新しいセキュリティフォールの話題が少なくなっており、これはやはりTrustWorthy Computingを打ち出した賜物とも言えそうだ。
「IIS 6.0」の開発に腐心してきたマイクロソフトの開発者たちは、同社の方針転換を辛い気持ちで受け止めているのに違いない。
製品の可用性、スクリプティング機能およびパワーを可能なかぎり高めるというのが、これまで変わることのないマイクロソフトの基本方針だった。だが状況は変化した。2年間にわたってセキュリティコンサルタントおよびインターネットの破壊者から批判と攻撃を受けてきたマイクロソフトは、インターネットサービスに関するかぎり、「君子危うきに近寄らず」という方針を採用することを決めた。同社は今、ユーザーがさまざまな機能を利用できないようにする方法を考えなければならないのである。
Windows 2000およびNT 4.0を運用している多くの企業は、それと気付かずにIISをインストールしているため(被害に遭って初めてそれに気付くのであるが)、マイクロソフトは賢明にも、IIS 6.0ではデフォルト構成を変更することが望ましいと判断した。
ライセンス条件によっては、「Windows .Net Server」をインストールしてもIIS 6.0がインストールされない場合がある。IIS 6.0.0がインストールされた場合でも、自動的に有効になることはない。さらにIIS 6.0を有効にしても、デフォルト構成では施錠された状態になっており、ほとんど何の機能も使えない。IIS 6.0を利用するには、ユーザー自身が機能を有効にしなければならないのである。
それだけでなく、ファイアウォール方式をベースとする新しいフィルタリング機能も追加され、攻撃の可能性があるとみなされるリクエストは、処理する前の段階でフィルタによって遮断される。
加えて、新しい「Web Server Edition」も提供される。こういった改善点を総合すれば、そしてIIS 6.0の性能に関するマイクロソフトの説明が本当であれば、IIS 6.0はホスティング環境およびそのほかの純粋なWebアプリケーション用として高い人気を得る可能性がある。
「IISのセキュリティがひどいというのは常識ではないか」と反論する読者もいるだろう。しかし筆者が思うに、この1年ほどの間、IISに対する新たな重大な攻撃が見られないのは、マイクロソフトから新しいツールやパッチが提供された結果でもある。現在では、IISシステムのセキュリティを強化するのが容易になっており、IIS 6.0はこの流れをさらに拡大するものである。
最近、新たな脆弱性も報告されているが、その多くは既に修正済みである。それに、これらの脆弱性の幾つかは、かなり誇張して伝えられているきらいがある。
IIS 6.0では、Webベースの攻撃の主流となっているバッファオーバーフロー攻撃をチェックする「ワーカープロセス」(バックグラウンドタスク)が実行される。すべてのバッファオーバーフロー攻撃を阻止するのは不可能としても、この機能によって大半を阻止することが可能だ。このワーカープロセスは、オーバーフローが起きていないか監視し、オーバーフローが発生しているプログラムを停止させるものだ。
匿名ユーザーの認証についても、IIS 6.0では重要な変更が加えられている。デフォルトのログオンタイプが「INTERACTIVE」から「NETWORK_CLEARTEXT」に変更されているため、ユーザーは対話式にログオンできないようになる。これは、ドメインコントローラをWebサーバにすることによってセキュリティを強化できることを意味する。
Webセキュリティの強化はIIS 6.0以外にも施されている。Windows .Net Serverでは、TCP/IPスタックのレベルでポートフィルタリング機能が追加されている(TCP、IP、UDP用にそれぞれ個別のフィルタが用意されている)。多くの企業は既に、この機能を実行するファイアウォールを導入済みだろうが、.Net Serverは社内システムが侵入を受けた場合に備えて、特にファイアウォールの内側に新たなレベルの防護を追加する。また社外向けの防護でも、現在のファイアウォールで得られるものよりも強固な防護を実現できる可能性がある。
ユーザーがその必要性を認めるまでは、IISのサービスを無効にすべきであるという基本方針は、かなり以前に決定された。Windows NT 4.0およびWindows 2000に含まれるIISは、出荷時の設定がそのようにはなっていないが、マイクロソフトはIISのバージョン4および5向けに「IIS Lockdown」ツールを提供している。このウィザードを使えば、IISに含まれる多数のサービスや機能を簡単に無効にすることができ、これによりIIS 6.0をデフォルトでインストールしたときの必要最小限の機能の状態とほぼ同じ設定になる。
Lockdownツールでは、特定のサービスだけを選んで無効にすることができるが、技術面に詳しいIISユーザーや開発者であれば、既に指摘されているように、Lockdownツールを不注意に使えば、必要な機能まで使えなくなる可能性もあるという明白な事実に気付くだろう。IIS 6.0の場合も事情は同じだ。デフォルトでは、従来のIISバージョンでは当たり前だと思われてきたような機能までもが無効にされているのだ。
当然のことながら、IIS 6.0の導入に伴い、多数のアプリケーションを再プログラミング、再構成あるいは再検討しなければならないだろう。
インターネットブームの最初の数年間、マイクロソフトはWebサーバの利用方法に関して数々のアイデアを売り込んだが、現在ではその多くがまずいアイデアだとみなされている。例えば、Officeアプリケーションから直接Webサーバに保存するという機能も、そのようなアイデアの1つだ。
これらの機能は将来版のIISでも利用できるが、管理者にとってはサイトのセキュリティを維持する上で障害になる。マイクロソフトは、こういった機能を無効にすることによってサーバのセキュリティ維持を簡素化する考えだ。
Lockdownツールをインストールすると、「URLScan」と呼ばれる便利なツールが提供される。これはIISのアドオンで(正確に言えばISAPIフィルタ)、Webサーバに対する特定の種類のリクエストをブロックする。例えば、.exeファイルの実行要求、異常に長いURL、ASCII文字以外が含まれるURLなどが排除の対象となる。
しかしこのツールは、やや急ごしらえ的な感じがしないでもない。「Internet Services Manager」ツールのタブとしてURLScanを実装すれば、もっと洗練されたものになるように思えるのだが、LinuxとBSDに敬意を払ったのか、URLScanは構成ファイルからコントロールするようになっている。
URLScanはブロックされたリクエストのログを残すため、その発信元を調べることができる。このようなリクエストは、侵入を受けた社内のシステムから送られてくることもあれば、リモートアクセスユーザーが発信元である場合もある。ログファイルがあれば、こういったことが一目瞭然となる。IIS 6.0では、URLScanの機能の多くが統合されている。
マイクロソフトが機能を詰め込み過ぎるという従来の偏った路線と決別し、Webサーバのセキュリティを重視するという保守本流を目指すようになったというのは、喜ばしいことである。
きちんと管理されたサーバは、管理がずさんなサーバよりもはるに攻撃されにくいというのは例外のない真理であり、その意味ではIISもほかのWebサーバと何ら変わるところはない。IISの新しいセキュリティ機能では、Webセキュリティの管理をないがしろにする方が難しくなるだろう。
IISに腹を立てている人にとって、IIS 6.0は苛立ちを解消するものとなるだろうか?
ラリー・セルツァー氏は1983年以来,ソフトウェア/コンピュータ関連記事の執筆に携わっている。同氏はソフトウェア会社や企業のIT部門での勤務経験があるほか,ナショナル・ソフトウェア・テスティング・ラボ,米国版PC WEEKおよびPC Magazineのテストラボの管理を担当したこともある。[Larry Seltzer,ITmedia]
