最新のインターネットAPサーバ「IIS 7.0」の実力を探る：Windows Server 「Longhorn」 徹底研究（2/2 ページ）

[敦賀松太郎，ITmedia]

新しいセキュリティと診断機能

　IIS 7.0では、セキュリティ面でも大きく改善されている。とりわけ、モジュール化したコンポーネント構造を採用したことで、インストールした機能以外にパッチを適用する必要がなくなった。モノリシック構造だった従来のIISでは、まったく利用していない機能にセキュリティホールがあると、その脆弱性を突いた脅威にさらされたり、パッチを適用する手間をかけたりしなければならなかった。不要なモジュールを導入しなくてもよいメリットは、非常に大きい。

　セキュリティ面の機能強化点としてはこのほか、独自の認証も実装できる統合認証機能群の搭載、アプリケーションプールのプロセスを分離したセキュアな設定機能、クロスサイトスクリプティングやSQLインジェクションなどの攻撃を防止できるリクエストフィルタリングなどがサポートされた。

　最後に特筆したいのが、診断機能である。「Runtime Status And Control API（RSCA）」は、アプリケーションプール、ワーカープロセス、サイト、ドメインなど、現在実行されているリクエストの詳細なデータをAPIで取得、制御するものだ。また、拡張可能なトレーシング機能「Automatic Failed Request Tracing」は、失敗リクエストに関して再現作業を行わずに解析メカニズムを提供するもの。トレースしながら失敗したときのみイベントを処理し、URL単位で失敗の定義をカスタマイズできる。

　IIS 7.0は、Windows Server "Longhorn"以外に、Windows VistaのBusiness、Enterprise、Ultimateの各エディションにもフル機能が搭載されている。ただし、VistaのIIS 7.0では10ユーザーの同時実行制限がある。なお、Windows Server 2003やWindows XPに対応したIIS 7.0が提供される予定はない。