インターネットから業務アプリケーションに至るまでWebの活用シーンが広がっている。その土台となるWebサーバには堅牢なセキュリティが求められる。代表的なWebサーバ製品の脆弱性と対応からセキュリティの現状をみていこう。
従来、Webサーバの主な用途はインターネットが主流だったが、近年では企業での業務アプリケーション用途も含めて幅広いシーンで使用されるようになった。Webサーバ自体がミッションクリティカルな存在となりつつある今、特にセキュリティ面では脆弱性が少ないこと、脆弱性へ迅速に対処することが求められる。
今回はWebサーバ製品として代表的な、Microsoft Windows ServerのInternet Infotmation Service(IIS)とオープンソースのApache、Apache Tomcat、またApacheの技術を活用しているOracle Application Server、IBM Websphere Application Serverにおける脆弱性の発生状況と対応から、各Webサーバ製品における堅牢性をみていこう。
表は、デンマークのセキュリティ企業のSecuniaが2002年以降に公開している各製品での脆弱性に対するアドバイザリー件数と修正パッチが提供されていない(未パッチ)の件数を示した。カッコ内の数字は、同社が解析した5段階の脆弱性深刻度のうち、深刻度の高いレベル4以上のアドバイザリー件数である。
製品名 | 2002 | 2003 | 2004 | 2005 | 2006 | 2007 | 2008 | 2009 | 合計 | 未パッチ |
---|---|---|---|---|---|---|---|---|---|---|
IIS4.0 | 3(2) | 1 | 2(1) | 0 | 0 | 0 | 0 | 0 | 6 | 0 |
IIS5.x | 4(2) | 5(3) | 2 | 2(1) | 1 | 0 | 2(1) | 0 | 16 | 1 |
IIS6.0 | 0 | 0 | 2 | 0 | 1 | 0 | 2(1) | 0 | 5 | 0 |
IIS7.x | 0 | 0 | 0 | 0 | 0 | 0 | 1 | 0 | 1 | 0 |
Apache1.3.x | 3(1) | 4 | 7(1) | 3 | 2 | 2 | 0 | 0 | 21 | 1 |
Apache2.0.x | 2(1) | 9(1) | 12 | 6 | 4 | 4 | 2 | 0 | 39 | 4 |
Apache2.2.x | 0 | 0 | 0 | 0 | 3 | 4 | 2 | 0 | 9 | 2 |
Apache Tomcat 3.x | 1 | 1 | 0 | 1 | 0 | 1 | 0 | 0 | 4 | 0 |
Apache Tomcat 4.x | 3 | 0 | 0 | 0 | 0 | 5(1) | 4 | 1 | 13 | 0 |
Apache Tomcat 5.x | 0 | 0 | 0 | 2 | 0 | 7(1) | 6 | 1 | 16 | 0 |
Apache Tomcat 6.x | 0 | 0 | 0 | 0 | 0 | 5 | 6 | 0 | 11 | 0 |
Oracle Application Server 10g | 0 | 0 | 2(1) | 6(1) | 6(5) | 5(3) | 5(3) | 2(1) | 26 | 4 |
IBM WebSphere Application Server 3.x | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 |
IBM WebSphere Application Server 4.x | 1 | 1 | 1 | 2 | 0 | 0 | 0 | 0 | 5 | 1 |
IBM WebSphere Application Server 5.x | 0 | 2 | 2 | 4 | 3 | 4 | 3 | 3 | 21 | 0 |
IBM WebSphere Application Server 6.0.x | 0 | 0 | 0 | 4 | 6 | 9 | 4 | 4 | 27 | 1 |
IBM WebSphere Application Server 6.1.x | 0 | 0 | 0 | 0 | 3 | 8 | 7 | 3 | 21 | 1 |
IBM WebSphere Application Server 7.0.x | 0 | 0 | 0 | 0 | 0 | 0 | 1 | 1 | 2 | 0 |
まずIISでは、特にWindows 2000 Serverに搭載されたバージョン5.xに対するアドバイザリーが多数公開されている。IIS 5.xはMicrosoftがWebサーバプラットフォーム市場へ本格進出するにあたって投入されたバージョンだった。しかし、2001年以降に相次いで発生したWindowsの脆弱性を突くワーム「Codered」や「Nimda」の大規模被害の影響によって、IIS 5.xをHTTP Serverなどに使用することが危険だという指摘がセキュリティ企業各社から出された。
このため、IISは脆弱度の高いWebサーバプラットフォームという見方が市場に広まることになったが、Microsoftは次のIIS 6.0以降でセキュリティ強化を最大目標に掲げて、ソースコード自体の見直しを含めたプラットフォーム全体の改善を図った。この結果、IIS 6.0に対するアドバイザリー件数はIIS 5.xの3分の1になり、昨年公開したWindows Server 2008に搭載している最新版のIIS 7.0では現時点で1件のみにとどまっている。
Webサーバソフトウェア市場で圧倒的なシェアを持つApacheは、Apache 1.3.xや同2.0.xにおいてこれまでに多数のアドバイザリーが提供されているものの、最新系統の2.2.xに対する件数が大幅に減少した。Java環境を提供するApache Tomcatでは、3.xを除いた各バージョンで10件以上のアドバイザリーが提供されている。
Apache 1.3.x〜2.2.xにはいくつかの未パッチの脆弱性が残されているものの、Apache Tomcatの各バージョンでは公開されているものに対しては、すべてパッチが提供されている状況だ。Apacheはオープンソースソフトウェアという性質から、脆弱性への迅速な対応という点ではベンダー製品に比べて弱い部分もある。しかし、Apache Software財団を中心とするコミュニティーの活発な活動や、長年使い続けているユーザーが蓄積した多数のセキュリティ対策のノウハウを考慮すれば、ベンダー製品に決して引けを取らないのは言うまでもない。
企業用途が主体のOracle Application ServerやIBM Websphere Application Serverでは、特にOracle Application ServerやIBM Websphere Application Server 5.x〜6.1.xで20件以上のアドバイザリーが提供されている。
両製品はApacheの技術を利用する製品として知られているが、やはりベンダー製品として修正パッチが迅速に提供されるメリットがあり、特にIBM Websphere Application Serverでは未パッチの脆弱性がわずかに残るだけである。Oracleは2004年以降、修正パッチの提供を四半期ごとに定期スケジュール化しているため、未パッチの脆弱性がいくつか残されている。これは度重なる修正パッチの適用がユーザーにとって大きな負担となることへの配慮であり、一般公開用としてのHTTP Serverの利用が少ないことを考えれば、大きなマイナス要因にはならないだろう。
Webサーバの主な用途は、一般に広く公開するWebサイトの運営と企業内の業務アプリケーション提供という2つに大別される。Webサイトとしての利用では、導入および運用のコストの低さやシステム構築の柔軟性、コミュニティーを中心に多数のユーザーが相互提供する豊富なノウハウなどの点によって、Apacheが圧倒的なシェアを握り続けている。
こうした市場環境に対し、MicrosoftはIIS 6.0以降のセキュリティ強化でシェア拡大を図ろうとしている。最新バージョンのIIS 7.0では40種類以上のコンポーネントに分けて、ユーザーに必要最低限の機能だけを利用できるようにし、外部からの攻撃対象となる部分を減らすようにした。また、URLベースでファイルやフォルダへのアクセス権限を詳細に設定できるほか、アクセス権限と連動する「IIS_USER」という匿名のアカウントを利用して、セキュリティ設定を各サーバへ容易に展開できるようにしている。
脆弱性対策の面でも、IIS 6.0以降では脆弱性の公開件数が大幅に減少しており、月例のMicrosoft Updateが提供されているのはおなじみである。以前のワーム被害によって張られた「IISは危険」というレッテルはすでに過去のものであり、IIS 7.0はWebサーバプラットフォームをとしての堅牢性を十分に実現していると言えるだろう。
業務アプリケーション提供の用途が主体のOracle Application ServerやIBM Websphere Application Serverは、ApacheやIISのようにWebサイトの公開用途が主体の製品とは求められる堅牢性の性質が異なるものの、Oracleの定例パッチ提供やIBMの迅速なパッチ提供体制がすでに確立されており、サポート体制を含めて十分に信頼される製品となっている。
Webサイトの公開用途では、外部からの脆弱性攻撃における対策が第一に挙げられるが、豊富な対策ノウハウが蓄積されたApacheだけでなく、有償ながらも迅速な対応体制を確立しているIISも有効なプラットフォームとして選択に値する存在となった。
近年のサイバー攻撃ではWebを経由する手法が最多を占めるようになったが、その土台となるWebサーバの堅牢性は、いずれの製品でも必要なレベルをクリアしている。
Copyright © ITmedia, Inc. All Rights Reserved.