Webサーバの堅牢性を改めて考える:ネット全盛時代の屋台骨
インターネットから業務アプリケーションに至るまでWebの活用シーンが広がっている。その土台となるWebサーバには堅牢なセキュリティが求められる。代表的なWebサーバ製品の脆弱性と対応からセキュリティの現状をみていこう。
従来、Webサーバの主な用途はインターネットが主流だったが、近年では企業での業務アプリケーション用途も含めて幅広いシーンで使用されるようになった。Webサーバ自体がミッションクリティカルな存在となりつつある今、特にセキュリティ面では脆弱性が少ないこと、脆弱性へ迅速に対処することが求められる。
今回はWebサーバ製品として代表的な、Microsoft Windows ServerのInternet Infotmation Service(IIS)とオープンソースのApache、Apache Tomcat、またApacheの技術を活用しているOracle Application Server、IBM Websphere Application Serverにおける脆弱性の発生状況と対応から、各Webサーバ製品における堅牢性をみていこう。
表は、デンマークのセキュリティ企業のSecuniaが2002年以降に公開している各製品での脆弱性に対するアドバイザリー件数と修正パッチが提供されていない(未パッチ)の件数を示した。カッコ内の数字は、同社が解析した5段階の脆弱性深刻度のうち、深刻度の高いレベル4以上のアドバイザリー件数である。
| 製品名 | 2002 | 2003 | 2004 | 2005 | 2006 | 2007 | 2008 | 2009 | 合計 | 未パッチ |
|---|---|---|---|---|---|---|---|---|---|---|
| IIS4.0 | 3(2) | 1 | 2(1) | 0 | 0 | 0 | 0 | 0 | 6 | 0 |
| IIS5.x | 4(2) | 5(3) | 2 | 2(1) | 1 | 0 | 2(1) | 0 | 16 | 1 |
| IIS6.0 | 0 | 0 | 2 | 0 | 1 | 0 | 2(1) | 0 | 5 | 0 |
| IIS7.x | 0 | 0 | 0 | 0 | 0 | 0 | 1 | 0 | 1 | 0 |
| Apache1.3.x | 3(1) | 4 | 7(1) | 3 | 2 | 2 | 0 | 0 | 21 | 1 |
| Apache2.0.x | 2(1) | 9(1) | 12 | 6 | 4 | 4 | 2 | 0 | 39 | 4 |
| Apache2.2.x | 0 | 0 | 0 | 0 | 3 | 4 | 2 | 0 | 9 | 2 |
| Apache Tomcat 3.x | 1 | 1 | 0 | 1 | 0 | 1 | 0 | 0 | 4 | 0 |
| Apache Tomcat 4.x | 3 | 0 | 0 | 0 | 0 | 5(1) | 4 | 1 | 13 | 0 |
| Apache Tomcat 5.x | 0 | 0 | 0 | 2 | 0 | 7(1) | 6 | 1 | 16 | 0 |
| Apache Tomcat 6.x | 0 | 0 | 0 | 0 | 0 | 5 | 6 | 0 | 11 | 0 |
| Oracle Application Server 10g | 0 | 0 | 2(1) | 6(1) | 6(5) | 5(3) | 5(3) | 2(1) | 26 | 4 |
| IBM WebSphere Application Server 3.x | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 |
| IBM WebSphere Application Server 4.x | 1 | 1 | 1 | 2 | 0 | 0 | 0 | 0 | 5 | 1 |
| IBM WebSphere Application Server 5.x | 0 | 2 | 2 | 4 | 3 | 4 | 3 | 3 | 21 | 0 |
| IBM WebSphere Application Server 6.0.x | 0 | 0 | 0 | 4 | 6 | 9 | 4 | 4 | 27 | 1 |
| IBM WebSphere Application Server 6.1.x | 0 | 0 | 0 | 0 | 3 | 8 | 7 | 3 | 21 | 1 |
| IBM WebSphere Application Server 7.0.x | 0 | 0 | 0 | 0 | 0 | 0 | 1 | 1 | 2 | 0 |
まずIISでは、特にWindows 2000 Serverに搭載されたバージョン5.xに対するアドバイザリーが多数公開されている。IIS 5.xはMicrosoftがWebサーバプラットフォーム市場へ本格進出するにあたって投入されたバージョンだった。しかし、2001年以降に相次いで発生したWindowsの脆弱性を突くワーム「Codered」や「Nimda」の大規模被害の影響によって、IIS 5.xをHTTP Serverなどに使用することが危険だという指摘がセキュリティ企業各社から出された。
このため、IISは脆弱度の高いWebサーバプラットフォームという見方が市場に広まることになったが、Microsoftは次のIIS 6.0以降でセキュリティ強化を最大目標に掲げて、ソースコード自体の見直しを含めたプラットフォーム全体の改善を図った。この結果、IIS 6.0に対するアドバイザリー件数はIIS 5.xの3分の1になり、昨年公開したWindows Server 2008に搭載している最新版のIIS 7.0では現時点で1件のみにとどまっている。
Webサーバソフトウェア市場で圧倒的なシェアを持つApacheは、Apache 1.3.xや同2.0.xにおいてこれまでに多数のアドバイザリーが提供されているものの、最新系統の2.2.xに対する件数が大幅に減少した。Java環境を提供するApache Tomcatでは、3.xを除いた各バージョンで10件以上のアドバイザリーが提供されている。
Apache 1.3.x〜2.2.xにはいくつかの未パッチの脆弱性が残されているものの、Apache Tomcatの各バージョンでは公開されているものに対しては、すべてパッチが提供されている状況だ。Apacheはオープンソースソフトウェアという性質から、脆弱性への迅速な対応という点ではベンダー製品に比べて弱い部分もある。しかし、Apache Software財団を中心とするコミュニティーの活発な活動や、長年使い続けているユーザーが蓄積した多数のセキュリティ対策のノウハウを考慮すれば、ベンダー製品に決して引けを取らないのは言うまでもない。
企業用途が主体のOracle Application ServerやIBM Websphere Application Serverでは、特にOracle Application ServerやIBM Websphere Application Server 5.x〜6.1.xで20件以上のアドバイザリーが提供されている。
両製品はApacheの技術を利用する製品として知られているが、やはりベンダー製品として修正パッチが迅速に提供されるメリットがあり、特にIBM Websphere Application Serverでは未パッチの脆弱性がわずかに残るだけである。Oracleは2004年以降、修正パッチの提供を四半期ごとに定期スケジュール化しているため、未パッチの脆弱性がいくつか残されている。これは度重なる修正パッチの適用がユーザーにとって大きな負担となることへの配慮であり、一般公開用としてのHTTP Serverの利用が少ないことを考えれば、大きなマイナス要因にはならないだろう。
Webサーバの主な用途は、一般に広く公開するWebサイトの運営と企業内の業務アプリケーション提供という2つに大別される。Webサイトとしての利用では、導入および運用のコストの低さやシステム構築の柔軟性、コミュニティーを中心に多数のユーザーが相互提供する豊富なノウハウなどの点によって、Apacheが圧倒的なシェアを握り続けている。
こうした市場環境に対し、MicrosoftはIIS 6.0以降のセキュリティ強化でシェア拡大を図ろうとしている。最新バージョンのIIS 7.0では40種類以上のコンポーネントに分けて、ユーザーに必要最低限の機能だけを利用できるようにし、外部からの攻撃対象となる部分を減らすようにした。また、URLベースでファイルやフォルダへのアクセス権限を詳細に設定できるほか、アクセス権限と連動する「IIS_USER」という匿名のアカウントを利用して、セキュリティ設定を各サーバへ容易に展開できるようにしている。
脆弱性対策の面でも、IIS 6.0以降では脆弱性の公開件数が大幅に減少しており、月例のMicrosoft Updateが提供されているのはおなじみである。以前のワーム被害によって張られた「IISは危険」というレッテルはすでに過去のものであり、IIS 7.0はWebサーバプラットフォームをとしての堅牢性を十分に実現していると言えるだろう。
業務アプリケーション提供の用途が主体のOracle Application ServerやIBM Websphere Application Serverは、ApacheやIISのようにWebサイトの公開用途が主体の製品とは求められる堅牢性の性質が異なるものの、Oracleの定例パッチ提供やIBMの迅速なパッチ提供体制がすでに確立されており、サポート体制を含めて十分に信頼される製品となっている。
Webサイトの公開用途では、外部からの脆弱性攻撃における対策が第一に挙げられるが、豊富な対策ノウハウが蓄積されたApacheだけでなく、有償ながらも迅速な対応体制を確立しているIISも有効なプラットフォームとして選択に値する存在となった。
近年のサイバー攻撃ではWebを経由する手法が最多を占めるようになったが、その土台となるWebサーバの堅牢性は、いずれの製品でも必要なレベルをクリアしている。
関連キーワード
IIS(Internet Information Service) | Apache | Webサーバ | 脆弱性 | パッチ | Tomcat | Microsoft(マイクロソフト) | WebSphere | Webアプリケーション | Secunia | Windows Server 2008
関連記事
気になるキーワード 、「WIMP」って何だ?
最近になって使われるようになってきた「WIMP」という用語。Webアプリケーション環境として注目されつつある組み合わせを指すもので、ユーザーにとっては新たな選択肢を提供するものといえる存在だ。
Windows Web ServerでPHPやPerlなどのスクリプト言語を使う
Webアプリケーションを構築するに当たって、オープンソースで開発されているPHPやPerlで書かれた、さまざまなWebアプリケーションを活用するケースが増えてきている。Windows Web Serverをベースに構築する利点として、スケーラビリティの高さや管理コストの低さを取り上げてきたが、アプリケーション開発について見た場合、Windows Web Serverはこれら既存のアプリケーションをホストできるのだろうか。
正規サイトの「弱み」でマルウェアに感染する時代
2008年は正規サイトを閲覧しただけでマルウェアに感染する報告が急増。今やインターネットの脅威の起点が正規サイトとなるケースが珍しくない。Webサイトを襲う脅威の現状とは?
管理者にやさしいWebサーバを構成する
Webサーバを構築する際に、導入コストを抑えようとオープン系のツール群による構成を選択すると、かえって管理コストが高くなってしまったということもある。今回は、Windows Serverによる兼任管理者にもやさしいWebサーバの構築について触れてみたい。
PHP on IISの“ホントのところ”
PHP on IIS。意外に思われるこの組み合わせに対するニーズが増えてきているという。この組み合わせが提供する価値とは何か。マイクロソフトの加治佐CTOとゼンド・ジャパン代表取締役社長の福安氏に“ホントのところ”を聞いてみた。
最新のインターネットAPサーバ「IIS 7.0」の実力を探る
Windows Server "Longhorn"には、最新のインターネットサーバ機能「Internet Information Services 7.0(IIS 7.0)」が搭載されている。モジュール構造のアーキテクチャを採用したことで、より安定性に優れ、堅牢なサーバを構築できるようになった――。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.
注目のテーマ
人気記事ランキング
- 爆売れだった「ノートPC」が早くも旧世代の現実
- VPNやSSHを狙ったブルートフォース攻撃が増加中 対象となる製品は?
- 生成AIは検索エンジンではない 当たり前のようで、意識すると変わること
- HOYAに1000万ドル要求か サイバー犯罪グループの関与を仏メディアが報道
- ランサムウェアに通用しない“名ばかりバックアップ”になっていませんか?
- 大田区役所、2023年に発生したシステム障害の全貌を報告 NECとの和解の経緯
- 「Gemini」でBigQuery、Lookerはどう変わる? 新機能の詳細と利用方法
- PHPやRust、Node.jsなどで引数処理の脆弱性を確認 急ぎ対応を
- 標的型メール訓練あるある「全然定着しない」をHENNGEはどう解消するのか?
- 攻撃者が日本で最も悪用しているアプリは何か? 最新調査から見えた傾向
ITmediaはアイティメディア株式会社の登録商標です。