IISってセキュリティが心配じゃないの?
インターネット上にサーバーを構築するときに心配になるのが、セキュリティをどのように確保できるのかだ。Webサイトの構築であれば、Webサーバーのセキュリティはもちろんのこと、OSのセキュリティや、運用開始後のセキュリティパッチの適用方法なども気になるところである。
Webサーバーのセキュリティを技術的に比べるのは困難が伴うが、一般的にWebサーバー固有の脆弱性というものは、IISやApacheも含め減少しており、以前のようにたくさんのパッチを当てる必要があるケースはなくなったといえる。現在の問題はSQLインジェクションといった攻撃をはじめとする、Webアプリケーション自体が誤ってデータを公開してしまうようなケースが多く、Webサーバーとして優劣がつくような差は存在しなくなっている。またOSに関しても同様であり、リモートからシステムをのっとってしまうような脆弱性は少なくなっており、不適切な設定を施したサーバーをあえて放置しているような状況でないかぎり、デフォルトの構成はきわめて安全な状況ができている。
IISおよびWindowsでは、デフォルトの構成をもっとも安全な設定にするというコンセプト (Secure by Default) を取っており、インストール直後から安全な設定が施された環境で利用できるようになっている。セキュアな環境をスタート地点として、アプリケーションの動作環境にあわせてWebサーバーの環境を構築できるように配慮されている。これにより、うっかりサーバーをインストールして、その環境が危険な構成で動いていた、ということを極力避けることができるようになっている。
また、最新のWindows Server 2008 R2では、「ベストプラクティス アナライザー」というツールが標準で提供されており、このツールを使用することで、セキュリティやパフォーマンスを維持するうえで推薦される設定が正しく維持されているかどうかを、視覚的に把握することが可能になっている。なお、これに関してはインターネット Web サーバー構築ガイドラインの第11章で紹介されている。
このように、IISとWindowsはセキュリティに関してはかなりの力を入れている。とはいえ、現在でも脆弱性に対応するためのパッチがなくなっていないのは、ご存じのとおりである。これは致し方ない。
これらのパッチを適用するために、普段使っているWindowsマシンと同じように、Microsoft Updateによるパッチの配信と適用が利用される。Webサーバーを管理する際に、パッチを個別にダウンロードして適応する必要はなく、Microsoft Updateによって配信されるパッチをインストールするだけで済むというのは、大変ありがたい環境である。決められた時間に自動的にパッチをインストールすることも可能であり、また無償で利用できるWindows Server Update Services (WSUS) というサービスを使えば、組織内の パッチ適用状況の管理およびレポーティングができる環境を作ることもできる。
Webサーバーは、開発だけではなく運用をどのように行なうかが非常に重要である。パッチ適用を簡単に行なうことができるインフラを持っているIISは、サーバーの運用者にとっても魅力的な存在といえよう。
(次ページ、FastCGIを使った高パフォーマンスの仕組み)
この連載の記事
-
最終回
データセンター
スクウェア・エニックスがコマースでASP.NETを採用する理由 -
第6回
データセンター
ヤフーが「GyaO!」でSilverlightを採用する理由 -
第5回
データセンター
PHP on Windowsで速攻Web開発を実現 -
第3回
データセンター
習うより慣れろ!ASP.NETでWebアプリを作る -
第2回
データセンター
最新ASP.NETを知るための3つのキーワード -
第1回
データセンター
Webアプリケーションをカイゼンせよ! -
クラウド
マイクロソフトのWeb開発ツールで中身も見た目もクールに - この連載の一覧へ