IIS安全対策ガイド・インターネット編：インターネット・サービス向けIIS設定ガイド（4/9 ページ）

インターネット向けのサーバに必要な注意点

　このようにして、インターネットへの直結を避け、さらに外部に公開されるポートを制限する対策を講じてもなお、イントラネットと比べると、はるかに大きな危険性に直面している点に留意したい。ちょっとした設定のミスや未対策のセキュリティ上の問題点を突いて、不正侵入や情報の漏えい、コンテンツの改ざん、あるいはサーバそのもののダウンやワームの感染といった事態を招く可能性があるため、運用に際しては細心の注意が必要だ。もちろん、最新のセキュリティ対策プログラム（hotfix）なども迅速に適用することが必要である。

　こうした事情から、インターネット向けに公開するサーバを設置・運用する際の基本的な考え方としては、以下のものが挙げられる。

• Active Directoryドメインには参加させず、スタンドアロン・サーバとして運用する（複数台のシステムを組み合わせた構成にしない場合）
• 不必要なサービスを停止し、サービスの動作に起因する不正行為を予防する
• Webコンテンツやデータベースなどの重要なリソースに対するアクセスを厳格に制限する
• 管理者権限を持つユーザーのアカウントやパスワードを、不正利用されないように厳格に管理する

　これらの対策はイントラネット上でも必要だが、インターネット向けに公開されるサーバでは、より厳重に実行する必要がある。また、サーバの設置当初に対策を行うだけでなく、そのあとも継続的な情報収集と対策が欠かせない（「情報　Windows最新Hotfixリスト―Windowsを最新状態にするための情報と手順」なども参照のこと）。

インターネットでWebサーバを公開するための設定強化

　それでは実際に、インターネット・サービス向けのWebサーバのセキュリティ設定について、具体的な作業を見ていくことにしよう。基本的な（イントラネット・サービス向けの）設定については、前回の「IIS安全対策ガイド（イントラネット編）」に基づいて、済ませてあるものとする。

　まず最初は、ファイル共有やNBT（NetBIOS over TCP/IP）などの、インターネットに接続されるWebサーバでは使用する必要がない機能を無効化するところから説明を始めよう。

ファイル共有機能を無効化する

　最初に、インターネットに接続されているネットワーク接続設定に対して、ファイル共有機能が働かないように設定する。これにより、ファイル共有機能を悪用した不正侵入を予防する。

　Windows 2000では、すべてのハードディスクのルートとシステムフォルダ(C:\WINNT)が「デフォルト共有」として共有されており、Administratorsグループに所属するアカウントの資格で接続できる。そのため、例えばAdministratorユーザーのパスワードが破られるとハードディスクの中身が丸見えになってしまう。

　デフォルト共有は共有解除できないので、利用を制限するには共有機能そのものを停止させる必要があるというわけだ。このためには、［コントロールパネル］−［ネットワークとダイヤルアップ接続］を開き、インターネットとの接続に使用している［ローカルエリア接続］アイコンを右クリックして、［プロパティ］を選択する。そして［全般］タブで［Microsoftネットワーク用クライアント］と［Microsoftネットワーク用ファイルとプリンタ共有］のチェックを外す。

［ローカルエリア接続のプロパティ］ダイアログ
このダイアログはネットワーク接続の設定ごとに存在するが、上のように共有機能を遮断する必要があるのは、インターネットからの接続を受け付ける接続設定である。インターネット側とLAN側で2枚のイーサネット・カードを装着しているような場合には、インターネット側の接続設定だけを変更すればよい。
　（1）接続に使用しているネットワーク機器の名称が表示される。
　（2）［Microsoftネットワーク用クライアント］は、ほかのコンピュータ上にある共有資源に接続する機能を提供する。インターネット上のWebサーバでは共有資源に接続することはないのでオフにしておく。
　（3）［Microsoftネットワーク用ファイルとプリンタ共有］は、フォルダとプリンタの共有機能を提供する。共有機能の悪用による不正侵入を防ぐためオフにする。
　（4）［インターネットプロトコル (TCP/IP)］だけをオンにしておく。

　これで、インターネット側に対するファイル共有の機能がバインドされなくなる。また、ファイル共有のクライアントとしても動作しなくなる。

NBTと、DNSへの動的登録の無効化

　次に、NBT（NetBIOS over TCP/IP）と、DNSへの動的登録の機能を無効にする。

　まずNBTだが、共有サービスのバインドを切断した時点で、ファイル共有機能を悪用した不正侵入の可能性は大幅に低下しているはずだ。しかし、さらに念を入れるための対策として、NBTそのものを使用しないように設定する。

　また、Windows 2000の初期設定では、Active DirectoryのDNSに対して動的にホスト名とIPアドレスの対応状況を登録するようになっているが、もともとDNSで静的にホスト名とIPアドレスの情報を登録するインターネット環境では、この機能は必要ない。そのため、この動的登録の機能も併せて無効化する。

　NBTとDNSへの動的登録を無効にするには、次の手順で行う。［コントロールパネル］−［ネットワークとダイヤルアップ接続］を開き、インターネットとの接続に使用している［ローカルエリア接続］アイコンを右クリックして、［プロパティ］を選択する。次に［全般］タブで［インターネットプロトコル (TCP/IP)］の［プロパティ］ダイアログを表示させる。そしてさらに［詳細設定］をクリックして、［DNS］を表示させ、以下の設定を行う。

TCP/IPプロパティにおける［DNS］設定
ここでは、使用するDNSサーバのIPアドレスを登録できるほか、DNS関連の設定を行う。デフォルトではDNSサーバに自分のIPアドレスとホスト名の情報を登録するようになっているが、それは必要ないので無効にしておく。
　（1）ここには使用するDNSサーバのIPアドレスが表示される。複数のDNSサーバを登録しておき、優先順位を指定しておくことができる。
　（2）このチェック・ボックスをオフにして、DNSサーバにIPアドレスの情報を登録しないようにする。

　これで、まずDNSサーバへの動的登録が無効化される。次に、NBTの無効化を行う。

TCP/IPプロパティにおける［WINS］タブ
ここでは、使用するWINSサーバのIPアドレスを登録できるほか、LMHOSTSファイルの参照とNBTの使用/不使用に関する設定を行う。既定値ではNBTを使用する設定になっているが、それを無効にしておく。
　（1）ここには使用するWINSサーバのIPアドレスを登録する。インターネットではWINSを使用しないので、登録の必要はない。
　（2）LMHOSTSは静的な名前解決に用いるテキスト・ファイルで、IPアドレスとNetBIOS名の対応を記述する。インターネットでは必要ないので、これもチェックを外しておく。
　（3）これを選択して、NBTを無効化する。

　以上でTCP/IP関連の基本的な設定作業は完了だ。