第5回 カード情報システムでのIIS、QSAはどう見る？

川島　祐樹
NTTデータ・セキュリティ株式会社
コンサルティング本部　PCI推進室
CISSP
2009/1/29

---

　IIS設定の確認

　IISの設定確認はIISマネージャから行います。IISマネージャ上で、主に要件2や要件3、要件10などにかかわる部分の確認を行います。Apacheのように1ファイルで紹介できませんので、いくつかの画面を見ながら、調査時に注意して見るポイントを挙げてみたいと思います。

1．不要なコンテンツが存在しないか

　新しいバージョンのIISでは、インストール直後は不要なコンテンツが存在しない状態になっていますが、特にWindows 2000 ServerでIIS 5.0を稼働させているような場合、不要な仮想フォルダが存在することが多いです。例えば、下記のようなフォルダが存在しないか確認します。

• iisadmin
• iissamples
• iishelp
• scripts
• printers

　この確認は、IISマネージャから行うとともに、そのコンテンツの実態をエクスプローラからも確認します。

2．ログ設定

　Webサイトのプロパティタブ「Webサイト」で、「ログの記録を有効にする」にチェックが入っており、ログが記録されていることを確認します。また、そのプロパティでログファイルの場所を確認し、そのファイルに正しくログが記録されているかどうかを確認します。このとき、ログファイルにカード会員データ（PANなど）が格納されていないかも確認します。

図5　ログの記録設定を確認する

図6　ログの取得スケジュールの設定

　仮に、クレジットカードの先頭の番号、“47や48や49、54などから始まるけた数の多い数字”が見受けられるような場合はより詳細な調査が必要となるでしょう。

図7　ログに怪しい数値がないかを確認する 図中のcnumにクレジットカード番号らしき16けたの数値が確認できる。

3．ファイル名拡張子マッピングの設定

　ファイル名拡張子のマッピングに関連する脆弱性は外部からの攻撃に利用されることもあります。使用していない拡張子のマッピングは削除するべきであるため、この設定を確認します。Webサイトのプロパティから、「ホームディレクトリ」、アプリケーションの設定の「構成」ボタンをクリックすることで確認できます。

図8　拡張子マッピングの設定 使用していない拡張子は削除するべきである。

　スペースの都合上すべての項目は挙げませんが、このような観点で確認を行います。おさらいをすると、下記のようなポイントが重要になります。

• 不要なIISコンポーネントが存在しないか
• 不要な設定が存在しないか
• ログが適切に取得されているか

3/4

Index
カード情報システムでのIIS、QSAはどう見る？
	Page1 QSAの視点――IIS編
	Page2 稼働サービスの確認 -1．サービス一覧で確認 -2．netstatで確認 -3．IISマネージャで確認
	Page3 IIS設定の確認 -1．不要なコンテンツが存在しないか -2．ログ設定 -3．ファイル名拡張子マッピングの設定
	Page4 セキュリティ標準をお忘れなく

オール・ザッツ・PCI DSS 連載インデックス

＠ITメールマガジン　新着情報やスタッフのコラムがメールで届きます（無料）