[検証]
WindowsでインターネットWebサーバ

第4回 Windows Web Server 2008のセキュリティ対策

4.定期的なセキュリティ・パッチの適用

デジタルアドバンテージ 打越 浩幸
2008/12/22

 サーバ・システムを安全に運用するために、脆弱性のあるモジュールを更新する作業は、いまどきのコンピュータ・システムでは必須の作業といえる。OSシステムやアプリケーションを事前に、いかに安全に設計、製作したとしても、巨大化、複雑化している現在のシステムでは、バグや脆弱性を(限りなく少なくすることは可能だが)完全にゼロにして出荷することは不可能である。あらゆる脆弱性や攻撃をあらかじめ予測してその対策をあらかじめ立てておくということも不可能だし、以前は仕様だとしていたものが、現在では脆弱性と呼ばれるようになっているものもあるからだ。例えば以下は、セキュリティ情報を収集しているSecunia社による、ApacheとIISの(2003年以降の)脆弱性レポートの例だ(ほかにも多くのソフトウェア情報が登録されているので、参考にしていただきたい)。どのプラットフォーム/ソフトウェアなら安全で、どれなら危険性が高いとはいえないだろう。

 このように、Windowsシステムに見つかる数々の致命的な脆弱性に対処するために最低限必要なことは、Windows Updateによって提供される各種のセキュリティ修正プログラムの適用作業である。Webサーバ・コンポーネントだけでなく、それ以外の部分にも脆弱性が多く見つかっているため、Windows Updateによる定期的なシステムの更新作業は欠かせない。

Windows Updateによるセキュリティ修正プログラムの適用
複雑化、高度化した現在のソフトウェア・システムでは、定期的な修正プログラムの適用は欠かせない。Windows Updateを利用すれば、定期的に脆弱性に対する修正プログラムを適用することができる。
毎月のように、このような修正プログラムの提供が行われている。

自動更新による定期的なWindows Updateの実行
一度設定しておくと、以後、ずっと定期的に更新プログラムのチェックと適用が行われる。ただし更新プログラムの適用によって、(ごくまれに)システムやアプリケーションの挙動が変わってしまうことがあるため、完全に自動適用させるのではなく、インストールだけは管理者自身の手で許可/実行させる方がよい。

 Windows OSでは、Windows Updateによってセキュリティ修正プログラムの提供が行われているため、必ず定期的にチェック、適用するようにしておこう。これを利用しない理由はないだろう。製品にもよるが、最初に出荷されてからビジネス向け製品では10年近く程度は提供されることが保証されている。一度運用を開始すると、3年とか5年といった長期間に渡って利用されることの多いサーバ製品では、この点は重要だろう。

■Linuxでのセキュリティ対策

 本連載では、Linux OSを使って構築されることの多いWebサーバ+PHPなどのシステム(Linux+Apache+MySQL+PHP/Perl/Pythonを略してLAMPと呼ばれる)を、Web Server 2008上でも利用する例(LAMPに対して、WIMP:Windows+IIS+〜と呼ばれる)を紹介している。Linuxを利用した場合の最大のメリットとして、その低コスト性が挙げられることがあるが、初期導入費用が安価なことは確かであろう。Linux自体は製品版もあるが、フリーでも提供されているし、それ以外のサーバ・ソフトウェアなどもフリーで入手できるからだ。

 ただし初期コストは安価だが、定期的なセキュリティ修正プログラムの適用などには、少し注意が必要である。Linuxにはさまざまなディストリビューションがあり、有償/無償のさまざまな形態で提供されているが、Windows Updateのような定期的かつ自動的なセキュリティ修正プログラムの提供はフリーではあまり行われていない(あっても、Windows OS並みに長期間サポートされているものはほとんどない)。有償ならば、例えば以下のようなLinuxでは年間更新型のサブスクリプション・プログラムが提供されている。

 これらのサブスクリプション・プログラムでは、Windows Updateのような定期的な更新モジュールの提供が行われるだけでなく、各種サポートも含むため、同列には比較できないが、年間で3万円とかそれ以上のコストがかかるため、Linuxにするから特段安価になるというわけではない(Windows OSの場合は、Windows Updateを利用するのにコストはかからないが、サポート契約は有償である。このように同列では比較できない)。

 なおLinuxの場合、さまざまなアプリケーションやソフトウェアを自分で導入すれば、これら有償サービスを利用せずとも、セキュリティ対策が施された最新の環境にすることができる。Linux用のソフトウェアの場合、フリーで提供されているものが多いので、それらの最新版を自分で入手して、システムに導入するのである。ただしこのためには高いスキルが要求されるし、常時セキュリティ情報を収集し、自分のシステムに何がインストールされていて、どのような対策を行えばよいかをよく理解している必要がある。

 確かに慣れればLinuxの導入はそう難しいものではないが、その後のシステムの維持管理を考えると、すべての面(コスト、手間など)においてWindows OSよりも優れているとは必ずしもいえないだろう。

 今回は、Web Server 2008における基本的なセキュリティ対策の方法を紹介した。実際にはファイアウォール・アプライアンスなどでの、より進んだセキュリティ対策も併用していただきたい(Windowsファイアウォールには、非常に基本的なパケット・フィルタリング機能しか含まれていないため)。次回は連載の最後として、ASP.NETなどの、IIS向けのアプリケーションをWeb Server 2008上で利用する例などを紹介する。End of Article


 INDEX
  [検証]WindowsでインターネットWebサーバ
  第4回 Windows Web Server 2008のセキュリティ対策
    1.互換性を重視したWindowsファイアウォール
    2.セキュリティが強化されたWindowsファイアウォール
    3.不要なコンポーネントの無効化
  4.定期的なセキュリティ・パッチの適用

 「検証」


Windows Server Insider フォーラム 新着記事
@ITメールマガジン 新着情報やスタッフのコラムがメールで届きます(無料)
- PR -

注目のテーマ

Windows Server Insider 記事ランキング

本日 月間
ソリューションFLASH