• ベストアンサー

外部にIISを公開するリスクについて

外部にIISを公開するリスクについての 実際にIISを外部に公開して運用されている方の 現場のリスク認識を教えていただけると助かります。 私はapacheのほうがIISより安全性が高く、 デフォルトに近いIISを外に置くなんてとんでもない、と考えて いました。しかしIISのセキュリティも上がっているだろうし 最近、IISの障害についても聞かなくなったので 置いても大丈夫なのかな?と考えています。 想定している設定は ・IISは基本的にデフォルトセキュリティ ・パケットフィルタ(80と443のみアクセス許可) ・IISのパッチをちゃんと更新する くらいを考えています。 もちろん、以前からIISを外部において安全に運用している ところもありますし、IISのカスタマイズのセキュリティ、 FWのカスタマイズ、クラスタリング、ms isa、リバースプロクシ、idsなど で安全性を高めることは出来ると思います。 ただ、今回の質問内容は”デフォルト設定” (さらに+パケットフィルタ)で、apacheと比べてのIISの リスクについて聞かせていただきたいと思い、質問しました。 IISを外部に置くことに対して、私の印象と同じく ”過度の警戒”をするエンジニアも多いのですが 彼らの話を聞いても、現時点のIISに対する評価ではなく ちゃんと調べていないような気がします。 現場でIISを運用されている方の意見を聞かせていただければと 思います。よろしくお願いします。

質問者が選んだベストアンサー

  • ベストアンサー
回答No.2

IISでもアパッチでもリスクは同じなのでしょうが、 個人的にはセキュリティに無頓着な人がIISを使うと勝手な 思い込みが残ってますね・・・ また、IISのメリットのASPを使うよりも、アパッチ+各種CGIがOSなどの環境が広くなることから、IISを選択するのが理解出来ない一人でもあります。

その他の回答 (1)

  • popesyu
  • ベストアンサー率36% (1782/4883)
回答No.1

いや別にアパッチでもIISでもリスクは同じでしょう。どちらもアホな設定にする前提なら危険度は同じです。 IISはパッチを全くあてていない状況なら、その時点ですでにアホ設定になっているのと同じことなのですが、アパッチもバージョン次第ではセキュリティホールが残っているのもありますし。まぁノーマルIISと比較してノーマルアパッチを比較してどちらが破壊力が大きいかと問われればIISの方に軍配があがるんじゃないですかね。 ただまぁこの前提に何の意味があるのかがよく分かりませんが。使いやすさとか設定のしやすさとか、そういう比較ならまだしも。

  1. カテゴリ
  2. [技術者向] コンピューター
  3. ITシステム運用・管理
  4. ネットワーク

関連するQ&A

  • IISとSQLServerの利用

    IISとSQLServerの利用を検討中です。 そこで、何点か疑問が湧きました。 ・SQLServerはApacheでも動作するのか? ・IISはApacheと比べ、セキュリティ設定は強固に出来るのか? ・Apacheは設定が難しいように感じるが、IISではそこまで卑屈に考え込む事はないか? ・アクセスログは取れるのか? SQLServerがApacheでも動作する場合、総合的に考え、 IIS、Apacheのどちらで運用した方が良いとされるか? 宜しくお願い致します。

  • IIS6.0で非公開ディレクトリ

    IISでプログラムを動かすときに、非公開ディレクトリに設置せよとありますが、 どのようにして非公開ディレクトリを作成するのでしょうか? 通常仮想ディレクトリ直下=ドメインルートディレクトリとして、 設定しますが、あるプログラムだけ外部から見えないようにしたいです。 testweb.com/hikoukai/ のような感じになるのでしょうか?

  • Apahceサーバの外部公開

    Apacheサーバの外部公開の手順を教えて頂けないでしょうか。 公開できずに困っています。 バージョン:Apache2.2 設定内容(httpd.conf) ・Listen 80 ・ServerName ***.***.***:80 ←グローバルIPアドレス ・ファイヤーフォールを無効化 上記の設定をしましたが、外部から見れません http://***.***.***/ ←グローバルIPアドレス で確認 設定の漏れなどがありましたら、アドバイスお願い致します。

  • Apache+Win2000とハッキング

     こんにちは。  IISに感染するウィルスが猛威を振るいまくっています。  ところで、IISをApacheに替えると、危険性はIIS運用時に比べて減るものでしょうか。  IISのセキュリティホールをつく攻撃に対しては、Apacheサーバーは安全に思うのです。少なくとも、IIS向けの攻撃には安全のように思います。  よろしくお願いします。

  • IISについて

    IISのWebサーバでindex.htmのファイル名を削除時に起動できるようにする設定項目を教えてください。 ディレクトリセキュリティ? デフォルトドキュメント? ホームディレクトリ?

  • サーバを外部に公開するにあたって・・・

    サーバを外部に公開するにあたって・・・ 現在、CentOS5.4(i386版)にて初めてサーバを立てております。ソフトのインストールから設定など一通りは終えたつもりで、試験的にポートの開放を行い何度か外部に公開してブラウザからテンプレートが表示されるのを確認したところです。 "試験的に公開した"というのは、サーバを外部に公開するにあたって、当方まだ知識や技術が足りていないと思っており、セキュリティに関してどのように対策をすれば良いのかよく分かっていないからです。 そこでお伺いしたいのですが、サーバを外部に公開・運用するにあたって"ここは注意しておいた方がいい"とか、"こういったソフトは入れておいた方がいい"などありましたらご意見をいただけないでしょうか? 今の時点で自分がやっていることとしては、 ・yumでのアップデートを日ごろから行う ・アンチウイルスソフト(Clam AntiVirus)を入れて、毎日定期的にウイルススキャンを行う ・rootkit検知ツール(Chkrootkit)で毎日定期的にrootkitのチェックを行い、インストールされていた場合、root宛にメールが届くようにする ・ファイル改ざん検知システム(Tripwire)で毎日ファイルの差分をチェックする。 ・使用していないポートは開放しない ということなのですが、これ以外に何か対策できること、知っておいた方が良い知識などありましたらご教授のほどお願い致します。

  • IIS 改竄検知の方法

    IIS(バージョン6)サーバーの改竄検知の方法を教えて下さい Webサーバー運用保守で、テストに改竄検知の項目が必要と考えています。 一般的に何を持って、改竄の有無を判断すべきでしょうか? 対象サーバーは外部公開用、イントラ内部向けが有ります。

  • tomcatの外部公開についての質問です。

    tomcatの外部公開についての質問です。 現在、fessの外部公開で悩んでいるのですが、Javaとfessをインストールして fess自体は、動作確認をローカル内では見れるのですが、LAN外からのアクセスが出来ません。 ポートはそのまま8080を使用、DDNSでドメインを取り DICEで更新しています。 光回線でCTUをスルーさせて、ルーターのみで使用、 ルーター及びサーバー(winvista)のポート8080を開放、 http://www.cman.jp/network/support/go_access.cgi にてサーバーのポート開放を確認。 上記で確認出来ているので、ウィルスソフトなどでの障害は無いと判断。 apache等は使っていません。 hostsファイルにIPアドレスとドメインの追記をして、 コマンドプロンプトにて、netstat -na で8080を他に使っているアプリが無いのを確認 現在はこのような状況です。 fessの構造はtomcatそのままなのですが、tomcatって外部公開するのは apacheが必要なのでしょうか? 通常、グローバルIPを設定している場合 tomcatをインストールして、ローカル内で確認出来たら、 グローバルIP:8080で見れると思ったのですが、そんな簡単では無かったでしたっけ。。。 私の場合、グローバルIPでは無く、DDNSですけど。 どなたかご指導して頂ける方居られましたら宜しくお願い致します。

  • sshの外部公開設定について

    sshの外部接続設定について質問です。 vine2.6のlinuxサーバを用意しLANからのssh接続は 問題なくできているのですが、 外部からのssh接続に対しては「Connection refused 」になってしまいます。 プロバイダーはDION、使用するルータはAterm wd600ですがこちらのログにssh接続についてのログはでていないようです。 apacheの公開設定を行いhtmlまで確認しているのでポート以外同じ設定にしているのでルータの線は薄いのかと思っています。 サーバに対してssh認証のアクセスがあった場合はログが残らないのでしょうか? iptablesもインストールしていないのでファイアウォールでカットされているとも思えないのですが別のファイアウォールソフトが稼動しているのでしょうか。 まず、確認すべきログ、設定などお分かりの方よろしくお願いします。

  • IISの認証(セキリュティ)について

    IIS認証の設定(セキリュティ)について教えて下さい。 現在Windows2000serverにIISの認証を設定しています。 設定内容 社内用セキリュティ      (1)IIS既定WebサイトのScripts/cb4のプロパティで「ディレクトリセキリュティ」ー       「匿名アクセスおよび認証コントロール」-「編集(E)」「基本認証」にチェック       を入れている。クライアントパソコンから、http://サーバー名/scripts/cb4/office.exeを起動すると       パスワードの入力画面が表示される。      外部(社外用)セキリュティ      (2)IIS既定WebサイトのScripts/cb4のプロパティで「ディレクトリセキリュティ」ー「IPアドレスとドメイン名の制限」       -「編集(E)」「拒否する」にチェックを入れて、許可したい人のIPアドレスを入れている。 上記の設定の場合は、社内で運用する場合はよいのですが、 社外(外部)から http://サーバー名/scripts/cb4/office.exeにアクセスした時に、決められた人だけアクセス した時に、パスワードの入力画面を表示させないで入る方法はできないのでしょうか。 IIS認証の設定(セキリュティ)で出来る方法があれば教えてください。 出来なければ、ほかの方法で(例えばCGI、Jaba他)出来る方法を教えてください。

注目のQ&A

カテゴリ

専門家に質問してみよう

職業から探して質問する

あなたにピッタリな商品が見つかる! OKWAVEセレクト

質問する