前回、Windows Server 2003 R3でWebサーバのセッティングを行なったが、それだけで運用するのは危険だ。サーバを運用していくうえで必須ともいえるセキュリティに関して解説していこう。
本連載で使用するサーバについて
![]()
本連載では「NEC得選街」で購入できるタワー型サーバ「Express5800/110Gd」(写真)を例に、サーバのセッティング方法を解説していく。サーバの基本構成は次のとおり。CPU:Celeron D(2.93GHz) / メモリ:1GB / HDD:80GB / OS:Windows Server 2003 R2 Standard Edition。より詳細な構成情報については連載第2回を参照してほしい。
セキュリティ対策の必要性
「Windows Server 2003 R2」でWebサーバとしての役割を一手に担うIIS(前回説明)は、バージョンは6.0が搭載されていている。以前のIISではセキュリティやパフォーマンスで問題視されていた部分もあったが、マイクロソフトがシステムの根幹から作り直したということもあり、アプリケーションサーバとして信頼性やパフォーマンスが向上している。とはいえ、Webサーバアプリケーションとして利用しているIISは、外部に公開する部分であり、当然、コンピュータウイルスや不正データへのセキュリティ対策は必須といえよう。そこで、Windows Server 2003のアップデートや、アンチウイルス、ファイアウォールといった最低限必要と思われる対策を紹介する。
サーバをメンテナンスしよう
サーバは常に稼働しているものだ。とくにWebサーバの場合は、24時間365日稼働し続けるのが基本だ。
ただ、時にはメンテナンスが必要となる。たとえば、Webサーバとして公開している場合なら、ちゃんとWebページが表示されるか。ファイルサーバを利用している場合はサーバにアクセスできるか、読み込み・書き込みができるかといったソフトウエアの動作確認がある。「Windowsタスクマネージャ」を開いてパフォーマンスやネットワークの項目を確認し、異常な負荷がないかをチェックするのもよいし、ハード面の確認も大事だろう。
サーバを安定稼働するためにも、毎週何曜日の何時から行うといった具合に、定期的にメンテナンスを行うとよいだろう。とくに障害がなければ、メンテナンス(マシンやアプリケーションの再起動やハードウエアの動作確認)にそれほど時間はかからないだろう。
サーバは動いていて当たり前というものであり、いざ何かあったときにはさまざまなサービスが長期にわたって止まってしまう可能性がある。だから、メンテナンスで"なにも問題ない"ということを確認することが、サーバを安定運用し続けるのに必要となるのだ。
Windowsを最新の状態に更新しよう
「Windows Server 2003 R2」には、マイクロソフト社からサーバの安定動作のためのプログラム(差分アップデート)が提供されている。これらは、クライアントOSのWindowsと同様、Windows Updateから入手できる。まず、<スタート>→<すべてのプログラム>→<Windows Update>を選択すると、「Windows Update」が開かれる。
|
図1 更新プログラムはWindows Updateから入手する |
「コンピュータを最新の状態に」にある<高速>ボタンをクリックして、更新プログラムがあるか確認してみよう。また、画面右側の「自動更新」が有効になっているか確認しておこう。差分アップデートの「自動更新」が有効になっていたら、最新の更新プログラムがあれば、自動的にダウンロードとインストールが実行される。
ただ、「自動更新」が有効になっていなかったり、インストール処理までは自動になっていなかった場合は、手動で更新情報を確認しておく必要がある。これまでの操作はクライアントOSのWindowsと同じ要領なので、すでにご存じの方も多いだろう。
図2 「カスタム」を選択すると、動作の向上や機能拡張のプログラムを入手できる |
ウイルス対策をしよう
クライアントOSのWindowsを使っていくうえで、ウイルス対策は今や必須となっている。Windows Server 2003 R2にもやはり設定しておく必要がある。
外部にサーバを公開しているからこそ、悪意のあるユーザによるサーバ乗っ取りなどが起きないとも限らない。また、ウイルスやワーム、トロイの木馬といったプログラムがサーバに感染すると、昨今話題になっている情報漏洩の危険もある。
ウイルス対策には、セキュリティソフトの利用が一般的だ。導入にあたっては、複数の対策をひとつのコンソールで一元的に管理できるソフトをオススメする。なお、クライアントOSにインストールしているウイルス対策ソフトは、Windows Serverでは使えないことが多い。Windows Serverに対応したものを選択する必要がある。
以下にあげるソフトは、ウイルス対策・スパイウェア対策・ファイアウォール・デバイス制御・アプリケーション管理といったことが一括で監視できるという優れものだ。
| メーカー | ソフト名 |
|---|---|
| Symantec | Endpoint Protection |
| McAfee | AntiSpyware Enterprise |
| Trend Micro | ウイルスバスター ビジネスセキュリティ |
これらはサーバ用のアプリケーションなので、通常のクライアント向けよりも高価となっているが、サポートも充実している。たとえば、技術的な内容以外の質問にも対応してくれる場合がある。これは、「なんとなく不調」といった曖昧な不具合の場合などに重宝する。サポート範囲はソフトによって異なる。詳しくは各メーカーのホームページなどで確認してほしい。
ファイアウォールの設定をしよう
まず、ファイアウォール(FireWall)の説明をしていく。ファイアウォールとは、直訳すると"防火壁"の意味になる。
外部のネットワーク(WAN側)と内部のネットワーク(LAN側)の間にゲートウェイを設けて、その間を通るパケットを監視し、外部から内部ネットワークへの不正なアクセスや侵入などを防止することを目的としたセキュリティシステムのことをいう。
このファイアウォールの機能は、Windows XP ServcePack2以降でも搭載されているので、目にしている方も多いだろう。Windows XPの場合はソフトウェアで対応しているのだが、今回は実際に社内のネットワークに機器を置いて対応する。
その機器は、第3回でも紹介したブロードバンドルータだ。簡易的なファイアウォールではあるが、まずここから始めるのがよいだろう。なお、大規模なネットワークを構築する場合は、ファイアウォール用のサーバを用意する必要がある。
ブロードバンドルータの機能として、内部のネットワークから外部のネットワークに対してデータは送るが、その逆は防いだままとなっている。つまり、データの流れは一方通行なのだ。このままでは、Webサーバを導入しても外に公開することが出来ない。
まず、設定のおさらいをしておこう。
前回、Webサーバを導入したときに、「IPアドレスとポートの設定」の個所で「このWebサイトが使用するTCPポート」を規定の「80」のままで設定した。また、第5回でサーバの設定を行った際に、サーバのIPアドレスは「192.168.11.200」で設定を行った。
次に、ブロードバンドルータの設定を行う。ブロードバンドルータのIPアドレスは「192.168.11.1」で設定してあるので、社内のクライアントPCから「http://192.168.11.1」とアクセスすれば、ルータの管理画面を表示できる(アクセス方法はブロードバンドルータの取り扱い説明書を確認してほしい)。
続いて、ルータの中のアドレス変換テーブルで図3のように設定を行う。
|
図3 ルータによってWAN側とLAN側の橋渡しが行なわれる |
この設定によって、外部のネットワークIPへアクセスしてきたプロトコルが80だった場合は、Webサーバへデータを流すというデータの流れができる。これで初めて、Webサーバを外部に公開することができる。
このように、Webサーバに通信するのに最低限必要な情報をルータに設定し、外部からアクセスしてきたユーザをWebサーバに通して、データのやりとりができるようにする。 必要以上にポートを公開しないのは、不正なアクセスをブロックするという意味も含まれており、ファイアウォール・セキュリティ対策として重要である。
次回は、商用目的のサーバに必要な構成機器などを解説していく。
