Windows Server 2008 アップグレードに足る「9つの理由」

製品出荷の最終段階に入った次期サーバOSのベータ3を徹底検証

（2007年10月09日）

REASON6
実運用環境へデビューする最新Webサーバ「IIS 7.0」

　Windows Server 2008に搭載される「インターネット・インフォメーション・サービス（IIS）」は、最新バージョンのIIS 7.0である。IIS 7.0はWebサーバのコアサービスに、アプリケーション開発・実行環境である「ASP.NET」、ワークフロー開発のためのフレームワーク「Windows Workflow Foundation（WF）」、分散オブジェクト・コンポーネント（DCOM）に代わるサービス開発のための新しいプログラミング・モデル「Windows Communication Foundation（WCF）」、およびチーム・コラボレーションのための「Windows SharePoint Services 3.0」を統合した、総合的なアプリケーション・プラットフォームとなっている。

画面6：IIS 7.0はモジュール式のアーキテクチャを採用。個別の機能モジュールから必要なものだけを有効にすることができる

　IIS 7.0は、IIS 6.0以前との互換性を維持しつつ、より高いパフォーマンスとセキュアなアプリケーション・プラットフォームを実現するために、アーキテクチャが大きく変更されている。最大の変更点は、モジュール方式の採用である。IIS 7.0では、コア機能を含め各機能がモジュール化されており、必要な機能だけをインストールしてサーバを構成することができるようになった（画面6）。これにより、ライトウェイトな単機能サーバを構築することもできるし、従来のISAPIに代わり.NET Framework上でモジュールを開発し、柔軟に機能拡張することもできる。また、モジュール方式の採用は、IIS 6.0以前のように機能をオン／オフする形態ではなく、不要な機能のバイナリがインストールされない。そのため、ぜい弱性の影響を受けにくく、パッチ適用の機会が減るという利点もある。

　実は、Windows Server 2008に搭載されるIIS 7.0は、Vista Business以上のエディションですでに提供されているIIS 7.0と同じバージョンだ。IISはWindows 2000 Server/ProfessionalのIIS 5.0以降、デスクトップとサーバでバージョンが一致していなかったが、IIS 7.0で久々に統一される。ただし、両者は完全に同一ではなく、Vista版IIS 7.0には、同時実行リクエスト数の制限や管理対象の制限（ローカル・マシンのみ）などがある。Vista版IIS 7.0は開発やテスト環境での利用を想定したものであり、インターネットやイントラネット向けの実運用環境としてはWindows Server 2008の登場を待たなければならない。

REASON7
標準機能だけで導入可能なクライアント検疫「NAP」

　Windows Server 2008は、企業ネットワークにおけるクライアントのセキュリティを保証するために、包括的なソリューションとして「ネットワーク・アクセス・プロテクション（Network Access Protection：NAP）」という新機能を提供する。

　実は、Windows Server 2003 Service Pack（SP）1でも「ネットワーク・アクセス検疫制御（Network Access Quarantine Control）」と呼ばれる検疫メカニズムが提供されている。こちらは検疫対象がダイヤルアップ接続やVPN（Virtual Private Network）接続に限られ、検査のスクリプトやコンポーネントを独自に開発するか、サード・ベンダー提供のものを利用しなければならなかったため、実運用環境への導入は進まなかった。

　Windows Server 2008のNAPは、OS標準のコンポーネントだけで基本的なセキュリティ・ポリシーの検疫が実施でき、さらに企業ネットワークに存在するあらゆる接続タイプのクライアントを対象に検疫を実施できる。そのため、新たなセキュリティ対策として実運用環境への導入が進むと予想される。

図1：NAPの動作イメージ。クライアントはいったん検疫ゾーンに配置され、ポリシー・チェック後、セキュア・ゾーンへのアクセスが許可される。ポリシーに準拠しないクライアントを排除するだけでなく、修復手段を提供できることが特徴

　NAPは、企業ネットワークに接続してきたPCを「検疫ゾーン」と呼ばれる制限付きネットワークにいったん配置し、ポリシーにより正常性を検証したうえで、検査をパスしたPCだけに企業ネットワークへの完全なアクセスを許可する（図1）。検査をパスしなかったPCに対しては、Windows Server Update Services（WSUS）によるセキュリティ更新などの修復手段を提供し、再検査をパスした時点で制限は自動的に解除される。

　Vista以降はNAPクライアント・エージェントと「セキュリティ・センター」を連動した「Windowsセキュリティ正常性エージェント（SHA：System Health Agent）」がOSに標準で組み込まれており、標準機能だけでWindowsファイアウォールの構成や自動更新の設定、ウイルス対策、スパイウェア対策を対象に正常性検査を実施し、アクセス・ポリシーを強制することができる。検疫強制の手段としては、DHCP、IPSec、IEEE 802.1x、VPNサーバの4つの手段のいずれか、または複数を組み合わせて利用することが可能だ。

前のページへ < ｜1｜2｜3｜4｜ > 次のページへ