IIS安全対策ガイド・インターネット編：インターネット・サービス向けIIS設定ガイド（7/9 ページ）

[井上孝司，著]

---

　前半では、IISにおける基本的なセキュリティ対策について解説してきた。 だが実際にWebサーバとして動作させるには、Webコンテンツをどうやって転送するかということも考えておかなければならない。そしてその更新方法についてもセキュリティ対策を施しておく必要があるだろう。さもないと、コンテンツを更新する手段を使って、外部からシステムに不正にアクセスされてしまう可能性があるからだ。後半では、FTPを使ったコンテンツのアップロード方法と、そのセキュリティ対策について解説する。

　FTPサーバの機能はIISに含まれているので、セットアップの際にチェック・ボックスをオンにしておくことで、FTPサーバとしての利用が可能になる。ただしFTPを使用する際には、IIS Lockdown Toolの実行時に、途中でテンプレートを選択するのと併せて［View template settings］チェック・ボックスをオンにしておき、その次の画面で［File Transfer Service］のチェック・ボックスをオンにしておく必要がある。

IIS Lockdown Toolにおけるテンプレートの選択画面
FTPがIIS Lockdown Toolによって勝手に止められないようにするには、テンプレートの設定を表示させるようにしてから、先に進む必要がある。
　（1）ここで、Webサーバの利用形態に合わせてテンプレートを選択する。Webサーバとして稼働させる場合は、この「Dynamic Web Server (ASP Enabled)」を選択する。
　（2）このチェック・ボックスをオンにしてから、次に進む。

　次の画面では、利用可能なサービスとしてWebとFTPが表示されているはずなので、ここでFTPサービスを許可しておく。

IIS Lockdown ToolでFTPサービスを許可しておく
前画面で［View template settings］チェック・ボックスをオンにしておくと、この画面が表示される。既定値ではFTPのチェックがオフになっているので、オンに変更する。
　（1）［File Transfer Service (FTP)］チェック・ボックスをオンにしてから、残りの設定を行うこと。

なぜファイル共有ではなくFTPを使用するのか

　ネットワーク経由でファイルの送受信を行う手段としては、Windows 2000が持っているファイル共有機能を使用する方法と、IISが持っているFTPサーバの機能を使用する方法がある。

　インターネットと直接接続されていないイントラネット環境では、ファイル共有機能を使用する方が便利だ。しかし、インターネット環境ではFTPを使用する方が望ましいと考えられる。これには、以下のような理由がある。

• FTPでは、ユーザー単位のアクセス制限に加えて、ホスト単位のアクセス制限を設定できるので、より厳格なアクセス管理が可能になる。
• FTPのアクセス制限では、アクセス元のIPアドレス制限のほかに、FTPサービスをバインドするIPアドレス（サーバ側のインターフェイス）も指定することができる。
• ファイル共有機能を動作させていると、先にも述べたように、デフォルト共有を悪用される危険性がある。
• FTPのログ機能を使用すれば、だれがいつ、FTPを使用してコンテンツを操作したかが分かる。

　このように、FTPの方がアクセス制限のための手段が多く、またログを残すことができるなど、高機能になっている。FTPの方がファイル転送などの手間が少し多くなるが（ユーザー名やパスワードを指定しなければならないし、FTPプロトコルに対応した転送ツールを使用しなければならないなど）、たいていのWeb制作ツールではFTPによるコンテンツの転送機能を備えているので、これはあまり問題とはならないだろう。

FTPサービスの初期設定

　IISでFTPを組み込んだ場合、初期状態では「C:\inetpub\ftproot」というフォルダがFTPサーバのルートとして公開され、アクセス権は読み取り専用になっている（書き込みができない）。しかし、今回はWebコンテンツの更新にFTPを使用するため、FTPで公開するフォルダを変更した上で、アクセス権も書き込み可能に設定しておく必要がある。

　FTPサービスの設定を行うには、以下の手順で行う。

■管理ツールの起動
　FTP管理ツールは、［コントロールパネル］の［管理ツール］−［インターネット サービス マネージャ］を実行することによって起動することができる。

■FTPサイトのプロパティの変更
　ツールの起動後、左側のツリーを展開して［既定のFTPサイト］を表示させ、そこで右クリックして［プロパティ］を選択する。

インターネットサービスマネージャで、[既定のFTPサイト]のプロパティを表示させる
　（1）ツリーを展開させると、［既定のFTPサイト］が表示される
　（2）その上で右クリックし、［プロパティ］を選択する

■FTPのアクセス権の変更
　まず、FTPサーバが公開するフォルダと、アクセス権の設定を変更する。そのためには、［ホーム ディレクトリ］タブに移動する。

FTPサイトのアクセス権の設定
［ホーム ディレクトリ］タブを選択して、FTPサーバ機能が公開するディレクトリのパスと、そのアクセス権の指定などを行う。FTPでWebのコンテンツを管理するには、公開するディレクトリを、Webサーバのコンテンツが置かれている場所（「C:\Inetpub\wwwroot」）に変更する必要がある。
　（1）ほかのコンピュータにある共有ディレクトリをFTPで公開することもできるが、今回は使用しない。
　（2）FTPサーバが公開するフォルダのフルパス名を、ここに記入する。
　（3）［参照］をクリックし、ツリー表示から公開対象のフォルダを選択することもできる。
　（4）FTPで接続してきたユーザーに対するアクセス権の設定。［読み取り］と［書き込み］について、それぞれ有効／無効の指定ができる。
　（5）このチェック・ボックスを有効にすると、FTPサービスの利用状況がすべてログに記録される。
　（6）FTPユーザーに対する、ディレクトリのファイル一覧表示形式を選択できる。「UNIXスタイル」が一般には多く使われているので、FTPクライアントとの相性もよく、特別な理由がない限りUNIXスタイルにしておく方がよいだろう。

　ここでは、［FTPサイトのディレクトリ］にある［ローカル パス］を、Webサーバの公開対象である「C:\Inetpub\wwwroot」に変更する。これにより、WebとFTPで同じ場所を参照できるようになる。また、書き込みができないと困るので、［書き込み］のチェック・ボックスをオンにしておく。

　これで［ホーム ディレクトリ］タブの設定は完了だが、ほかにも設定する項目があるので、［適用］をクリックして設定を確定しても、まだダイアログは開いたままにしておく。