ガートナーがIISの即時リプレースを強く推奨 48
ストーリー by Oliver
なにを今更 部門より
なにを今更 部門より
本家より:コンサルティング大手のガートナーがIISの即時リプレースを強く推奨している。毎週の様に出る新しいセキュリティパッチ、そしてそれを即時に当てても防ぎきれないワームやウィルスによりTCOが青天井的に増加しているからだそうだ。「ガートナーはマイクロソフトがIISを根本から書き直し、徹底的に公開テストされた新しいバージョンを出すまでウィルスやワームによる被害は止まらない、と確信している」(意訳)そうだ。ガートナーはLinuxに特に好意的ではないが、上司を説得するネタには使えそうだな。
とうとう、ガートナーが切れたか (スコア:3, 興味深い)
Mac OS X Server では Apache が使われています (スコア:3, 参考になる)
Mac OS X Server の Web サービスは Apache によるもので、たしかに GUI で基本的な設定はできますが、マニュアルには、詳細な設定は httpd.conf を編集すべしと書いてあります。
どの OS を選ぶかにかかわらず、人材というのは大切なところですね。しかし、本題は「IIS はダメダメなので、維持費がかさんで大変よん」てことだったので、管理者の質とはまた別の話題なのでは?
Re:.NET、これで雲行きが悪くなったかな? (スコア:3, 参考になる)
直訳するとこんな感じ?
Code Red と Nimda に hit された企業は、すぐに IIS の代替品を調査することを推奨する。これには、Webアプリケーションを、iPlatet や Apache のような他のベンダーのWebサーバーソフトウェアへ移行することも含める。
(↑ including以下、move A to B from C が自信無し)
これらの Webサーバーにはいくつかセキュリティパッチを当てる必要があるが、IIS に比べかなり高いセキュリティレベルを備えており、それほど多くのウイルス/ワーム作者の攻撃下にさらされてはいない。
Microsoft が 完全に書き直し、徹底的な公開テストを行なった新バージョンの IIS をリリースするまでウイルス/ワームによる攻撃は続くだろうとガートナーは憂慮している。
> Apache+Enhydraに乗り換えるプラン
Enhydra, 新版はオープンソースから手を引くそうですが大丈夫?
-- wanna be the biggest dreamer
本当に? (スコア:3, 興味深い)
実際、私は、W2KSにSecuring作業をし、日々、W2K/IISのセキュリティ情報に目を配り、必要なHot Fixを当てて運用しており、今回のワーム(CR/Nimda等)に耐性を持ってます。
対処方法のない既知のDoSには諸手をあげて降参しますし(笑)、Hot Fix当ててると、既存のサービスが
奇妙にも正常に動作しなくなる現象には遭遇してますけどね。
無論、M$のサーバをSecuringするのは、手間暇もコストもかかり、unix系の方が格段に楽だし安心できますね。
IIS/OSを根本から書き換えても問題は解決しないかもしんない。汎用機/Windows育ちの方々は、unix育ちと比較して、Security問題に無頓着な傾向があるもん。
---moto
RE:公開テスト (スコア:2, 参考になる)
今のIISが公開テスト中だと思っていたが・・・。
というのはおいといて、このガートナーの記事、是非MSKKの社長や提灯記事書いた日経の記者に読ませたいものだ。
Don't ask me why!
対策 (スコア:2, 参考になる)
<script language="JavaScript">
<!--
ver = navigator.appVersion;
if (navigator.appName == "Microsoft Internet Explorer" && navigator.platform == "Win32") {
if (ver.indexOf("MSIE 4") > 0 || ver.indexOf("MSIE 5.0;") > 0) {
window.open("http://www.microsoft.com/japan/technet/security/nimdaalrt.asp");
window.open("http://windowsupdate.microsoft.com/");
}
};
// -->
</script>
okome
Great! (スコア:2)
注目しはじめるのがMac OS X Serverってわけか。、、なんて。
でも結局まともな管理ができないと、何使ってもセキュリティーは
不安定になり、下手な踏み台なんかにされることに変りはないだろう。
やっぱり、製品の方じゃなく人の方をどうにかすべきじゃないかな?
どうよ?
There is no spoon.
ん~~~ (スコア:2, 興味深い)
>注目しはじめるのがMac OS X Serverってわけか。、、なんて
現実的にはまず有り得ないでしょう。
決裁権を持っている人がどれだけMacOSXを知っているかというと・・・。
>やっぱり、製品の方じゃなく人の方をどうにかすべきじゃないかな?
それはごもっとも。といっても管理者を責められないんじゃないかな?
こっち(管理者)寄りの人間なので贔屓目になってしまいますが、
教育にカネはかけない(むろん勉強しない管理者というのは論外ですが)、人を割いてくれない(サーバの管理だけじゃない)という現状を
カネを出す側に認識させるほうが先でしょう。
お偉いさんの傾向(これはそう言う立場になればごもっともなのですが)
「カネをかけたくはないが侵入されたくない」という傾向にあるようです。
オフトピックですが
侵入されたあとの損失とセキュリティにカネをかけることによる損失の対比をしたレポートをガードナー出してくれればいいのに・・・。
ってどっかにないものでしょうか?
真っ先に苦労しそうなこと (スコア:2, おもしろおかしい)
ガートナーがどんな組織なのかを上司に説明するところでエネルギーを使い果たす。
たぶんMSなら (スコア:2, すばらしい洞察)
とでも言うのでは?
Re:たぶんMSなら (スコア:2)
被害に遭う前にセキュリティパッチを当てられるのがオープンソースの強みなのにねえ。「wormの被害が広がっています、セキュリティパッチを当ててください。」って被害に遭ってからそう言うのは、クローズソースの弱みだね。それ以前にウイルス対策ソフトが無いとまともな運用さえできないMS製品にはあきれるけど。
Re:Great! (スコア:2)
提供してるってコトですよね.
どうしてもCUIが苦手な人って居ますから,MacOSXの方向性も
大いにアリだと思います.単に社内の人事などの都合で,管理者を
押し付けられたような人にも,最初の取っ付きが良いでしょうし.
#“CUIが嫌いなら管理者失格!”という意見は,この際reject(笑
さて,そのテのGUI設定ツールって,他プラットフォームにもあったよねぇ.
ComancheとかMohawkとかWebminとか....どなたか使ってます?
CUI嫌いのApache管理者の方,いませんかぁ.
いつものことだけど (スコア:2)
gartnerやMicrosoftがいくら「自社Webで」アナウンスしても、世間はWTCテロで頭がいっぱい、ポータルサイトのトップには微塵もNimdaのことを書いてないっぽいんですが。これってどうよ。米国が云々言ってる前に、自国のお守りくらいしろや。
Re:Apache with GUI - IBM HTTP Server (スコア:2)
なんとなくよさげなことが一杯書いてありますね.研究しよう.
"IBM"ってブランドもいいよな(笑).オヤヂ受けしそうで.
これなら稟議も通り易いかもしれない.
Re:Apache with GUI - IBM HTTP Server (スコア:2)
Re:Apache with GUI - IBM HTTP Server (スコア:2)
それなら,マニュアルも速成できるし,なかなか希望持てるかも.
Re:本当に? (スコア:2)
由緒正しい汎用機ライフでは、人数すらわからない anonymous service は無縁ですし、
ハードウェアについても、同時使用ユーザが 50人いるならば、50本のケーブルが
端末またはモデムまで繋がっているのが正しい姿だったように思います。
地道に Windows にパッチをあてていても、再インストールするはめになることはあるわけで、
そのときに、パッチをまた順にあてていくのはかなり鬱陶しい作業ですよね。
Service Pack よりも、Jumbo Patch が希望のものに近いのですが。
Re:ガートナーの警告の意味は「お金」 (スコア:2)
「現場の技術者の苦労」を見てない訳じゃなく、その結果としての生産性の低下が問題なんでしょう。言ってしまえばIISは「労して得る物の少ない」システムという評価ですね。
Re:オフトピック Enhydraで大丈夫、、多分; (スコア:2)
うまくユーザー会が育つといいですね。
Postgres ユーザー会はうまくやってるみたいだから参考になるかも。
-- wanna be the biggest dreamer
Re:本当に? (スコア:2)
その前に Windows で Apache を使うという選択肢もあります。
.NET、これで雲行きが悪くなったかな? (スコア:1)
ところで当然といえば当然ですが、
include any Microsoft .NET Web services
.NETも含めて捨てという事になってますね。
現行のバグだらけのASPを捨てApache+Enhydraに乗り換えるプランを提出したのですが、支援材料に事欠かず助かってます。
仰る事はご尤もですが (スコア:1, 余計なもの)
たしか (スコア:1)
「TCO 削減」の文字があった気がするんだけど、
全く逆の現状を見ると諸行無常。
所詮 M$ か。
Cube
Re:真っ先に苦労しそうなこと (スコア:1)
業務内容には、さほど、変わりはないみたいだし。
Re:真っ先に苦労しそうなこと (スコア:1)
Re:真っ先に苦労しそうなこと (スコア:1)
Ea
Re:真っ先に苦労しそうなこと (スコア:1)
そういう上司がいるところでは、そもそも機種選定や運用で手を抜くことがないような。
Re:対策 (スコア:1)
素朴な疑問ですが、外から手元の計算機へ送り付けられた{Java Applet, JavaScript}が手元の計算機の情報を引き出すことはセキュリティ破りになりますよね。こんな簡単な方法でブラウザの種別やバージョンが分かってしまっていいんでしょうか?
オフトピック Enhydraで大丈夫、、多分; (スコア:1)
> Enhydra, 新版はオープンソースから手を引くそうですが大丈夫?
特にLutrisの力の低下を心配して悩みましたが、HTMLとロジックが分離出来る&開発のハードルの低さが捨てがたく、オープンソース版の3.1bで行ってみようかと。
新版Enterpriseも、値上げが怖いのですが、NECが国内販売していますし。
逆にこんな状況だから国内コミュニティに何か出来るかなぁ。。と思いつつ、ちょっと頑張ってみるつもりです。
(反対喰らってツブれませんように。。(祈 )
Re:Great! (スコア:1)
ただ、Webminは便利ですよ。
何が便利かって、日常管理用のマニュアルが書きやすいです。
ブラウズしてプリントアウトしたのに赤マルつけて、こことこことここにチェック入れて、ここ押せばサーバが再起動するからね、で終わりです。
ただ、何も考えずに使うと、サーバに大穴があくので注意。
MSのトンデモ謳い文句 (スコア:1)
口では何とでも言えるから。
Apache with GUI - IBM HTTP Server (スコア:1)
Re:Mac OS X Server では Apache が使われています (スコア:1)
GUI で httpd.conf を編集するのは GUI だったりして。
技術者「MacOS X なら IIS より安全ですよ。設定も GUI 上のテキストエディタでできるし。」
お偉いさん「そうか、Mac は GUI だったな。じゃあ Mac にしよう。」
あり得る...
Re:Apache with GUI - IBM HTTP Server (スコア:1)
こちらもIBMのと同じで、稼働マシンが少ないから、
狙われにくいと言う特典つき!
AMIGA4000T(60/50)使い
Re:対策 (スコア:1)
ガートナーの警告の意味は「お金」 (スコア:1, 参考になる)
現場の技術者その人は「手間ヒマがかかるからうっとうしい」とか「いちいちパッチなんてマジメに当ててられっかよぉ!」ということになります。
しかし、「ガートナー」が言う、という意味は、要するにそういう「ムダな時間」=「給与払っている時間」に本来の業務の停滞を招き、会社全体に経済的損失を生じさせるから、Microsoft製品の使用は「やめたほうがいい」と言ってるわけです。
このくらいの経済的損失をものともしない優良企業は、本来はこの程度の利益が減ってもビクともしないはずなんですが、その製品を使うことによって蒙る損失額が「無視できないもの」として認知された、ということです。
単純に「経済効果」の結果のみを見ての問題と思います。現場の技術者とかの苦労とかをガートナーが見ているわけではないんですよね。
そういう意味で、このガートナーの警告は大変に大きな意味を持っていることになります。
「企業殺すにゃ刃物はいらぬ。ウィルスひとっつ撒けばよい」
Re:本当に? (スコア:1)
なるほどー、そうなんだ。
汎用機/Windoze経験無しなもんでして。
focus-ms2securityfocus.com MLに投稿されたメールに、
そもそも、IISが管理者権限で動作しているのが問題であると指摘し、かつ、管理側の問題として、
1.殆どのサイトは、Securing意図さえなく、Defaultの設定で放置してある。
2. 殆どのサイトは、決して、パッチをあてようとしない。
3. 多くのサイトは、パッチを信用しておらず、パッチを適用することを拒否している。(うーん、分かるなー)
4. 全てが上手く動いている時に、敢えて、何かをしようとはしない人間の習性がある。
と分析してます。
で、彼は、IISをMSがスクラッチから書き上げても、
何ら問題は解消せず、それは、新たな別の深刻な脆弱性
を生むだけでしょうと述べてある。私も同意見です。
ということで、他のプラットホームに乗り換えなければ、IISの次の版でしっかりしたものになるよう、wish listをあげて要求する程度しか道はなののでしょうね。
---moto
IISが広く浸透したのはガートナーのせいじゃないの? (スコア:1)
そうか、普及が一巡したから今度はMSけなしてコンサルティング料を稼ぐわけか。
いずれにせよ大迷惑だよな。
和訳とはちょっと違うが (スコア:1)
今度はXP導入しろ、とかね (スコア:1)
まあ、企業のみなさん、ガートナーの言うことを聞いて クライアントもサーバーも Windows で統一して、その結果ウイルスやワームでやられまくって、ふたたびガートナーの言うことを聞いて、IIS を他のサーバー置きかえればいいさ。
賢い人は最初から IIS なんか使わないけど、、
Re:たしか (スコア:0)
謳い文句に、「TCO 削減」の文字ならいっぱいありますね。文字だけど。
Re:公開テスト (スコア:0)
Re:対策 (スコア:0)
MechaMozilla/4.0
に書き換えなんてどうです?Mozillaの敵っぽくていい名前でしょう。
でも、これすると、MSのWebサイトへの接続がいまいちに・・・(--;
提灯? (スコア:0)
特に好意的ではないからこその説得材料 (スコア:0)
IISが嫌いと思われている人がこの意見を言ったところで「また言ってら」で終わってしまいがちですが、客観的な立場でものごとを見て判断する調査会社(それも超有名な)の一言ですから、その重みは判断材料としてはそうとうのものではないかと。
ガートナーに言われなくとも (スコア:0)
なにもガートナーに言われなくても、よおーーーーーーーーーーーーーーーーーーくわかってるお話ですよねぇ。
うちのかーちゃんだっておんなじこと言ってるぞ。
Re:IISが広く浸透したのはガートナーのせいじゃないの (スコア:0)
あるいは M$ が IIS の新しいバージョンを既に開発済みで、その発表の前フリとか?
「これがガートナーの言う新バージョンのIISです。徹底的にテストしました(ウソだけど)!」なんてのが始まったりして。
Re:和訳とはちょっと違うが (スコア:0)
この人もApacheのシェアを忘れていますね。(藁
そもそも、こんな言い訳してもユーザにとっては何の足しにもならないんだよね。実際被害出てるユーザーはなおさら。 「狙われやすいプラットフォームを避ける」って視点も、困難を避ける重要な方法だと思うんだけど。