【IIS7】 IISとセキュリティに関して

IIS7に関する大きな二つの変化について既にふれました。Microsoft Developer Conferenceに来られる方は是非2日目のKeynoteや私のセッションを見ていただきたいですが、このブログでも引き続きこの辺りの話を書いていこうと思います。

IIS5で今日時点のセキュリティ更新プログラムを検索すると深刻度Allで30件ヒットします。Windows 2000の出荷時点ではやはりここ数年の歴史が証明したようにセキュリティに関して十分な配慮がなされていたとは言えないのだと思います。しかし、IIS6では製品デザインと製品開発プロセスを見直したことにより、緊急で0件、重大がWebDav系で1件という状況です。IISという観点では客観的に見てよくがんばっている、お客様から数え切れないほどセキュリティをなんとかしろとフィードバックをいただいた甲斐あったという状況だと考えられるのではないでしょうか。

実はインストールのGUIは結構ころころデザインがDecember CTPとその後のビルドで変化しているので、あるタイミングで見たデモがその後のデモでGUIが変わってしまっているようなことが今後何度か発生するかもしれません。前に書いているように、WebDavをそもそも使っていないお客様はWebDavのモジュールをそもそもインストールしないという方策をとることがIIS7ではできますが、この機能自身はGUIが変わろうとも変わりません。WebDavをそもそもインストールしておらず、IIS6の品質以上を目指せば適用対象モジュールが0件というゴールに到達できるはずであり、そのように社員が全員がんばっている状況です。

セキュリティという大きな命題をクリアしつつ、IIS7の開発にあたってようやく本質的な運用をする際の利便性を考慮する余裕が出たのかなと機能の多くを見ていると思います。また、CTP（Community Technology Preview）という考え方で製品の開発途上においてお客様に実際どのようなものが出来上がってくるのか見ていただける仕組みを作ったことはものすごく良かったと感じています。無論、MSDNやTechnetなどのチャネルが無いと入手できませんが、イベントでも配布したりしていますし、出荷後の製品でないと評価をする時間が現場ではとれないことは理解しつつ、技術的な検証をするバックの部隊の方であれば早期に新製品の動向が把握できるこの仕組みを私は評価しています。もしIISのセキュリティが採用のキーいるのであればIIS6の上記の状況をご理解いただければと思いますし、時期的に余裕がおありなのであれば IIS7 を一度ご覧いただければと思います。